DKIM, S/MIME & SPF – So sichern Sie Ihren E-Mail-Verkehr ab

E-Mails machen heutzutage den Großteil des Nachrichtenverkehrs aus. Sowohl geschäftlich als auch privat werden täglich mehrere Milliarden E-Mails versendet. Darunter sind auch jede Menge betrügerische Spam- und Phishing-Mails. Um solche Betrugsmails erst gar nicht zu erhalten, erklären wir Ihnen, was Sie tun sollten, um bestmöglich geschützt zu sein.

Rechtliche Pflichten und Eigenschutz

Eine Mail-Archivierung schützt zwar nicht vor schädlichen Nachrichten, ist aber trotzdem für jedes Unternehmen unerlässlich. Sie ist nämlich gesetzlich vorgeschrieben, um geschäftsrelevante E-Mails elektronisch und unverändert im Original aufzubewahren. Ohne eine solche Archivierung drohen steuerliche und rechtliche Konsequenzen.

Ein Spam-Filter ist zwar nicht gesetzlich vorgeschrieben, dennoch sollte jedem dessen Sinn bekannt sein. Dieser soll verhindern, dass betrügerische E-Mails bei Ihnen im Postfach landen. Damit dabei die Selektierung vernünftig funktioniert, gibt es mehrere Faktoren, die bei jeder Nachricht überprüft werden.

Authentifizierung und Verschlüsselung

Grundsätzlich wird zwischen Techniken zur Authentifizierung und zur Verschlüsselung unterschieden. Bei der Authentifizierung wird die Echtheit des Absenders bestätigt nachgewiesen. Hierfür werden u.a. Domain-basierte Verfahren verwendet. Zwei der bedeutendsten Verfahren sind SPF und DKIM.

Das Sender Policy Framework (SPF) überprüft bei einer E-Mail, ob der Mailserver des Absenders berechtigt ist, Nachrichten für die jeweilige Domain zu versenden. Hierzu werden die IP-Adressen der autorisierten Mailserver im SPF-Record hinterlegt, wodurch sie beim Empfangen einer Mail überprüft werden können.

Dies soll hauptsächlich die Gefahr vor Spoofing-Angriffen verringern. Beim Spoofing versuchen Betrüger eine Person durch Täuschung zu einer gewissen Handlung zu bringen. Meist sollen Passwörter oder Bankdaten auf einer vermeintlich seriösen Website eingegeben werden. Hierbei spricht man von einer sog. Phishing-Mail.

DomainKeys Identified Mail (DKIM) sorgt dafür, dass E-Mails digital signiert werden. Dies funktioniert dadurch, dass DKIM ein Schlüsselpaar aus öffentlichem und privatem Schlüssel erzeugt. Der öffentliche Schlüssel wird per DNS-Eintrag der Domain hinzugefügt und ist nun von anderen Mailservern abrufbar. Empfängt man nun eine mittels DKIM signierte E-Mail, überprüft der eigene Mailserver, ob die Signatur zum öffentlichen Schlüssel des Absenders passt. Ist dies der Fall, wird die Nachricht zugestellt. Auf diese Weise soll verhindert werden, dass Betrüger die Mail abfangen, verändern und weitersenden.

Wohingegen SPF und DKIM lediglich zur Authentifizierung der Domain dienen, kann S/MIME sowohl zur Authentifizierung des Absenders als auch zur Verschlüsselung der Nachricht dienen. Dabei kann selbst entschieden werden, ob Mails nur signiert, nur verschlüsselt oder signiert und verschlüsselt werden.

Bei Secure/Multipurpose Internet Mail Extension (S/MIME) handelt es sich um ein asymmetrisches Verschlüsselungsverfahren. Dies bedeutet, dass beide Kommunikationsparteien je ein Schlüsselpaar aus einem öffentlichen und einem privaten Schlüssel erzeugen. Um verschlüsselte E-Mails zu versenden, muss der Absender zunächst den öffentlichen Schlüssel des Empfängers kennen. Der Austausch öffentlicher Schlüssel erfolgt hierfür zumeist über sog. Schlüsselserver. Damit der Empfänger die Nachricht anschließend entschlüsseln kann, benötigt er den öffentlichen Schlüssel des Absenders und seinen eigenen privaten Schlüssel. Nur mit genau diesem privaten Schlüssel kann die Nachricht dechiffriert werden. Somit ist es nahezu unmöglich, verschlüsselte Nachrichten abzufangen und zu lesen oder gar zu verändern.

Damit die Echtheit der öffentlichen Schlüssel gewährleistet ist und sich Betrüger nicht einfach als jemand anderes ausgeben können, müssen digitale Zertifikate erworben werden.

100 % Schutz nie erreichbar

Von all den Vorgängen bekommt man als Anwender glücklicherweise nichts mit, da alles automatisch im Hintergrund abläuft. Trotz all der möglichen Schutzmaßnahmen passiert es dennoch immer wieder, dass gefährliche E-Mails in Ihrem Postfach landen. Sollten Sie Opfer einer Cyberattacke werden gibt es einige Dinge zu beachten.

Hierbei ist zu unterscheiden, ob es Sie privat oder als Unternehmen erwischt hat. Auf jeden Fall sollten Sie das betroffene Gerät vom Netzwerk trennen, damit sich ein möglicher Virus nicht auf weitere Geräte ausbreiten kann. Außerdem sollten Sie all Ihre Passwörter ändern. Wurde Ihr geschäftlicher Mail-Account gehackt, müssen Sie dies zudem laut Art. 33 DSGVO zwingend der zuständigen Aufsichtsbehörde mitteilen. Dies ist mit keinerlei Kosten verbunden, doch falls Sie dies nicht tun und einer Ihrer Kunden dadurch ebenfalls Schaden erlangt, müssen Sie mit rechtlichen Konsequenzen rechnen.

Holen Sie sich außerdem Unterstützung eines IT-Dienstleisters, um Ihr Netzwerk und alle betroffenen Geräte wieder in Sicherheit zu bekommen. Passend dazu, lesen Sie in unserem Beitrag „Firewall, Backup & Co. – So schützen Sie Ihr Firmennetzwerk“, wie ein Unternehmensnetzwerk aufgebaut und gesichert sein sollte.

Denn einen vollständigen Schutz vor Betrugsmails kann Ihnen niemand geben. Am Ende ist immer der Anwender derjenige, der entscheidet, ob eine Mail echt oder fake ist.

Menü