Mehr als die Hälfte aller Top-Domains für E-Mail-Spoofing anfällig

Über die Hälfte der beliebtesten Domains verhindern nicht wirksam den Versand von E-Mails mit gefälschten Absenderadressen. Diese Anfälligkeit für Mail-Spoofing brachte die schwedische Sicherheitsfirma Detectify mit einem Scan der laut Alexa-Statistik 500 beliebtesten Sites in Erfahrung. Die Sicherheitsforscher führen das auf unzureichende Authentifizierungsverfahren und falsch konfigurierte Server zurück.

Die Betreiber gefährden damit Nutzer, die auf die Echtheit der von ihnen übermittelten Nachrichten vertrauen – und deshalb eher auf enthaltene Links klicken, die zum Download bösartiger Malware führen. Angreifern erleichtern sie den Versand von Phishing-Mails, deren Herkunft sie fälschlich einer Domain zuschreiben können, der die Nutzer vertrauen. Nicht selten werden Empfänger durch eine vorgetäuschte Herkunft der Mail dazu gebracht, sensible Daten preiszugeben. Ein typischer Fall von E-Mail-Phishing ist etwa eine gefälschte Nachricht, die angeblich von der Bank des Empfängers kommt und in der er aufgefordert wird, seine Kontodaten auf einer verlinkten Webseite einzugeben. Betrügern gelang es auf diese Weise immer wieder, Identitäten zu stehlen und Konten zu plündern.

Die Spezifikation Dmarc (Domain-based Message Authentication, Reporting und Conformance) gilt der Verhinderung von E-Mail-Spoofing. Sie baut auf den bewährten Verfahren SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) auf. Laut Detectify wenden jedoch nur 42 Prozent der gescannten Server Dmarc an. Teilweise kam nicht einmal SPF zum Einsatz oder wurde mit der Einstellung „Softfail“ konfiguriert, was die Schutzfunktion einschränkte, da selbst als verdächtig erkannte E-Mails akzeptiert wurden. Dmarc mit der Einstellung „Action None“ wiederum wies E-Mails nicht zurück und isolierte sie auch nicht in einem Quarantänebereich. Diese grundsätzlichen Fehler und Versäumnisse führten dazu, dass 276 der überprüften 500 Top-Domains nicht gegen Spoofing gefeit waren.

„Da es tatsächlich Wege gibt, dies zu verhindern, besteht das Problem in Fehlinformation oder mangelndem Gefahrenbewusstsein, was E-Mail ohne sinnvoll konfigurierte Authentifizierung angeht“, schreibt Detectify-Sicherheitsforscher Linus Särud in einem Blogeintrag. Einige der anfälligen Domains wurden darüber benachrichtigt und erklärten die Absicht, ihre Nutzer mit einer sicheren E-Mail-Konfiguration zu schützen – wollten im Bericht jedoch nicht namentlich erwähnt werden.

Anfragen gingen auch an korrekt konfigurierte Domains, um die Schwierigkeiten besser zu verstehen. „E-Mail-Spoofing ist ein großes Problem und einer der beliebtesten Angriffsvektoren für Social Engineering und Phishing“, erklärte dazu Vize-Sicherheitschef Ryan Gurney von Zendesk. „Wir wissen, dass der korrekte Einsatz von SPF und DKIM helfen kann, E-Mail-Domains vor diesen Attacken zu schützen. Die richtige Einstellung von SPF und DKIM war eine Herausforderung und setzte eine veränderte Herangehensweise an den Versand von Nachrichten voraus. Wir wussten jedoch, wie wichtig das war, um ein hohes Niveau von E-Mail-Sicherheit zu erhalten.“

[mit Material von Charlie Osborne, ZDNet.com]