Das ATEGRA-Blog

ATEGRA software engineering for Notes, Microsoft, iOS and Android

Tags

Feeds

Archives

SPF, DKIM und DMARC - Wozu soll dies nützlich sein?

Heinz Mathys 18 September 2018 07:47:36

Dieser Blog versucht die Schlagwörter SPF, DKIM und DMARC kurz und einfach zu erklären. Alle drei Methoden werden im Kampf gegen SPAM, neben anderen Methoden wie z.B. Deep-Mail-Inspection, verwendet.

Ultrakurzbeschreibung der drei Methoden: Die empfangende Stelle (=Mailempfänger) kann anhand von DNS-Einträgen überprüfen, ob es der sendenden Stelle (=Mailabsender) erlaubt ist, das Mail zu senden.

Was ist SPF und wozu braucht man das?

SPF = Sender Policy Framework – http://en.wikipedia.org/wiki/Sender_Policy_Framework oder http://www.openspf.org
Die empfangende Stelle kann mit dem SPF überprüfen, ob die absendende Stelle authorisiert wurde, Mails im Namen der Domäne zu versenden.
Die Überprüfung erfolgt über das DNS-System, indem der entsprechende SPF-DNS-Record ("v=spf1...") durch die empfangende Stelle abgefragt wird, und überprüft, ob die IP-Adresse oder der Hostnamen mit einem SPF-Eintrag übereinstimmt.
Falls die Absende-Mail-Adresse also z.B. abc@ategra.ch ist, dann wird der SPF-DNS-Record der Domäne ategra.ch abgefragt und überprüft.

Was ist DKIM und wozu braucht man das?

DKIM = Domain Key Identified Mail – http://en.wikipedia.org/wiki/DomainKeys_Identified_Mail
Jedes ausgehende Mail wird mit einem Zertifikat signiert, sodass die empfangende Stelle verifizieren kann, ob das Mail auf dem Weg zwischen zwei Mail-Server unverändert ankam.
Die Überprüfung erfolgt über das DNS-System, indem der entsprechende DKIM-DNS-Record ("v=DKIM1...") durch die empfangende Stelle abgefragt wird, und überprüft, ob die Signatur gültig ist.
Der ausgehende Mail-Server für ategra.ch signiert jedes Mail mit dem 'DKIM-Zertfikat' und fügt ein entsprechendes SMTP-Message-Header-Feld ein. Der empfangende Server prüft anhand der DKIM-DNS-Record-Abfrage, ob diese Signatur gültig ist.
DKIM ist für die Endbenutzer transparent, d.h. Endbenutzer merken im Normalfall nichts von dieser Überprüfung.

Was ist DMARC und wozu braucht man das?

DMARC = Domain-based Message Authentication, Reporting and Conformance – http://en.wikipedia.org/wiki/DMARC oder http://www.dmarc.org
Dies ist i.d.R. die letzte der drei Überprüfungen. Die empfangende Stelle erhält eine Instruktion, wie mit Mails verfahren werden soll, welche die Prüfung nicht bestanden haben.
Auch diese Überprüfung erfolgt über das DNS-System, indem der entsprechende DMARC-DNS-Record ("v=DMARC1...") ein Regelwerk der empfangenden Stelle zur Verfügung stellt.
Das Regelwerk basiert wiederum auf den Prüfresultaten von SPF und DKIM, weshalb eine vorhandene SPF- und/oder DKIM-Konfiguration Voraussetzung ist.
Ohne DMARC muss die empfangenden Stelle selbständig entscheiden, was mit einem Mail passiert, welches die Prüfung nicht besteht.
Mit DMARC erhält die empfangende Stelle eine Instruktion vom Besitzer der Absender-Mail-Domäne (also z.B. von @ategra.ch) wie mit einem Mail verfahren werden soll, welches die Prüfung nicht besteht.
Zusätzlich wird die sendende(!) Stelle über die negativen Prüfresultate informiert, sodass diese ggf. Gegenmassnahme einleiten kann. Dies bedeutet wiederum, dass die empfangende Stelle diese Reports auswerten sollte um geeignete Gegenmassnahmen zu ergreifen.

Gerne helfen wir Ihnen das Mail-System abzusichern. Melden Sie sich z.B. per Mail an info@ategra.ch.
Ich persönlich empfehle die Massnahmen in der Reihenfolge der oben erklärten Begriffe anzugehen.

Comments Disabled