Zum Inhalt

Funktionsweise der Absenderüberprüfung

Mit der Absenderüberprüfung wird die Echtheit der Herkunft einer E-Mail überprüft.

Wir stellen hier die verschiedenen Absenderüberprüfungen vor, die Sophos Email Security vornimmt, um Sie vor nicht legitimen E-Mails zu schützen.

Weitere Informationen zur Reihenfolge, in der Prüfungen in verschiedenen Szenarien durchgeführt werden, finden Sie unter Abfolge der Absenderprüfungen.

Hinweis

Hier wird kurz erklärt, wie die Absenderüberprüfung funktioniert. Es wird jedoch nicht detailliert beschrieben, wie DNS-Einträge (DMARC, DKIM, SPF) angelegt werden, da wir uns darauf konzentrieren, was mit den eingehenden E-Mails geschieht.

SPF

Mit Sender Policy Framework (SPF) kann überprüft werden, ob eingehende E-Mails von einer IP-Adresse oder einem Absender-Host stammen, die von den Administratoren der Absender-Domain autorisiert wurden.

Der Absender legt einen SPF-Eintrag an, in dem die Hosts, IP-Adressen und Subnetze festgelegt werden, die E-Mails für ihre Domain senden dürfen.

Sobald Sophos Email Security eine E-Mail empfängt, wird die Adresse des Absender-Mailservers überprüft und mit den zulässigen Absendern in dem SPF-Eintrag abgeglichen. Stimmen diese nicht überein, schlägt die SPF-Überprüfung fehl.

DKIM

DomainKeys Identified Mail (DKIM) wird verwendet, um eine E-Mail durch Überprüfung ihrer digitalen Signatur zu autorisieren; dabei wird ein Domänenname mit der E-Mail verknüpft.

Der Absender entscheidet, welcher Teil der E-Mail signiert werden soll (Header und/oder Nachrichtentext) und konfiguriert dann seinen E-Mail-Server so, dass ein Hash dieser Teile erzeugt wird. Der Hash wird dann mit seinem privaten Schlüssel verschlüsselt. Außerdem wird ein DKIM-Eintrag angelegt, der den öffentlichen Schlüssel für die Entschlüsselung der Signatur enthält.

Wenn Sophos Email Security feststellt, dass eine E-Mail eine DKIM-Signatur hat, wird ein DNS-Abgleich vorgenommen, um den mit der Absender-Domain verknüpften DKIM-Eintrag zu finden. Dabei wird der öffentliche Schlüssel zum Entschlüsseln der digitalen Signatur zurück zum Hash-Wert verwendet. Dann wird auf Grundlage der signierten Elemente der Nachricht ein eigener Hash erzeugt, der mit dem verschlüsselten Hash abgeglichen wird. Stimmen diese nicht überein, schlägt die DKIM-Überprüfung fehl.

Siehe DKIM.

DMARC

Domain-based Message Authentication, Reporting and Conformance (DMARC) nutzt DKIM und SPF, um die Echtheit einer E-Mail zu überprüfen.

Der Absender legt einen DMARC-Eintrag an, der den Empfänger anweist, DMARC-Überprüfungen vorzunehmen, und Informationen darüber enthält, was zu tun ist, wenn die DMARC-Überprüfung fehlschlägt.

Bei Erhalt einer E-Mail führt Sophos Email Security eine DNS-Überprüfung durch, um den DMARC-Eintrag für die in der Von (Header)-Adresse der E-Mail angegebene Domain zu finden. Der DMARC-Eintrag teilt dem Empfänger (in diesem Fall Sophos Email Security) mit, dass eine DMARC-Überprüfung vorgenommen werden muss, und enthält Hinweise, was zu tun ist, wenn die DMARC-Überprüfung fehlschlägt. Die Standardoption in Sophos Email Security für E-Mails, bei denen die DMARC-Überprüfung fehlgeschlagen ist, lautet Gemäß Absender-Richtlinie. Das bedeutet: Was mit der Nachricht geschieht, hängt davon ab, was in dem DMARC-Eintrag festgelegt ist. Die in der Von-Adresse angegebene Domain wird mit den Daten in den SPF- und DKIM-Einträgen abgeglichen, um zu überprüfen, ob die Domains übereinstimmen. Um eine DMARC-Überprüfung zu bestehen, muss die Nachricht die Validierungs- und Übereinstimmungsüberprüfungen für SPF oder DKIM bestehen:

  • Bei SPF muss die in der MAIL FROM (Envelope)-Adresse angegebene Domäne mit einer der IP-Adressen oder Subnetze übereinstimmen, die im SPF-Eintrag angegeben sind. DMARC gleicht dann die MAIL FROM-Adresse mit der Von-Adresse ab, um sicherzustellen, dass beide übereinstimmen.
  • Bei DKIM muss die Signatur überprüft werden und die in der Von-Adresse angegebene Domain muss mit der Domain übereinstimmen, die für die Erstellung der im DNS-Eintrag angegebenen Signatur verwendet wurde.

Siehe DMARC.

Header-Anomalien

Bei der Überprüfung auf Header-Anomalien werden E-Mails identifiziert, die von Ihrer eigenen Domain zu kommen scheinen, in Wirklichkeit aber von einer externen Domain stammen (Spoofing).

Die Überprüfung identifiziert E-Mails, die von Ihrer eigenen Domäne zu kommen scheinen, aber von einer externen Domäne stammen. Dabei wird der „Von“-Header der E-Mail mit der Empfänger-Domäne und der „MAIL FROM“-Adresse im Envelope abgeglichen.

  • Gehört die Domain in der Von-Adresse zum selben Kunden wie die Empfänger-Domain, wird die E-Mail als gespooft betrachtet.
  • Wenn die „Von“-Adresse im Header sich von der „MAIL FROM“-Adresse im Envelope unterscheidet, wird die E-Mail als gespooft betrachtet.

Hinweis

Der Header muss den beiden oben genannten Kriterien entsprechen, um die Überprüfung der Header-Anomalien auszulösen.