Funktionsweise der Absenderüberprüfung

Mit der Absenderüberprüfung wird die Echtheit der Herkunft einer E-Mail überprüft.

Wir stellen hier die verschiedenen Absenderüberprüfungen vor, die Sophos Email vornimmt, um Sie vor nicht legitimen E-Mails zu schützen.

Anmerkung Hier wird kurz erklärt, wie die Absenderüberprüfung funktioniert. Es wird jedoch nicht detailliert beschrieben, wie DNS-Einträge (DMARC, DKIM, SPF) angelegt werden, da wir uns darauf konzentrieren, was mit den eingehenden E-Mails geschieht.

SPF

Mit Sender Policy Framework (SPF) kann überprüft werden, ob eingehende E-Mails von einer IP-Adresse oder einem Absender-Host stammen, die von den Administratoren der Absender-Domäne autorisiert wurden.

Der Absender legt einen SPF-Eintrag an, in dem die Hosts, IP-Adressen und Subnetze festgelegt werden, die E-Mails für ihre Domäne senden dürfen.

Sobald Sophos Email eine E-Mail empfängt, wird die Adresse des Absender-Mailservers überprüft und mit den zulässigen Absendern im SPF-Eintrag abgeglichen. Stimmen diese nicht überein, schlägt die SPF-Überprüfung fehl.

DKIM

DomainKeys Identified Mail (DKIM) wird verwendet, um eine E-Mail durch Überprüfung ihrer digitalen Signatur zu autorisieren; dabei wird ein Domänename mit der E-Mail verknüpft.

Der Absender entscheidet, welcher Teil der E-Mail signiert werden soll (Header und/oder Nachrichtentext) und konfiguriert dann seinen E-Mail-Server so, dass ein Hash dieser Teile erzeugt wird. Der Hash wird dann mit seinem privaten Schlüssel verschlüsselt. Außerdem wird ein DKIM-Eintrag angelegt, der den öffentlichen Schlüssel für die Entschlüsselung der Signatur enthält.

Wenn Sophos Email feststellt, dass eine E-Mail eine DKIM-Signatur hat, wird ein DNS-Abgleich vorgenommen, um den mit der Absender-Domäne verknüpften DKIM-Eintrag zu finden. Dabei wird der öffentliche Schlüssel zum Entschlüsseln der digitalen Signatur zurück zum Hash-Wert verwendet. Dann wird auf Grundlage der signierten Elemente der Nachricht ein eigener Hash erzeugt, der mit dem verschlüsselten Hash abgeglichen wird. Stimmen diese nicht überein, schlägt die DKIM-Überprüfung fehl.

DMARC

Domain-based Message Authentication, Reporting and Conformance (DMARC) nutzt DKIM und SPF, um die Echtheit einer E-Mail zu überprüfen.

Der Absender legt einen DMARC-Eintrag an, der den Empfänger anweist, DMARC-Überprüfungen vorzunehmen, und Informationen darüber enthält, was zu tun ist, wenn die DMARC-Überprüfung fehlschlägt.

Bei Erhalt einer E-Mail führt Sophos Email eine DNS-Überprüfung durch, um den DMARC-Eintrag für die in der Von (Header)-Adresse der E-Mail angegebene Domäne zu finden. Der DMARC-Eintrag teilt dem Empfänger (in diesem FallSophos Email) mit, dass eine DMARC-Überprüfung vorgenommen werden muss, und enthält Hinweise, was zu tun ist, wenn die DMARC-Überprüfung fehlschlägt. Die Standardoption in Sophos Email für E-Mails, bei denen die DMARC-Überprüfung fehlgeschlagen ist, lautet Gemäß Absender-Richtlinie. Das bedeutet: Was mit der Nachricht geschieht, hängt davon ab, was iim DMARC-Eintrag festgelegt ist. Die in der Von-Adresse angegebene Domäne wird mit den Daten in den SPF- und DKIM-Einträgen abgeglichen, um zu überprüfen, ob die Domänen übereinstimmen. Um eine DMARC-Überprüfung zu bestehen, muss die Nachricht die Validierungs- und Übereinstimmungsüberprüfungen für SPF oder DKIM bestehen:

  • Bei SPF muss die in der MAIL FROM (Envelope)-Adresse angegebene Domäne mit einer der IP-Adressen oder Subnetze übereinstimmen, die im SPF-Eintrag angegeben sind. DMARC gleicht dann die MAIL FROM-Adresse mit der Von-Adresse ab, um sicherzustellen, dass beide übereinstimmen.
  • Bei DKIM muss die Signatur überprüft werden und die in der Von-Adresse angegebene Domäne muss mit der Domäne übereinstimmen, die für die Erstellung der im DNS-Eintrag angegebenen Signatur verwendet wurde.

Header-Anomalien

Bei der Überprüfung auf Header-Anomalien werden E-Mails identifiziert, die von Ihrer eigenen Domäne zu kommen scheinen, in Wirklichkeit aber von einer externen Domäne stammen (Spoofing).

Die Überprüfung identifiziert E-Mails, die von Ihrer eigenen Domäne zu kommen scheinen, aber von einer externen Domäne stammen. Dabei wird der Von-Header der E-Mail mit der Empfänger-Domäne und der MAIL FROM-Adresse im Envelope abgeglichen.

  • Gehört die Domäne in der Von-Adresse zum selben Kunden wie die Empfänger-Domäne, wird die E-Mail als gespooft betrachtet.
  • Wenn die Von-Adresse im Header sich von der Von-Adresse im Envelope unterscheidet, wird die E-Mail als gespooft betrachtet.
Anmerkung Der Header muss den beiden oben genannten Kriterien entsprechen, um die Überprüfung der Header-Anomalien auszulösen.