Zum Inhalt
Letztes Update: 2022-04-01

Funktionsweise der Absenderüberprüfung

Mit der Absenderüberprüfung wird die Echtheit der Herkunft einer E-Mail überprüft.

Wir stellen hier die verschiedenen Absenderüberprüfungen vor, die Sophos Email Security vornimmt, um Sie vor nicht legitimen E-Mails zu schützen.

Hinweis

Hier wird kurz erklärt, wie die Absenderüberprüfung funktioniert. Es wird jedoch nicht detailliert beschrieben, wie DNS-Einträge (DMARC, DKIM, SPF) angelegt werden, da wir uns darauf konzentrieren, was mit den eingehenden E-Mails geschieht.

SPF

Mit Sender Policy Framework (SPF) kann überprüft werden, ob eingehende E-Mails von einer IP-Adresse oder einem Absender-Host stammen, die von den Administratoren der Absender-Domain autorisiert wurden.

Der Absender legt einen SPF-Eintrag an, in dem die Hosts, IP-Adressen und Subnetze festgelegt werden, die E-Mails für ihre Domain senden dürfen.

Sobald Sophos Email Security eine E-Mail empfängt, wird die Adresse des Absender-Mailservers überprüft und mit den zulässigen Absendern in dem SPF-Eintrag abgeglichen. Stimmen diese nicht überein, schlägt die SPF-Überprüfung fehl.

DKIM

DomainKeys Identified Mail (DKIM) wird verwendet, um eine E-Mail durch Überprüfung ihrer digitalen Signatur zu autorisieren; dabei wird ein Domänenname mit der E-Mail verknüpft.

Der Absender entscheidet, welcher Teil der E-Mail signiert werden soll (Header und/oder Nachrichtentext) und konfiguriert dann seinen E-Mail-Server so, dass ein Hash dieser Teile erzeugt wird. Der Hash wird dann mit seinem privaten Schlüssel verschlüsselt. Außerdem wird ein DKIM-Eintrag angelegt, der den öffentlichen Schlüssel für die Entschlüsselung der Signatur enthält.

Wenn Sophos Email Security feststellt, dass eine E-Mail eine DKIM-Signatur hat, wird ein DNS-Abgleich vorgenommen, um den mit der Absender-Domain verknüpften DKIM-Eintrag zu finden. Dabei wird der öffentliche Schlüssel zum Entschlüsseln der digitalen Signatur zurück zum Hash-Wert verwendet. Dann wird auf Grundlage der signierten Elemente der Nachricht ein eigener Hash erzeugt, der mit dem verschlüsselten Hash abgeglichen wird. Stimmen diese nicht überein, schlägt die DKIM-Überprüfung fehl.

Siehe DKIM.

DMARC

Domain-based Message Authentication, Reporting and Conformance (DMARC) nutzt DKIM und SPF, um die Echtheit einer E-Mail zu überprüfen.

Der Absender legt einen DMARC-Eintrag an, der den Empfänger anweist, DMARC-Überprüfungen vorzunehmen, und Informationen darüber enthält, was zu tun ist, wenn die DMARC-Überprüfung fehlschlägt.

Bei Erhalt einer E-Mail führt Sophos Email Security eine DNS-Überprüfung durch, um den DMARC-Eintrag für die in der Von (Header)-Adresse der E-Mail angegebene Domain zu finden. Der DMARC-Eintrag teilt dem Empfänger (in diesem Fall Sophos Email Security) mit, dass eine DMARC-Überprüfung vorgenommen werden muss, und enthält Hinweise, was zu tun ist, wenn die DMARC-Überprüfung fehlschlägt. Die Standardoption in Sophos Email Security für E-Mails, bei denen die DMARC-Überprüfung fehlgeschlagen ist, lautet Gemäß Absender-Richtlinie. Das bedeutet: Was mit der Nachricht geschieht, hängt davon ab, was in dem DMARC-Eintrag festgelegt ist. Die in der Von-Adresse angegebene Domain wird mit den Daten in den SPF- und DKIM-Einträgen abgeglichen, um zu überprüfen, ob die Domains übereinstimmen. Um eine DMARC-Überprüfung zu bestehen, muss die Nachricht die Validierungs- und Übereinstimmungsüberprüfungen für SPF oder DKIM bestehen:

  • Bei SPF muss die in der MAIL FROM (Envelope)-Adresse angegebene Domäne mit einer der IP-Adressen oder Subnetze übereinstimmen, die im SPF-Eintrag angegeben sind. DMARC gleicht dann die MAIL FROM-Adresse mit der Von-Adresse ab, um sicherzustellen, dass beide übereinstimmen.
  • Bei DKIM muss die Signatur überprüft werden und die in der Von-Adresse angegebene Domain muss mit der Domain übereinstimmen, die für die Erstellung der im DNS-Eintrag angegebenen Signatur verwendet wurde.

Siehe DMARC.

Header-Anomalien

Bei der Überprüfung auf Header-Anomalien werden E-Mails identifiziert, die von Ihrer eigenen Domain zu kommen scheinen, in Wirklichkeit aber von einer externen Domain stammen (Spoofing).

Die Überprüfung identifiziert E-Mails, die von Ihrer eigenen Domäne zu kommen scheinen, aber von einer externen Domäne stammen. Dabei wird der „Von“-Header der E-Mail mit der Empfänger-Domäne und der „MAIL FROM“-Adresse im Envelope abgeglichen.

  • Gehört die Domain in der Von-Adresse zum selben Kunden wie die Empfänger-Domain, wird die E-Mail als gespooft betrachtet.
  • Wenn die „Von“-Adresse im Header sich von der „MAIL FROM“-Adresse im Envelope unterscheidet, wird die E-Mail als gespooft betrachtet.

Hinweis

Der Header muss den beiden oben genannten Kriterien entsprechen, um die Überprüfung der Header-Anomalien auszulösen.

Zurück zum Seitenanfang