Web-Entwicklung

E-Mail-Authentifizierung

E-Mail-Authentifizierung bezeichnet die Standards SPF, DKIM und DMARC, mit denen eine Domain festlegt, welche Server in ihrem Namen senden dürfen – und was empfangende Systeme mit Nachrichten tun sollen, die diese Prüfung nicht bestehen.

Die E-Mail-Authentifizierung ist die technische Gegenmaßnahme zum Fälschen von Absenderadressen und damit ein Grundbaustein der Abwehr von Phishing im Namen der eigenen Domain.

In einfachen Worten

Das E-Mail-Protokoll prüft von sich aus nicht, ob ein Absender echt ist – jeder Server kann eine beliebige Absenderadresse eintragen. Drei aufeinander aufbauende Standards schließen diese Lücke. SPF hinterlegt im Namenssystem der Domain, welche Server für sie senden dürfen; empfangende Systeme gleichen den einliefernden Server mit dieser Liste ab. DKIM versieht jede ausgehende Nachricht mit einer kryptografischen Signatur, deren Prüfschlüssel öffentlich hinterlegt ist – Veränderungen auf dem Transportweg und fremde Absender fallen dadurch auf. DMARC verbindet beide Prüfungen mit einer Richtlinie: Sie legt fest, ob nicht bestandene Nachrichten zugestellt, in die Quarantäne verschoben oder abgewiesen werden, und liefert Berichte darüber, wer im Namen der Domain sendet. Erst diese dritte Stufe macht die Prüfungen durchsetzbar – ohne DMARC bleiben SPF- und DKIM-Fehler häufig folgenlos.

Wozu brauche ich das?

Eingerichtet werden die Einträge im Namenssystem der eigenen Domain; betroffen sind alle versendenden Systeme – Mailserver, Newsletter-Versand, Rechnungs- und Shop-Systeme. Der Rollout erfolgt gestuft: erst beobachten, welche legitimen Absender existieren, dann die Richtlinie schrittweise verschärfen, bis nicht autorisierte Nachrichten abgewiesen werden. Der Nutzen wirkt in zwei Richtungen. Kunden und Lieferanten erhalten seltener gefälschte Nachrichten im Namen des Betriebs – das entzieht Phishing und CEO-Fraud mit der eigenen Absenderadresse die Grundlage. Und die eigene Post erreicht zuverlässiger den Posteingang, weil authentifizierte Absender von empfangenden Systemen besser eingestuft werden.

Beispiel aus der Praxis

Ein Großhändler erfährt von mehreren Kunden, sie hätten Zahlungserinnerungen mit neuer Bankverbindung erhalten – scheinbar von seiner Buchhaltungs-Adresse, tatsächlich von fremden Servern. Der Betrieb richtet die drei Einträge für seine Domain ein und stellt die Richtlinie nach einer Beobachtungsphase auf Abweisen. Die gefälschten Erinnerungen erreichen die Kunden-Postfächer von da an überwiegend nicht mehr, und die Auswertungs-Berichte zeigen, von wo aus die Fälschungen versandt wurden. Wachsam bleibt der Betrieb bei gezieltem Spear-Phishing über ähnlich geschriebene Fremd-Domains – dagegen wirkt die Authentifizierung nicht.

Wirtschaftlicher Nutzen

Gefälschte Nachrichten im Namen eines Betriebs beschädigen Geschäftsbeziehungen, auch wenn der Betrieb selbst kein Opfer ist – der Kunde, der auf die falsche Bankverbindung überweist, verbindet den Schaden mit dem vermeintlichen Absender. Die Einrichtung der drei Standards ist mit überschaubarem Aufwand möglich und wirkt dauerhaft. Zusammen mit der Transport-Verschlüsselung über SSL/TLS gehört die E-Mail-Authentifizierung zur technischen Grundausstattung eines geschäftlich genutzten Auftritts.

Typische Fehler

  • Die Richtlinie dauerhaft im reinen Beobachtungs-Modus belassen – Fälschungen werden dann gemeldet, aber weiter zugestellt.
  • Versendende Dienste vergessen – Newsletter- oder Shop-System fehlen in der Freigabeliste, und legitime Post fällt durch die Prüfung.
  • Die Richtlinie ohne Beobachtungsphase sofort auf Abweisen stellen und damit eigene Nachrichten blockieren.
  • Die Auswertungs-Berichte nie lesen, obwohl sie Missbrauch und Konfigurationsfehler sichtbar machen.
  • Die Standards als vollständigen Phishing-Schutz verstehen, obwohl sie ausschließlich die eigene Domain gegen Fälschung sichern.

Worauf achten?

  • Vor der Einrichtung alle versendenden Systeme erfassen – vom Mailserver bis zum Rechnungs-System.
  • Gestuft vorgehen: beobachten, Quarantäne, Abweisen – jede Stufe erst nach Auswertung der Berichte.
  • Nach jedem Wechsel eines Versand-Dienstleisters die Einträge prüfen und anpassen.
  • Ähnlich geschriebene Fremd-Domains im Blick behalten – gegen Buchstabendreher wirkt die Authentifizierung nicht.
  • Die Einrichtung mit der Absicherung der Postfächer kombinieren, etwa über eine Zwei-Faktor-Authentifizierung.

Häufig gestellte Fragen

Was ist E-Mail-Authentifizierung?

Der Oberbegriff für die Standards SPF, DKIM und DMARC. Sie legen fest, welche Server im Namen einer Domain senden dürfen, signieren ausgehende Nachrichten und bestimmen, wie empfangende Systeme mit Fälschungen umgehen.

Was machen SPF, DKIM und DMARC jeweils?

SPF benennt die zum Versand berechtigten Server. DKIM signiert jede Nachricht kryptografisch, sodass Veränderungen und fremde Absender auffallen. DMARC verknüpft beide Prüfungen mit einer Richtlinie – zustellen, Quarantäne oder abweisen – und liefert Berichte über den Versand im Namen der Domain.

Verhindert DMARC jedes Phishing?

Nein, der Schutz gilt der eigenen Domain: Nachrichten mit exakt gefälschtem Absender werden abgewiesen. Angriffe über ähnlich geschriebene Fremd-Domains oder frei erfundene Absender bleiben möglich und erfordern weiterhin Prüfroutinen im Posteingang.

Verbessert die Einrichtung die Zustellbarkeit eigener Mails?

Ja. Empfangende Systeme stufen authentifizierte Absender verlässlicher ein, wodurch legitime Post seltener im Spam-Ordner landet. Für den Versand größerer Mengen verlangen große Postfach-Anbieter die Standards inzwischen ausdrücklich.