Wagenburg
Wie SPF, DKIM und DMARC gegen Phishing und Spoofing helfen
Ist eine Phishing-Mail gut genug gemacht, kommt sie mit einiger Wahrscheinlichkeit an Filtern wie SpamAssassin vorbei. SPF, DKIM und DMARC sind Werkzeuge, die verhindern können, dass ein Mailserver gefälschte Mails überhaupt erst annimmt.
Spammer, Phisher und Malware-Sender fälschen die Adresse des Mailabsenders, weil sie sich von der Nennung eines bestimmten Absenders – etwa „Chef“ – eine Vertrauensstellung erhoffen, die Ihnen zum Beispiel Zugang zur Infrastruktur einer Firma liefert oder am besten gleich zu Bankkonten.
Deshalb sollte ein empfangender Mailserver bei der Annahme einer Mail prüfen, ob der Absender wirklich der ist, der er vorgibt zu sein. Einen entscheidenden Beitrag dazu leisten die Techniken Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM). Domain-based Message Authentication, Reporting and Conformance (DMARC) bestimmt, wie ein empfangender Server SPF- und DKIM-geprüfte Mails behandelt.
Alle drei Methoden richten sich an die Senderdomain. Daneben gibt es weitere Methoden, darunter etwa DANE (DNS-based Authentication of Named Entities), das die TLS-Verschlüsselung zur Empfänger-Domain prüft. Sie helfen gegen Man-in-the-Middle-Attacken und sind daher nicht Gegenstand dieses Beitrags.