Google: Kampf gegen Phishing zahlt sich aus

Seit 2004 von Branchenverbänden und Standardisierungsgremien erarbeitete Standards zur E-Mail-Authentifizierung erschweren Spammern zunehmend den erfolgreichen Versand von Phishing-E-Mails. Nach fast einem Jahrzent haben sich diese Standards so breit durchgesetzt, dass es immer weniger möglich ist, die Herkunft einer E-Mail fälschlich einer anderen Domain zuzuschreiben, der die Nutzer vertrauen.

Die Empfänger könnten durch eine vorgetäuschte Herkunft der Mail vielleicht dazu gebracht werden, sensible Daten preiszugeben. Ein typischer Fall von E-Mail-Phishing ist etwa eine gefälschte Nachricht, die angeblich von der Bank des Empfängers kommt und in der er aufgefordert wird, seine Kontendaten auf einer verlinkten Webseite einzugeben. Betrügern gelang es auf diese Weise immer wieder, Identitäten zu stehlen und Konten zu plündern.

Wie Anti-Phishing-Spezialist Elie Bursztein von Google berichtet, kommen inzwischen 91,4 Prozent der an Gmail-Nutzer versandten Nicht-Spam-Mails von authentifizierten Sendern. Das wiederum macht dem E-Mail-Dienst möglich, jährlich Milliarden von E-Mails auszufiltern, die einen falschen Absender vorgeben, und gar nicht erst in die Inbox der Nutzer gelangen zu lassen.

76,9 Prozent der empfangenen Mails sind nach dem DKIM-Standard (DomainKeys Identified Mail) signiert. Über eine halbe Million wöchentlich aktive Domains haben diesen Mechanismus übernommen. 89,1 Prozent kommen von SMTP-Servern, die ihre Identität über den SPF-Standard (Sender Policy Framework) bestätigen. 74,7 Prozent der eingehenden E-Mails sind sogar nach beiden Standards geprüft. 80.000 Domains haben Richtlinien umgesetzt, durch die Gmail jede Woche hunderte Millionen nicht authentifizierter E-Mails nach der übergreifenden DMARC-Spezifikation abweisen kann.

Bei der Nutzung von DKIM ist wichtig, einen öffentlichen Schlüssel mit nicht weniger als 1024 Bits zu wählen, um eine Entschlüsselung durch Angreifer zu verhindern – die dann doch vortäuschen könnten, dass eine Nachricht von der jeweiligen Domain verschickt wurde. Wie im letzten Jahr auch Google, Microsoft und Yahoo zur Kenntnis nehmen mussten, bieten kürzere Schlüssel keine hinreichende Sicherheit mehr.

Bursztein fordert darüber hinaus auch die Inhaber von Domains zur Mithilfe auf, die selbst keine E-Mails versenden. Sie sollten dafür eine DMARC-Richtlinie veröffentlichen, in der sie ihre Domain als Nicht-Versender definieren. Die Hinzufügung einer „Zurückweisen“-Vorgabe für diese Domains stelle sicher, „dass keine E-Mails, die sich als Sie ausgeben, in den Posteingang von Gmail-Nutzern gelangen“.