E-Mail Authentifikation: SPF, DMARC & DKIM

Transcript

1. SPF, DMARC & DKIM WP Meetup Hamburg (27. Februar 2024)

   Torsten Landsiedel @zodiac1978

2. 🤯 Aber wir bekommen das gemeinsam hin! Durchhalten - beim

   nächsten Mal wisst ihr schon mehr … Das wird sehr technisch heute …

3. Was ist Spam?

4. Als Spam werden unerwünschte, in der Regel auf elektronischem Weg

   übertragene massenhafte Nachrichten (Informationen) bezeichnet, die dem Empfänger unverlangt zugestellt werden, ihn oft belästigen und auch häufig werbenden Inhalt enthalten. https://de.wikipedia.org/wiki/Spam Was ist Spam eigentlich?

5. Warum ist Spam ein Problem?

6. 333 Milliarden E-Mails werden täglich verschickt, 162 Milliarden davon gelten

   als Spam. Das sind 49 %! (Zahlen für 2022). https://www.emailtooltester.com/en/blog/spam-statistics/ Warum ist Spam ein Problem?

7. Durch die Fülle der Varianten haben sich für einige besonders

   häufige Typen eigene Begriffe herausgebildet, wie Scam, Phishing, Joe-Job (Diskreditierung), Hoax und Aktienspam. Oder Unsolicited Commercial E-Mail (Unverlangte kommerzielle E-Mail, UCE). Phishing & Co.

8. Typische Beispiele für UCE sind dubiose oder besonders günstig erscheinende

   Angebote für Sex, Potenzmittel, Pornographie, Penisvergrößerung, illegale Online-Glücksspiel-Casinos, gefälschte Uhren, Lebensverlängerung, Software, Markenprodukte, Finanzdienstleistungen oder Medikamente usw. Phishing & Co.

9. Im Februar 2024 kündigten Google und Yahoo einige Änderungen für

   das Versenden von Mails an: https://support.google.com/a/answer/81126?hl=en https://senders.yahooinc.com/best-practices/ Zum Beispiel verlangen beide nun SPF oder DKIM und Sie benötigen gültige Forward- und Reverse-DNS-Einträge für Ihre Sende-IPs. Aktueller Anlass

10. Ab dem 1. Februar 2024 müssen Absender, die mindestens 5.000

    Nachrichten pro Tag an Gmail/Yahoo-Konten senden, die in diesem Abschnitt genannten Anforderungen erfüllen. Für Newsletter (CleverReach, Mailjet & Co) müssen also striktere Regeln befolgt werden! Aktueller Anlass (Massenversender)

11. • Implementieren Sie sowohl SPF als auch DKIM • Veröffentlichen

    Sie eine gültige DMARC-Richtlinie mit mindestens p=none - DMARC muss erfolgreich sein ◦ Es wird dringend empfohlen, ein "rua"-Tag einzufügen, um eine Überwachung während der Ersteinrichtung zu ermöglichen. ◦ Einrichtung mit “relaxed” ist okay ◦ Die Domain in der From: Kopfzeile muss mit der SPF-Domain oder der DKIM-Domain übereinstimmen. Aktueller Anlass (Massenversender)

12. Begriffsklärung

13. Ein E-Mail-Programm, Mail-Client mit dem E-Mails empfangen, gelesen, geschrieben und

    versendet werden. E-Mail-Programme werden meist kostenlos, oft als freie Software, angeboten. Zu den meistverbreiteten gehören Apple Mail, Mozilla Thunderbird sowie Microsoft Outlook. Mail User Agent (MUA)

14. Ein Mail Transfer Agent ist die Software eines Mailservers, die

    E-Mails entgegennimmt und sendet. Im Gegensatz dazu dient der Mail User Agent (MUA) zur Bearbeitung von Mails durch den Computerbenutzer. Typische Vertreter: Postfix, Exim, Sendmail, Postmaster, … Mail Transfer Agent (MTA)

15. Gegenwehr

16. • Überprüfung des Absenders anhand von E-Mail-Adresse oder URL •

    Kontrolle der Server, die versenden, weiterleiten oder zur Verfügung stellen • Aussortieren nach dem Header • Aussortieren anhand des Textes (Contentfilter) Was haben wir für Möglichkeiten?

17. • Wer darf eine Mail versenden? (SPF) • Ist die

    Mail unverändert und wirklich vom Absender? (DKIM) • Was soll passieren, wenn SPF und/oder DKIM nicht passen? (DMARC) Es geht also eher um Vertrauen für seriöse Mails, als um Spamerkennung. Was machen SPF, DMARC & DKIM?

18. Sender Policy Framework (SPF)

19. Für die Domain wird ein TXT-Record angelegt. Hier werden die

    Hosts konfiguriert, die für die Domain Mails versenden dürfen. Der Empfänger kann so überprüfen, ob der Absende-Server dazu berechtigt ist. Wie funktioniert SPF?

20. Wie funktioniert SPF? Hierzu schaut sich der Empfänger an, welche

    Domain der Absender in den Feldern MAIL FROM und HELO in der SMTP-Verbindung angegeben hat. Für die angegebene Domain ruft der Empfänger die SPF-Information über das Domain Name System ab und vergleicht die IP-Adresse des sendenden MTAs mit den erlaubten Adressen. Stimmt die IP-Adresse überein, so ist der Absender authentisch, andernfalls kann die E-Mail verworfen werden.

21. Zu beachten ist, dass diese Überprüfung sich nicht auf die

    Kopfzeile From bezieht, welche normalerweise von E-Mail-Programmen als Absender angezeigt wird und zusätzlich auch einen Namen enthalten kann. SPF kann somit nicht davor schützen, dass Betrüger versuchen Verbraucher zu täuschen. Es kann jedoch helfen, diese zu ermitteln. Wie funktioniert SPF?

22. Wie funktioniert SPF? Quelle: https://www.spf-record.de/

23. v=spf1 mx a ?all Mit v=spf1 wird die Version 1

    definiert (es gibt aber noch keine v2). MX erlaubt den Mailservern (Mail Exchange=MX) zu senden. A erlaubt dem Server hinter dem A-Record zu senden. ? ist die schwächste Empfehlung - kein Ablehnen, kein Spamordner - neutral Basis SPF

24. Aufbau eines SPF-Records rch Console

25. v=spf1 und …

26. Was ist das Problem mit diesem SPF? (Outlook 365 ist

    im Einsatz, WordPress Website)

27. • Wie sieht der SPF-Record aus, wenn die Domain via

    A-Record zu einem anderen Hoster umgeleitet wird? • Was passiert, wenn sich IP-Adressen oder Hostnamen ändern? • Was passiert, wenn zu viele Lookups nötig sind? (Maximal 10 Lookups pro SPF, zur Vermeidung von DoS-Attacken!)

28. • Bei der Einrichtung einer E-Mail-Umleitung an Systems ohne Sender

    Rewriting Scheme (SRS), bekommen Benutzer keine E-Mails mehr zugestellt. • Kann in größeren Unternehmen/Einrichtungen auch valide Nutzungen stören. • SPF ist nur ein Schutz vor der Verwendung von für die betreffende Domain unberechtigten SMTP-Relays. Weitere Probleme

29. DomainKeys Identified Mail (DKIM)

30. DKIM basiert auf asymmetrischer Kryptographie. Die E-Mail wird vom sendenden

    MTA mit einer digitalen Signatur versehen, die der empfangende MTA anhand des öffentlichen Schlüssels, der über das DNS bei der Absender-Domain abrufbar ist, verifizieren kann. Schlägt dies fehl, hat der empfangende MTA oder der empfangende Mail User Agent die Möglichkeit, die E-Mail zu verweigern oder auszusortieren. Funktionsweise

31. Für die Verifikation einer DKIM-Signatur wiederholt der Empfänger die Hashwert-Berechnung

    über den Inhalt der empfangenen E-Mail und vergleicht ihn mit dem Base64-dekodierten Body-Hashwert aus dem „DKIM-Signature“-Header. Anschließend ruft der Empfänger über das DNS den öffentlichen Schlüssel des Absenders ab. Der Domainname ergibt sich aus den Parametern der „DKIM-Signature“ (Absender-Domain und Selektor). Mit dem öffentlichen Schlüssel wird nun die Signatur verifiziert. Funktionsweise

32. Falls die Signaturprüfung erfolgreich ist, stammt die E-Mail tatsächlich von

    der angegebenen Absender-Domain und wurde auf dem Weg der Zustellung nicht durch Dritte verändert. Das DNS dient bei DKIM als Vertrauensanker und Public-Key-Infrastruktur. Funktionsweise

33. Ohne Mailversand bzw. Selektor kann man das nicht testen bzw.

    einsehen. Problem

34. DMARC

35. Domain-based Message Authentication, Reporting and Conformance (DMARC) ist eine Spezifikation,

    die entwickelt wurde, um den Missbrauch von E-Mails zu reduzieren, wie er etwa bei E-Mail-Spoofing vorkommt. Funktionsweise

36. DMARC baut auf den Techniken Sender Policy Framework (SPF) und

    DomainKeys Identified Mail (DKIM) auf, indem es für eine Absender-Domain festlegt, wie das Empfänger-Mailsystem die Authentifizierung von E-Mails durchführen soll und wie im Falle eines Fehlers zu verfahren ist. Funktionsweise

37. Funktionsweise Die DMARC-Richtlinie veröffentlicht die Absender-Domain durch einen Eintrag im

    DNS. Sofern das Empfänger-Mailsystem die DMARC-Spezifikation bei E-Mail-Nachrichten anwendet, ist dadurch eine konsistente Überprüfung der Authentizität dieser E-Mails gesichert. Abfragen lässt sich die DMARC-Richtlinie einer Domain über einen eigenen TXT Record: _dmarc.example.com

38. v=DMARC1; p=none; Mit v=DMARC1 wird die Version 1 definiert (es

    gibt aber noch keine v2). p= none, setzt die Policy auf none, das ist die schwächste Empfehlung - kein Ablehnen, kein Spamordner - neutral verhalten Basis DMARC

39. Funktionsweise

40. Besondere Bedeutung haben die Abgleichmodi: Für SPF fordert die DMARC-Spezifikation,

    dass erstens die Überprüfung positiv ausfällt und zweitens die From Kopfzeile der Mail dieselbe Domain aufweist, wie im SPF-Record hinterlegt. Für DKIM wird gefordert, dass die Signatur gültig ist und zusätzlich die dort genannte Domain dieselbe ist, wie in der From Kopfzeile der Mail. Als Abgleichmodi sind s für 'strict' bzw. r für 'relaxed' vorgesehen. Bei 'strict' müssen die Domains exakt übereinstimmen, bei 'relaxed' darf die From Kopfzeile auch eine Subdomain enthalten. Funktionsweise

41. fo legt fest wie Fehlerberichte erstellt werden sollen. 0 ist

    die Voreinstellung und erzeugt einen DMARC-Fehlerbericht, wenn sowohl SPF, als auch DKIM fehlschlagen. 1 erzeugt einen Fehlerbericht, wenn entweder SPF oder DKIM fehlschlägt. d erzeugt einen DKIM-Fehlerbericht, wenn die Nachricht eine Signatur enthält, die nicht ausgewertet werden konnte. s erzeugt einen SPF-Fehlerbericht, wenn die SPF-Prüfung nicht bestanden wurde. Funktionsweise

42. Zum erfolgreichen Bestehen einer DMARC-Prüfung genügt es, wenn einer der

    beiden Prüfmechanismen SPF oder DKIM positiv ausfällt und die Domain mit der From-Kopfzeile übereinstimmt. Werden beide Prüfmechanismen parallel eingesetzt, erhöht dies die Wahrscheinlichkeit einer erfolgreichen DMARC-Prüfung, falls einer der Mechanismen durch ungünstige Umstände fehlschlägt. Funktionsweise

43. Die Policy (hier abgekürzt als 'p' bzw. 'sp' für Subdomains)

    legt schließlich fest, wie das Empfänger-Mailsystem mit der Mail verfahren soll, wenn die Überprüfung scheitert. Vorgesehene Modi hierfür sind 'none', 'quarantine' und 'reject'. 'none' (auch als Monitormodus bezeichnet) wird in der Regel zum Testen verwendet und macht dem Empfänger-Mailsystem keine Vorschriften über die Verfahrensweise. 'quarantine' verlangt die Kennzeichnung der Mails als Spam, 'reject' verlangt, die Mail zu verwerfen. Funktionsweise

44. DMARC steht in der Kritik, da es Zustellungsprobleme von legitimen

    E-Mails verursachen kann. Dies zeigt sich insbesondere im Zusammenhang mit Mailinglisten. DMARC überprüft den From-Header der E-Mail und fordert die Übereinstimmung mit der bei SPF oder DKIM überprüften Domain (Englisch: “alignment”). Bei Mailinglisten, die Veränderungen an Kopfzeilen wie Absender, Empfänger oder Betreff vornehmen, führt dies zu Zustellproblemen der E-Mails. Weitere Probleme

45. Um die Authentizität einer E-Mail nachzuweisen, die bei der Weiterleitung

    verändert wurde, beispielsweise durch eine Mailingliste, wurde das Verfahren Authenticated Received Chain (ARC) entwickelt. ARC ist speziell für die Anwendungsszenarien gedacht, wo DMARC fehlschlägt. Weitere Probleme

46. Wie testen?

47. Online-Tools https://mxtoolbox.com/SuperTool.aspx https://www.nslookup.io/ https://dnschecker.org/all-dns-records-of-domain.php https://www.learndmarc.com/ und viele andere mehr …

48. Hoster-Support?

49. Wer unterstützt SPF, DKIM & DMARC? Alle Hoster-Tarife, die DNS-Einstellungen

    anbieten. Bietet ein Tarif das nicht an, sollte zumindest ein Basis-SPF/DMARC gesetzt sein oder DKIM standardmäßig aktiv sein. Problemhoster: DomainFactory bietet kein DKIM und kein DMARC an! https://www.df.eu/de/support/df-faq/e-mail/mymail-individual-team/technische-fragen/

50. Geht das auch in WordPress?

51. Site Health: DNS Section und Checks https://github.com/Zodiac1978/dns-info https://core.trac.wordpress.org/ticket/60619

52. Site Health: DNS Section und Checks https://make.wordpress.org/core/2019/04/25/site-health-check-in-5-2/ https://www.php.net/manual/en/function.dns-get-record.php https://gist.github.com/Zodiac1978/1d9f33ef1be377869ad3

53. Fragen?

54. Danke! Slack // X (Twitter) // Mastodon // Bluesky //

    WordPress.org // GitHub @zodiac1978