Weitere Maßnahmen zur Mail-Sicherheit

Es gibt noch einige weitere Maßnahmen zur Erhöhung des Schutzniveaus bei der E-Mail-Kommunikation, die in der Orientierungshilfe nicht genannt sind. Wir halten sie aber dennoch für relevant.


Sender Policy Framework (SPF)

Obwohl sich die Autoren ihren Angaben zufolge in der Orientierungshilfe am „Stand der Technik zum Veröffentlichungszeitpunkt“ orientiert haben, wird SPF nicht erwähnt. Zwar hat SPF einige Schwächen (z.B. in Bezug auf E-Mail-Weiterleitungen oder Mailinglisten), dennoch ist es ein seit Jahren bewährtes Verfahren zur Erkennung von böswilligen E-Mails, die von nicht autorisierten Mail-Servern versendet wurden. Insofern ist die Einrichtung eines SPF-Records im DNS und die SPF-Prüfung eingehender E-Mails für verantwortliche Stellen ratsam.

Domain-based Message Authentication, Reporting and Conformance (DMARC)

DMARC setzt SPF und DKIM voraus und kombiniert bei eingehenden E-Mails die Ergebnisse dieser Prüfungen. Die Technik legt (in Form eines DNS-Eintrages) fest, wie der empfangende Mail-Server mit einer E-Mail umgehen soll, für die beide Prüfungen fehlschlagen. Im DNS-Eintrag kann eine E-Mail-Adresse (oder eine URL) festgelegt werden, an die Berichte zur Einhaltung von SPF und DKIM gesendet werden. Wir raten zur Einrichtung des Verfahrens bei verantwortlichen Stellen (auch wenn die Berichte nicht ausgewertet werden sollen – in diesem Fall kann die Angabe einer E-Mail-Adresse oder einer URL ausbleiben).

SMTP-TLS-Reporting (TLSRPT)

TLSRPT liefert eine Möglichkeit, Informationen über eingehende SMTP-Verbindungen zu erhalten. Das Verfahren kann mit einem DNS-Eintrag konfiguriert werden; Berichte werden wahlweise an eine E-Mail-Adresse oder an eine URL übermittelt. Auf diese Weise kann der Betreiber eines Mail-Server Maßnahmen treffen, um eventuellen Fehlern entgegenzuwirken.

Brand Indicators for Message Identification (BIMI)

BIMI ist ein recht junges Verfahren, das DKIM, SPF und DMARC mit bestimmten Eigenschaften voraussetzt. Es wird unter anderem bereits von Yahoo und Gmail unterstützt. BIMI ermöglicht es, eine Bildmarke (z.B. das Logo eines Unternehmens) als Icon beim Empfang von E-Mails anzuzeigen. Dabei ist gewährleistet, dass nur der Markeninhaber ein gültiges Icon anzeigen kann.

BIMI setzt voraus, dass die Bildmarke in einem offiziellen Markenregister angemeldet ist. Außerdem wird ein Zertifikat von einer Zertifizierungstelle benötigt (ähnlich wie bei SSL/TLS-Zertifikaten), welche händisch die Eintragung im Register überprüft. Die Kosten sind vergleichsweise hoch1, weshalb sich BIMI finanziell vermutlich noch nicht für alle verantwortlichen Stellen lohnt. Wer die finanziellen Möglichkeiten hat, sollte BIMI in unseren Augen umsetzen. Wir rechnen damit, dass das Verfahren in immer mehr (Web-)Mail-Clients implementiert wird.

Ergebnisse überprüfen

Neben der Implementierung der Verfahren ist es wichtig, deren Ergebnisse regelmäßig zu überprüfen. Da es mühsam sein kann, händisch alle Daten aus den (per E-Mail oder über eine URL) zugesandten Berichten auszulesen, bieten sich an dieser Stelle spezielle Tools an. Sie geben meist einen grafischen Überblick über verschiedene Parameter der regelkonformen E-Mails und die Möglichkeit, einzelne Daten genauer einzusehen.

Uns haben insbesondere folgende Tools überzeugt: URIports, Mailhardener und dmarcian.


1 Stand: August 2021

Veröffentlicht am
Kategorisiert in Allgemein