Keine Chance für Cyberkriminelle

Der Missbrauch von E-Mail-Domains kann für Kriminelle ein lukratives Geschäft sein – und kratzt zudem am Vertrauen der missbrauchten Marke. Das muss nicht sein, wenn man die entsprechenden Schutzmaßnahmen trifft. Ein internationaler Expertenverband hat nun ein Best-Practice-Dokument veröffentlicht, das zeigt, welche Vorkehrungen wirken.

Während die Politik gerade das Recht auf Homeoffice diskutiert, ist die Mehrheit der Unternehmen bereits vollständig auf die digitale Kommunikation umgestiegen. Besonders jetzt gewinnt das Medium E-Mail an Bedeutung: Geschlossene Shops, Ämter oder Schulen zwingen zu einer digitalen Kommunikation – per E-Mail.

Das zeigt: Die E-Mail ist längst nicht tot, sie ist und bleibt einfach der beliebteste digitale Kommunikationskanal mit der größten Reichweite. Zudem hat genießt die E-Mail höchstes Vertrauen und Akzeptanz. Doch genau dort schalten sich auch Cyberkriminelle ein, die den Kanal für ihre Ziele ausnutzen. Etwas drastisch ausgedrückt: Wir leben nicht nur in einer Corona-Pandemie, sondern auch in einer Phishing- und Spoofing-Pandemie.

Um den Schutz der Privatsphäre und die Sicherheit der Endbenutzter zu gewährleisten, ist es unabdingbar sich mit E-Mail-Authentifizierungsstandards auseinanderzusetzten, zu implementieren und letztlich zu nutzen. Oder würden Sie einer Nachricht vertrauen, wenn Sie nicht wissen, wer diese Nachricht gesendet hat? Solches Vertrauen kann lediglich über ordnungsgemäße E-Mail-Authentifizierungsmechanismen geschaffen werden. Und nicht nur das: Gleichzeitig schützen Sie dadurch Ihre eigene Domain und den Ruf Ihrer Marke.

Schwergewicht im E-Mail-Ökosystem

Die internationale Arbeitsgruppe „Messaging, Malware und Mobile Anti-Abuse Working Group“ (M3AAWG) hat hierfür ein Best-Practice-Dokument zur E-Mail-Authentifizierung veröffentlicht. Im Mittelpunkt dieses Dokuments stehen einige spezifische technische Empfehlungen, wie SPF, DKIM und DMARC. Außerdem wird dort detailliert beschrieben, warum Authentifizierung so wichtig ist und wie es richtig umgesetzt werden soll.

Das Wichtigste zuerst: Die drei E-Mail-Authentifizierungsstandards (SPF, DKIM und DMARC) stehen seit vielen Jahren zur Verfügung. Sie sind Dreh- und Angelpunkt, wenn es darum geht, Spoofing und Phishing effektiv zu bekämpfen. Daher werden diese auch ständig optimiert, um höchste Sicherheit zu gewähren. Unternehmen, die ihre Versand-Domain ohne diese E-Mail- Authentifizierungsstandards schützen, öffnen Cyberkriminellen Haus und Hof. Diese können die Domain nämlich für ihre Zwecke missbrauchen (Domain Spoofing). Genau damit haben viele große Mailboxprovider zu kämpfen. Sie müssen nämlich solches Spoofing erkennen und eingehende E-Mails dementsprechend behandeln, um ihre eigenen Kunden zu schützten.

Aber es gibt ein Problem – diese Authentifizierungsmethoden sind optional. Leider wissen auch viele Unternehmen nicht, wie diese Standards funktionieren. Oder sie wissen es doch, setzen aber nicht alle drei Methoden um, weil es doch alles bisher gut funktioniert hat. Gründe und Ausreden gibt es genug. Aber: Je länger Unternehmen diese Authentifizierungsmethoden ignorieren, desto schlimmer wird die Situation für sie.

Zusammengefasst reicht eine Authentifizierungsmethode für sich alleine nicht aus. SPF und DKIM sollten auf eine Domain so eingerichtet sein, wie es DMARC voraussetzt. Das bedeutet: Die Domain, die die eindeutige Markenidentifikation in der E-Mail-Kommunikation ist, muss definitiv mit einer strengen DMARC-Ablehnungsrichtlinie geschützt werden. Ist das nicht der Fall, muss das E-Mail-Ökosystem Entscheidungen darüber treffen, um festzustellen, ob eine Nachricht legitim ist.

Setzt Ihr Unternehmen für die Absender-Domain SPF, DKIM & DMARC (mit einer strengen DMARC-Ablehnungsrichtlinie) ein, bürgt das quasi dafür, dass die gesendete E-Mail auch tatsächlich von ihrem Unternehmen stammt. Zusätzlich schützt das damit verbundene Domain Alignment vor Missbrauch Ihrer Adresse und stellt sicher, dass Ihre Marke nicht durch andere einen Imageschaden erleidet. Aber nicht falsch verstehen: Das bedeutet natürlich nicht, dass ein Empfänger dann automatisch Ihre E-Mail liest. Es weist lediglich darauf hin, dass E-Mails Ihrem Unternehmen eindeutig zugeordnet werden können.

Auf die Experten hören

Das Best-Practice-Dokument der M3AAWG zur E-Mail-Authentifizierung hat einen sehr hohen Einfluss auf das E-Mail-Ökosystem. Denn viele große Internet-Service-Provider, E-Mail-Service-Provider (wie Inxmail) und andere wichtige Akteure im E-Mail-Ökosystem zählen zu den Mitgliedern. Empfehlungen wie das Best-Practice-Dokument zur E-Mail-Authentifizierung sollten daher unbedingt beachtet werden.

Bei Inxmail nimmt die DMARC-E-Mail-Authentifizierung ordentlich Fahrt auf: Als Mitglied der M3AAWG haben wir es uns zur Aufgabe gemacht, die technischen Rahmenbedingungen für eine sichere Kommunikation zu schaffen. Mit Videos, Webinaren, Seminaren und intensiven Gesprächen stehen wir unseren Kunden zur Seite. Durch unser neu entwickeltes Brand Identity Protection innerhalb der Software, verlassen inzwischen über 85 % DMARC-authentifizierte E-Mails unsere Server.

Das Resultat lässt sich bei vielen Marken sehen: Weniger „False Positives“ bedeutet eine höhere Zustellrate. Und nicht vergessen: Eine höhere Zustellrate kann sich auf die Zustellbarkeit positiv auswirken.