Wie Sie Phishing- und E-Mail-Missbrauch durch die Implementierung von DMARC verhindern

Eine Studie des Verizon Data Breach Investigation Report aus dem Jahr 2021 zeigt, dass 36 Prozent aller Datenschutzverletzungen auf Phishing zurückzuführen sind. Darüber hinaus wurde bei 85 Prozent aller Datenschutzverletzungen mit Social Engineering Phishing als Hauptmethode eingesetzt. Die Anti-Phishing Working Group (APWG) beobachtete im 2. Quartal 2022 knapp 1,1 Millionen Phishing-Angriffe – zu diesem Zeitpunkt ein Rekord.

Diese Studien zeigen, dass Phishing-Angriffe immer noch sehr häufig vorkommen und ihre Zahl nicht abzunehmen scheint. Bei DMARC Advisor helfen wir den größten Unternehmen in Europa, ihre Domains vor Phishing-Angriffen zu schützen. Dies tun wir durch die Implementierung von DMARC. DMARC baut auf Standards auf, die vom Internet geschriebene Gesetze sind. Sie sagen den E-Mail-Servern, was sie mit autorisierten und nicht autorisierten E-Mail-Strömen tun sollen. Diese offenen Standards sind: SPF, DKIM und DMARC.

Fully aligned email (header examples) – Bildquelle: DMARC Advisors

Die „Von:“-Domäne, auch als DMARC-Domäne bekannt, wird in einer E-Mail angezeigt. Dies ist das, was jeder als „Absender“ sieht. Genau diese Domäne wird in Phishing-Kampagnen verwendet. Auch wenn SPF und DKIM eine Validierungsprüfung bestehen können, bedeutet das nicht, dass DMARC erfolgreich ist. Die DMARC-Domäne muss mit der SPF- und DKIM-Domäne abgeglichen werden, um vor Phishing oder E-Mail-Missbrauch geschützt zu sein.

Führen Sie eine Prüfung für Ihre Domain durch, um herauszufinden, ob Ihre Domain mit der Domainprüfung von DMARC Advisor geschützt ist. Völlig kostenlos und ohne Haken.

Was bedeuten SPF, DKIM und DMARC?

Sender Policy Framework – der Postbote

SPF steht für Sender Policy Framework und ermöglicht es dem Inhaber einer Domain, festzulegen, welche E-Mail-Server berechtigt sind, E-Mails im Namen dieser Domain zu versenden. Am einfachsten lässt sich SPF so erklären, dass Sie ein Paket an einen Freund schicken und DHL mit der Zustellung des Pakets beauftragt haben. Jeder andere Postdienst ist nicht autorisiert.

DomainKeys Identified Mail – der Poststempel

DKIM steht für DomainKeys Identified Mail und funktioniert durch Hinzufügen einer digitalen Signatur in die Kopfzeile einer E-Mail-Nachricht.  Am einfachsten lässt sich DKIM so erklären, dass Sie ein Siegel an das von Ihnen versandte Paket anbringen, das bei der Ankunft intakt sein sollte. Wenn das Siegel gebrochen ist, wissen Sie, dass der Inhalt manipuliert werden kann.

Domänenbasierte Messaging-Authentifizierung, Berichterstattung und Konformität

DMARC steht für Domain-based Messaging Authentication Reporting & Conformance und ist ein offener Standard, der auf SPF und DKIM aufbaut. Mit DMARC kann ein Domäneninhaber festlegen, wie seine E-Mails behandelt werden sollen, wenn sie SPF- oder DKIM-Prüfungen nicht bestehen. Der Domäneninhaber kann wählen, ob die E-Mail zurückgewiesen, als Spam markiert oder wie gewohnt zugestellt werden soll.

Ohne DMARC kann der Domäneninhaber nicht sehen, wer oder was E-Mails im Namen seiner Domäne versendet. DMARC liefert auch Rückmeldungen darüber, wie die eigenen E-Mails von anderen E-Mail-Servern behandelt werden.

Die drei DMARC-Richtlinien

Mit DMARC kann ein Domäneninhaber eine Richtlinie auswählen, die dem E-Mail-Empfangsserver mitteilt, was mit einer E-Mail geschehen soll, wenn diese die DMARC-Prüfung nicht besteht. DMARC bietet drei Richtlinien zur Auswahl:

– p=none: überwacht den E-Mail-Verkehr. Es werden keine weiteren Maßnahmen ergriffen.

– p=quarantine: behandelt E-Mails, die die DMARC-Prüfung nicht bestehen, als Spam und schickt sie in den Spam-Ordner.

– p=reject: blockiert E-Mails, die die DMARC-Prüfung nicht bestehen. Die E-Mails kommen einfach nicht im Posteingang an. P=reject sollte immer das Ziel bei der Implementierung von DMARC sein.

Es ist sehr wichtig zu wissen, dass eine Änderung der DMARC-Richtlinie negative Auswirkungen auf Ihren E-Mail-Verkehr haben kann, wenn Sie Ihre Domänen in der p=none-Phase nicht richtig überwacht haben. Eine Domain kann nur einmal in drei Monaten für den Versand eines Newsletters verwendet werden. Das bedeutet, dass es drei Monate dauert, um alle Daten von dieser bestimmten Domain zu erhalten. Nehmen Sie sich also Zeit und beobachten Sie, treffen Sie keine übereilten Entscheidungen.

Wie fängt man mit DMARC an?

Der Einstieg in DMARC erfordert ein paar Schritte, ist aber nicht allzu kompliziert.

1. Analysieren Sie zunächst, welche Domänen Sie haben, sendende und nicht sendende Domänen. Auch Unterdomänen.

2. Erstellen Sie eine E-Mail-Authentifizierungsrichtlinie für jede Domäne (hoffentlich haben Sie diese bereits eingerichtet). Diese sind oben erwähnt, SPF und DKIM.

3. Veröffentlichen Sie eine DMARC-Richtlinie im DNS-Eintrag Ihrer Domäne. Dadurch wissen andere Mailserver, dass Sie DMARC verwenden und wie sie mit fehlgeschlagenen Authentifizierungsprüfungen umgehen sollen.

4. Überwachen Sie Ihre DMARC-Berichte, um zu sehen, wie Ihr E-Mail-Verkehr von anderen E-Mail-Servern behandelt wird. Sie können nun alle Probleme oder Schwachstellen in Bezug auf Ihre Domänen identifizieren.

Empfangen von DMARC-XML-Berichten

Der einzige Nachteil ist, dass diese DMARC-Berichte, bei denen es sich um XML-Dateien handelt, wie in der Abbildung unten aussehen.

Raw DMARC XML data – Bildquelle: DMARC Advisors

Der obige XML-Bericht stammt nur von einer einzigen Domäne und einer einzigen Quelle. Wenn Sie also viele E-Mails von vielen Domains versenden, erhalten Sie mehr als genug Berichte. Die Analyse dieser Berichte kann sehr zeitaufwändig und schwer zu interpretieren sein.

Lesbare DMARC-XML-Berichte

DMARC Advisor stellt seit 2013 lesbare DMARC-Daten zur Verfügung und liefert detaillierteste Berichte.

Image from the DMARC Advisor Platform – Bildquelle: DMARC Advisors

Wir wissen, dass die Analyse von DMARC-Daten eine Herausforderung sein kann. Aus diesem Grund haben wir den Detail Viewer entwickelt – ein leistungsstarkes Tool, das die Navigation erleichtert. Sie können ganz einfach die Datenzeitleiste durchsuchen und die Ergebnisse nach bestimmten Suchparametern wie Datum, Domänen und Datenanbietern filtern.

Die Filteroption ist besonders nützlich, da sie Ihnen ermöglicht, die potenziellen E-Mail-Bedrohungen zu erkennen, die entstehen könnten, wenn eine DMARC-Richtlinie eingeführt worden wäre. Mit diesen Informationen können Sie etwaigen Sicherheitsverletzungen zuvorkommen und Schritte zur Verbesserung Ihrer E-Mail-Sicherheit unternehmen.

Der Detail Viewer kategorisiert die DMARC-Daten in vier übergeordnete Registerkarten: DMARC-fähig, Nicht-konform, Weiterleitung und Bedrohung/Unbekannt. Jede Registerkarte bietet detaillierte Informationen zur DMARC-Konformität und hebt Infrastrukturen hervor, die Aufmerksamkeit erfordern. Sie können sogar in jede Kategorie eindringen, um weitere Details zu erfahren und die Quellen der E-Mails Ihrer Domäne zu identifizieren.

Unsere Plattform ermöglicht es Ihnen auch, Daten von mehreren Anbietern über bestimmte Zeiträume hinweg zu kombinieren. Auf diese Weise erhalten Sie einen umfassenden Überblick über die E-Mail-Sicherheit Ihrer Domäne und können Ihre DMARC-Daten ohne Stress verstehen. Wir bei DMARC Advisor haben uns verpflichtet, Ihnen schnell und einfach zu helfen, die benötigten Einblicke zu erhalten, und der Detail Viewer ist eine Möglichkeit, dieses Versprechen zu erfüllen.

Zögern Sie nicht, uns zu kontaktieren, um Ihren Kampf gegen Spoofing und E-Mail-Missbrauch zu beginnen!