E-Mail-Spoofing ist eine der Techniken, die böswillige Akteure verwenden, um Sie davon zu überzeugen, dass ihre Spam-/Phishing-E-Mail legitim ist. Kurz gesagt, E-Mail-Spoofing wird von diesen schädlichen Agenten genutzt, um den Anschein zu erwecken, dass ihre E-Mails von vertrauenswürdigen Quellen wie Ihrer Bank, Ihrem Lieblingsprodukt oder Ihrem Chef stammen.

E-Mail-Protokolle begleiten uns schon lange. Simple Mail Transport Protocol (SMTP), das Hauptprotokoll, auf dem die E-Mail-Kommunikation basiert, stammt aus dem Jahr 1981. Das Internet hat sich zwar stark verändert, E-Mails jedoch nicht so sehr. Als E-Mails erstellt wurden, gab es nur einen Bruchteil der heutigen Nutzer. Damals war es wenig schädlich, eine gefälschte E-Mail zu senden. Heute werden E-Mails für fast alle digitalen Dienste verwendet, die man sich vorstellen kann, und die Technologie hat sich langsam angepasst.

Beginnen wir damit, wie E-Mails funktionieren, damit alle auf dem gleichen Stand sind. Seien Sie geduldig, dies ist eine extreme Vereinfachung, wie E-Mail funktioniert, aber es wird mir helfen, die Mechanismen zu erklären, um diesen Prozess sicher zu gestalten. Grob gesagt, wenn jemand eine E-Mail sendet, läuft es so ab:

  1. Alice (hi@alice.com) schreibt eine E-Mail an Bob (hi@bob.com).
  2. Alice sendet die E-Mail an ihren E-Mail-Server zur Zustellung.
  3. Alices E-Mail-Server findet Bobs E-Mail-Server und überträgt die E-Mail.
  4. Wann immer Bob sich mit seinem E-Mail-Server verbindet, fragt er nach neuen Nachrichten und eine neue E-Mail erscheint in Bobs Posteingang.

Diagramm des E-Mail-Versands

Einfach! Allerdings kann beim Versand einer E-Mail vieles schiefgehen. Lassen Sie uns eintauchen!

Sender Policy Framework (SPF)

Oh, das Internet ist voller Schrecken. Stellen wir uns vor, es gibt einen bösen Akteur, nennen wir ihn Chuck, der Bob dazu bringen möchte, ihm sein Harvest-Passwort zu schicken.

Böser Akteur, der versucht, Bob zu täuschen

Das stimmt, reines SMTP sagt uns nicht, ob derjenige, der eine E-Mail sendet, auch wirklich der ist, der er vorgibt zu sein.

Um unsere E-Mails vor dieser Art von Angriff zu schützen, können wir das Sender Policy Framework (SPF) verwenden. Wenn ein E-Mail-Server eine neue E-Mail erhält, fragt er die Quell-Domain, ob der Absender berechtigt ist, E-Mails in ihrem Namen zu senden. Das ist es, was SPF tut; wenn Bobs E-Mail-Server eine E-Mail erhält, die angeblich von alice.com kommt, fragt er zuerst alice.com, ob der echte Absender, chuck.com, in ihrem Namen etwas senden darf.

DNS-Anfrage von Bobs E-Mail-Server

Im obigen Bild sehen Sie, dass Bobs Server eine DNS-Anfrage durchführt. Diese Technik und alle anderen in diesem Blogbeitrag basieren auf diesem Protokoll. Wenn ich darüber schreibe, dass Bobs E-Mail-Server alice.com nach Informationen fragt, bedeutet das einfach, eine DNS-Anfrage an alice.com zu senden, um nach bestimmten Einträgen zu suchen.

Wenn alice.com chuck.com nicht als einen seiner erlaubten Absender aufgeführt hat, dann könnte Bobs E-Mail-Server die E-Mail als Spam markieren. Sie haben richtig gehört, es könnte das tun oder auch nicht. Bobs Server hat immer das letzte Wort und es gibt weitere Überprüfungen, die durchgeführt werden müssen, bevor eine endgültige Entscheidung getroffen wird.

DomainKeys Identified Mail (DKIM)

E-Mails sollten jetzt sicher sein, oder? Nun... nicht ganz. Wir haben Chuck daran gehindert, gefälschte E-Mails von seinen eigenen Servern zu senden, aber was würde passieren, wenn er einen Weg fände, E-Mails während der Übertragung abzufangen? Was, wenn er in der Lage wäre, den Inhalt von Alices Nachrichten zu ändern? Denken Sie daran, SPF überprüft nur, ob der Absender berechtigt ist, E-Mails in ihrem Namen zu senden, sagt aber nichts darüber aus, was auf dem Weg zum Empfänger passiert.

Digitale Signatur zur Sicherstellung der E-Mail-Inhalte

Dies ist das perfekte Szenario, um Signaturen zu verwenden. In der digitalen Welt ist eine Signatur ein Mechanismus, um sicherzustellen und zu überprüfen, dass die Inhalte dessen, was geliefert wird, sich nicht geändert haben. Wenn Alice eine E-Mail an Bob sendet, wird Alices E-Mail-Server nun eine Signatur zu den Inhalten der E-Mail hinzufügen. Wenn jemand auch nur ein einziges Bit dieser Nachricht ändert, wird Bob es wissen. Außerdem ist Alices E-Mail-Server der einzige, der weiß, wie man diese Signaturen erstellt. Niemand sonst kann dies tun, ohne dass der Empfänger es bemerkt.

Genau das macht DomainKeys Identified Mail (DKIM). In der Praxis beginnt die DKIM-Konfiguration in Alices E-Mail-Server:

  • Es gibt normalerweise eine Möglichkeit, "E-Mails zu authentifizieren". Das bedeutet in der Regel, DKIM zu aktivieren.
  • Der E-Mail-Server wird Sie bitten, einige kryptische Wörter in Ihrem DNS zu veröffentlichen; das ist der öffentliche Schlüssel Ihrer Signatur. In einfachen Worten, der öffentliche Schlüssel ermöglicht es anderen, zu überprüfen, dass eine erhaltene Signatur gültig ist und dass die Nachricht während der Übertragung nicht verändert wurde. Der Server behält den privaten Schlüssel, sodass er der einzige ist, der Signaturen erstellen kann.
  • Sobald der öffentliche Schlüssel veröffentlicht ist, beginnt der E-Mail-Server, mit jeder neuen E-Mail eine Signatur zu senden.

Wie ist die Signatur nützlich? Wenn Bobs E-Mail-Server eine E-Mail mit einer angehängten Signatur erhält, kann er überprüfen, ob die Signatur korrekt ist. Dazu muss der Server den öffentlichen Schlüssel und die E-Mail-Inhalte abrufen. Mit nur diesen beiden Dingen kann der Server erkennen, ob es unerwünschte Änderungen gegeben hat.

Domain-based Message Authentication Reporting and Conformance (DMARC)

Jetzt kann Bob ziemlich sicher sein, dass E-Mails von einer vertrauenswürdigen Quelle stammen und nicht manipuliert wurden, oder? Richtig?... Wenn es nur so einfach wäre... Chuck, unser böser Charakter, kann immer noch den Inhalt der E-Mail ändern und einfach die DKIM-Signatur entfernen. Wer braucht das schon? Es ist besser, eine neutrale Überprüfung zu haben, als eine negative.

Doch nicht alles ist verloren. Wir brauchen nur einen Weg, um Bobs E-Mail-Server mitzuteilen, welche Sicherheitsmaßnahmen konfiguriert wurden und eine Richtlinie, die definiert, was zu tun ist, wenn eine dieser Maßnahmen fehlschlägt. Lassen Sie uns zu unserem letzten Akronym kommen: Domain-based Message Authentication, Reporting and Conformance (DMARC).

Mit DMARC hat Bobs E-Mail-Server einen öffentlichen Informationspunkt, der definiert, was mit den E-Mails geschehen soll, die er erhält. Genauer gesagt beschreibt ein DMARC-Eintrag:

  • Ob SPF oder DKIM im empfangenden E-Mail durchgesetzt werden
  • Eine E-Mail-Adresse für Berichterstattungszwecke
  • Eine Richtlinie, um zu entscheiden, was zu tun ist, wenn eine Überprüfung fehlschlägt. Es gibt 3 verschiedene Richtlinien:
    • Keine Richtlinie - DMARC-Überprüfungsergebnisse werden ignoriert. E-Mail-Server senden jedoch Berichte zur weiteren Analyse. Dies wird häufig verwendet, während DMARC konfiguriert wird, um zu sehen, ob es wie erwartet funktioniert.
    • Quarantäne - E-Mails, die bei einer DMARC-Überprüfung fehlschlagen, werden in den Spam-Ordner des Empfängers verschoben.
    • Ablehnen - E-Mails, die bei einer DMARC-Überprüfung fehlschlagen, erreichen den Empfänger nicht.

DMARC ist das letzte Puzzlestück in unserem Werkzeugkasten und das einzige, das E-Mail-Servern spezifisch sagt, dass sie nicht konforme E-Mails verwerfen sollen und unter welchen Umständen dies geschieht.

Fazit

Wir freuen uns, sagen zu können, dass Harvest diese Techniken verwendet, um unsere E-Mails zu schützen. Es hat Monate des Lernens und Sammelns von Daten gedauert, bis wir endlich dort angekommen sind, wo wir jetzt sind. Wir haben es anderen sehr schwer gemacht, uns zu imitieren und den Ruf von Harvest zu untergraben. Dies war eine unglaubliche Leistung, die sich positiv auf unsere Kunden auswirken wird.