Unternehmen, Server & Ihre Daten 100% in Österreich
E-Mail-Security auf DNS-Ebene
Um die Sicherheit von E-Mails zu gewährleisten, kommen verschiedene Authentifizierungsprotokolle zum Einsatz. Drei wesentliche Instrumente sind dabei:
- SPF (Sender Policy Framework)
- DKIM (DomainKeys Identified Mail)
- DMARC (Domain-based Message Authentication, Reporting, and Conformance)
1. SPF
Ein SPF-Eintrag (Sender Policy Framework) ist ein DNS-Eintrag, der festlegt, welche E-Mail-Server berechtigt sind, E-Mails im Namen einer bestimmten Domain zu senden.
E-Mails, die von anderen Servern stammen, können dadurch leicht gefiltert und vom Empfänger als Spam eingestuft werden. Immer mehr Anbieter gehen mittlerweile einen Schritt weiter und Stufen generell Domains ohne SPF-Eintrag als Spam ein.
Für den Versand von E-Mails über die Domaintechnik E-Mail-Server kann dieser Eintrag gesetzt werden:
Textformat: @ IN TXT "v=spf1 mx a include:spf.ledl.net ~all"
Die DNS-Zone finden Sie in Ihrer Domaintechnik Kundenzone unter "Leistungen" -> [Nameserver/Zone].
Subdomain: @
Typ: TXT
Text: v=spf1 mx a include:spf.ledl.net ~all
1.1 SPF-Eintrag für Versand über andere Anbieter
Senden Sie E-Mails auch über externe Server (zum Beispiel Newsletter-Versand, Rechnungsversand) müssen Sie den entsprechenden Anbieter für den SPF-Eintrag kontaktieren. Ein bestehender SPF-Eintrag muss danach erweitert werden, da nur ein SPF-Eintrag pro Domain konfiguriert werden darf.
Verwenden Sie zum Beispiel Microsoft und unsere E-Mail Server ist eine Erweiterung des Eintrags wie folgt möglich:v=spf1 include:spf.ledl.net include:spf.muster.at ~all
1.2 Wichtige Information für Reseller
Als Reseller werden E-Mails die durch unser System an Domaininhaber gesendet werden (z.B. Auth Code), unter Ihrer Kontaktadresse gesendet.
Das bedeutet, Sie müssen für Ihre Domain unseren SPF Eintrag hinzufügen, eine Erweiterung eines SPF Eintrages sieht zum Beispiel so aus:v=spf1 include:spf.ledl.net include:spf.muster.at ~all
2. DKIM (DomainKeys Identified Mail)
DKIM ist bei uns standardmäßig über den E-Mail Server aktiv, eine eigene Konfiguration aller Domains ist dadurch nicht erforderlich.
DKIM ist ein Authentifizierungsmechanismus für E-Mails, der darauf abzielt, die Identität des Absenders zu überprüfen und sicherzustellen, dass die E-Mail während der Übertragung nicht manipuliert wurde.
Es wurde als Reaktion auf Phishing-Angriffe und E-Mail-Spoofing entwickelt, bei denen Angreifer versuchen, E-Mails zu senden, die vorgeben, von einer vertrauenswürdigen Quelle zu stammen.
Dabei wird im sogenannten E-Mail Header eine Signatur hinzugefügt, die der Empfänger über einen öffentlichen Schlüssel der im DNS hinterlegt ist prüfen kann.
Im DNS handelt es sich dabei ebenfalls um einen TXT-Eintrag, dieser ist wie folgt aufgebaut (Beispiel):
Subdomain: dkim._domainkey
Typ: TXT
Text: "v=DKIM1; k=rsa; p=#PUBLIC KEY#"
Der öffentliche Schlüssel (Public Key) und private Schlüssel (Private Key) müssen dabei immer vom zuständigen E-Mail Provider generiert werden.
3. DMARC
Bei DMARC handelt es sich im Gegensatz zu SPF und DKIM nicht um eine Methode zur Authentifizierung einer Nachricht, sondern gibt Anweisungen was mit Nachrichten passieren soll, wenn die Authentifizierung fehlschlägt.
Ein SPF und DKIM Eintrag der Domain sind Voraussetzung für DMARC.
Auch bei DMARC handelt es sich um einen TXT-Eintrag
Subdomain: _dmarc
Typ: TXT
Text: "v=DMARC1; p=none; rua=mailto:postmaster@muster.at"
Mit der Anweisung "rua=" wie im Beispiel erhalten Sie an die angegebene Adresse tägliche Berichte welche Ihrer Nachrichten die Prüfungen bestanden oder nicht bestanden haben.