So funktioniert die E-Mail-Authentifizierung

E-Mail-Authentifizierung ist ein entmutigendes Thema. Oft gibt es eine Buchstabensuppe aus Akronymen und Initialismen. Aber die Kernkonzepte sind nicht kompliziert, und fast jeder wird sie schnell verstehen können.

Die E-Mail-Authentifizierung wird immer notwendiger, da Spammer und Phisher weiterhin E-Mails verwenden, um unerwünschte oder schädliche Nachrichten zu verbreiten. Die meisten E-Mail-Server verwenden jetzt eine Reihe von Protokollen, um E-Mail-Nachrichten zu überprüfen, bevor sie den beabsichtigten Empfänger erreichen. E-Mails, die nicht ordnungsgemäß authentifiziert sind, haben wahrscheinlich Probleme mit der E-Mail-Zustellbarkeit und landen entweder nicht zugestellt oder im Spam-Ordner.

Lassen Sie uns also im Klartext über die 3 wichtigsten E-Mail-Authentifizierungsprotokolle sprechen und dabei reale Analogien verwenden.

SPF – Sender Policy Framework

Das erste und älteste heißt Sender Policy Framework (SPF). SPF ermöglicht es einem Absender, seine Authentizität zu überprüfen. Stellen wir uns das mal so vor: Wenn Sie einen Brief mit offiziellem Briefkopf in Ihren Briefkasten bekommen, können Sie sich einigermaßen sicher sein, dass er echt ist. Eine andere Möglichkeit, sich eine E-Mail vorzustellen, die SPF besteht, ist ein zertifizierter Brief der Post. Es gibt eine Sendungsverfolgungsnummer, und Sie können überprüfen, wer der Absender ist, indem Sie die Post anrufen.

SPF ähnelt auch der Bestätigung einer Absenderadresse. Wenn Sie einen Brief erhalten, bei dem der Firmenname mit keinem Unternehmen übereinstimmt, das unter der Absenderadresse des Briefes aufgeführt ist, sind Sie diesem Brief gegenüber zu Recht skeptisch. Diese Art der Überprüfung ist normalerweise für physische Post unnötig, aber auch für E-Mail-Nachrichten, da es einfach ist, eine Nachricht zu senden, die vorgibt, von jemand anderem zu sein.

Während SPF kann ein empfangender E-Mail-Server die Domäne, von der die E-Mail angeblich stammt, nach einer Liste von IP-Adressen fragen, die E-Mails im Namen dieser Domäne senden dürfen. Wenn die Domain den Ursprungsserver nicht als gültigen Absender auflistet, ist die E-Mail höchstwahrscheinlich nicht echt und die SPF-Prüfung schlägt fehl.

DKIM – DomainKeys Identifizierte Mail

DomainKeys Identified Mail (DKIM) ist eine neuere und robustere Methode zur Authentifizierung von Nachrichten. DKIM ist wie ein Wachssiegel auf einem Brief. Vor einer zuverlässigen Postinfrastruktur wurden Briefe mit einem Siegellack beglaubigt, auf dem ein Siegelring des Absenders geprägt war. Das gehärtete Wachs verband sich mit dem Pergament und machte es nahezu unmöglich, den Brief zu manipulieren, ohne Spuren zu hinterlassen.

Das in das Wachs eingepresste Symbol diente als eine Art Signatur, da nur eine Person Zugang zum Siegelring gehabt hätte. Durch die Inspektion des Umschlags konnte der Empfänger sowohl die Echtheit des Absenders als auch die Unverändertheit des Inhalts verifizieren.

Stellen wir uns einen anderen Weg vor, um die Authentizität des Absenders und die Integrität des Nachrichteninhalts während der Übertragung sicherzustellen. Stellen Sie sich eine Kiste mit einer abschließbaren Schublade und einem abschließbaren Deckel vor. Die Schublade kann nur mit dem Schlüssel des Absenders verschlossen werden. Wir nennen diesen Schlüssel den privaten Schlüssel des Absenders.

Der Deckel kann mit einem frei verfügbaren Schlüssel ver- und entriegelt werden. Jeder kann eine Kopie des Schlüssels anfordern. Tatsächlich hat der Absender alle Postämter entlang der Zustellroute mit einer Kopie dieses Schlüssels ausgestattet. Wir nennen dies den öffentlichen Schlüssel.

Unter dem Deckel befindet sich eine Glasscheibe. Durch Entriegeln des Deckels kann jeder die Verpackung durch das Glas inspizieren, aber nicht daran manipulieren, ohne das Glas zu zerbrechen und Spuren zu hinterlassen. Bei der Inspektion kann eine interessierte Partei den offiziellen Briefkopf bestätigen, sich vergewissern, dass das Glas intakt ist, und überprüfen, ob die Schublade mit dem Schlüssel verschlossen ist, den nur der Absender hat. Jedes Postamt auf dem Weg öffnet den Deckel, um sicherzustellen, dass das Paket noch intakt ist.

DKIM funktioniert ähnlich wie diese Box. Der Absender verfügt über einen kryptografischen privaten Schlüssel, der zum Verschlüsseln der Nachrichtenkopfzeilen verwendet wird. Der öffentliche Schlüssel wird auf einer dezentralisierten öffentlichen Internet-Registrierungsstelle namens DNS oder Domain Name System verfügbar gemacht. Jeder der Server, der an der Weiterleitung der Nachricht an das endgültige Ziel beteiligt ist, kann den öffentlichen Schlüssel abrufen und die Header entschlüsseln, um zu überprüfen, ob die Nachricht gültig ist. Und genau wie die verschlossene Kiste kann der öffentliche Schlüssel nicht verwendet werden, um die Header zu verschlüsseln (und den Inhalt der Schublade zu sperren); Das kann nur der private Schlüssel.

Wir können uns dies auch wie eine andere Klasse von Postsendungen vorstellen, die bei der Post erhältlich ist. Wenn es sich bei SPF-authentifizierten E-Mails um zertifizierte E-Mails handelt, dann handelt es sich bei DKIM-authentifizierten Nachrichten um Einschreiben, die während des gesamten Zustellweges unter Verschluss gehalten werden, um Manipulationen zu verhindern.

DMARC – Domain Message Authentication Reporting and Conformance

Stellen Sie sich vor, jemand schickt Ihnen eine dieser schicken doppelten Schließfächer. Der Kurier, der das Paket bringt, führt vor der Zustellung eine letzte Kontrolle durch. Sie schlägt die Lieferkonformitätsrichtlinie für den Absender des Pakets nach. Ihre Richtlinie besagt, dass das Paket von einer vertrauenswürdigen Adresse (SPF) stammen sollte.

Das Paket sollte sich außerdem in einer verschlossenen Box aus einer vertrauenswürdigen Quelle befinden, die einen privaten Schlüssel enthält, und sollte während des Transports nachweislich unverändert sein (DKIM). Die Richtlinie sieht ferner vor, dass der Kurier das Paket unter Quarantäne stellen und den Absender über den Verstoß informieren sollte, wenn die SPF- und DKIM-Bedingungen nicht erfüllt sind.

Diese Richtlinie ist analog zu einer DMARC-Richtlinie (Domain Message Authentication Reporting and Conformance). DMARC ist das neueste Authentifizierungstool, das sowohl auf SPF als auch auf DKIM basiert. Auf diese Weise können Absender Empfänger darüber informieren, welche Authentifizierungsmethoden überprüft werden müssen und was zu tun ist, wenn eine Nachricht, die vorgibt, von ihnen zu stammen, die erforderlichen Prüfungen nicht besteht. Zu den Anweisungen gehören möglicherweise das Markieren der Nachricht als unter Quarantäne gestellt und daher wahrscheinlich verdächtig oder das vollständige Ablehnen der Nachricht.

Sie fragen sich vielleicht, warum Absender jemals zulassen möchten, dass Nachrichten zugestellt werden, die DMARC nicht bestehen. DMARC bietet auch eine Feedback-Schleife, damit Absender überwachen können, ob E-Mails, die scheinbar von ihren Domänen stammen, der Richtlinie entsprechen oder nicht.

Beurteilung

Zur Überprüfung gibt es drei weit verbreitete Authentifizierungsprotokolle:

1. Sender Policy Framework (SPF) führt eine Überprüfung durch, die der Überprüfung einer Absenderadresse ähnelt, um die Identität eines Absenders zu authentifizieren.
2. DomainKeys Identified Mail (DKIM) authentifiziert auch die Identität eines Absenders, geht aber noch weiter, indem sichergestellt wird, dass der Inhalt der Nachricht durch die Verwendung einer verschlossenen Box oder eines Wachssiegels unverändert bleibt.
3. Domain Message Authentication Reporting & Conformance (DMARC) ist der Kurier, der sicherstellt, dass Nachrichten die SPF- und DKIM-Anforderungen erfüllen, bevor sie zugestellt werden.

Was E-Mail-Authentifizierung für Absender bedeutet

Mit DMARC haben Domaininhaber endlich die volle Kontrolle über die „Von“-Adresse, die im E-Mail-Client eines Empfängers angezeigt wird. Große Postfachanbieter wie Yahoo! und AOL haben bereits strenge Richtlinien eingeführt. E-Mails, die scheinbar von diesen Domänen stammen, aber die Authentifizierungsprüfungen nicht bestehen, werden verworfen. Sie können Updates zu Google Mail hier und zu Microsoft hier anzeigen.

Dies bedeutet, dass Sie niemals von Domänen senden sollten, die nicht so konfiguriert sind, dass Ihr Server über DKIM und SPF zugelassen wird. Wenn Sie E-Mails im Auftrag von Kunden versenden, sollten Sie sicherstellen, dass Ihre Kunden über die richtigen DNS-Einträge verfügen, um dies zu ermöglichen.

Für die Empfänger bedeutet die zunehmende Popularität dieser Technologien eine Verringerung der zugestellten Phishing- und Spam-E-Mails. Und das ist immer gut so.

Und wenn Sie Hilfe bei Ihrer E-Mail-Authentifizierung benötigen oder Schwierigkeiten mit der Zustellbarkeit Ihrer E-Mails haben, bietet SendGrid E-Mail-Pläne und Expertendienste, die Ihnen bei allem helfen.

Zusätzliche Ressourcen

• https://sendgrid.com/blog/a-dkim-faq/
• https://sendgrid.com/blog/sender-policy-framework-spf-a-layer-of-protection-in-email-infrastructure/
• https://sendgrid.com/blog/what-is-dmarc/