E-Mail Sicherheit mit wenigen Massnahmen sichern

Laptop mit Icons in der Luft von E-Mail Sicherheit

E-Mail Sicherheit für .ch Domains: Lücken schliessen und schützen

Die E-Mail Sicherheit ist ein zentraler Bestandteil des digitalen Alltags und betrifft sowohl Privatpersonen als auch Unternehmen. Der Swiss Domain Security Report Q4 2023 zeigt aktuelle Trends und Lücken bei der E-Mail Sicherheit von .ch-Domains auf. Er verdeutlicht, dass es mit relativ einfachen Massnahmen möglich ist, die Sicherheit deutlich zu erhöhen.

Sowohl Google als auch Yahoo haben ihre Sicherheitsrichtlinien für E-Mails verschärft und verlangen die Implementierung von SPF, DKIM und DMARC Einträgen. Es ist Zeit, die Domain-Sicherheitsmassnahmen zu überprüfen und auf den neuesten Stand zu bringen, um sich effektiv vor E-Mail Bedrohungen zu schützen. Wir zeigen dir in wenigen Schritten, was es alles für mögliche Ansätze gibt und wie du deine E-Mail Sicherheit erhöhen kannst.

SPF

Sender Policy Framework

Seit 2003 bietet SPF die Möglichkeit mit einer Richtlinie festzulegen, welche Mailserver berechtigt sind, E-Mails für eine bestimmte Absenderdomain zu versenden. Obwohl viele Unternehmen bereits SPF Einträge haben, sind diese oft veraltet. Rund 30% verwenden immer noch ein Softfail (~all) statt des sichereren Hardfail (-all). Einige wenige Domains haben sogar mehrere SPF Einträge, was zu Fehlern führt.

DKIM

Domain Keys Identified Mail

DKIM existiert seit 2011 und ermöglicht es, E-Mail Header mittels Public Key Verfahren zu signieren. In einfachen Worten ausgedrückt, ermöglicht DKIM dem empfangenden Mailserver zu überprüfen, ob die Header der E-Mail während der Übermittlung manipuliert wurden.

Die Aktivierung von DKIM in Microsoft 365 ist einfach: Pro Domain müssen bloss zwei DNS CNAME Records erstellt werden. Danach kann DKIM in Exchange Online aktiviert werden.

DMARC

Domain-based Message Authentication, Reporting and Conformance

DMARC existiert seit 2015 und setzt auf bestehende Technologien wie SPF und DKIM. Bei DMARC wird eine Policy veröffentlicht, welche bestimmt, was mit einer E-Mail Nachricht geschieht. Zudem ermöglicht es ein umfasendes Reporting. Dazu brauchst du einen DMARC Reporting Provider wie etwa DMARC Advisor oder Easy DMARC. Dies ergibt einen Feedback Loop, mit welchem die SPF und DKIM Einträge geprüft und gehärtet werden können.

Seit April 2023 versendet auch Exchange Online DMARC Reports, was zu massiv verbesserten Einblicke der Reports geführt hat. Derzeit besitzen erst rund 11% der .ch Domains einen DMARC Eintrag. Davon ist rund die Hälfte im Reporting Modus (p=none).

DANE

DNS-based Authentication of Named Entities

Seit 2015 bietet DANE die Option, mit einem TLSA Eintrag den Hash des Zertifikats des Mailservers zu veröffentlichen. Dadurch kann ein sendender Mailserver prüfen, ob der empfangende Mailserver das richtige TLS Zertifikat anbietet und «Man in the Middle Attacken» verhindern. Voraussetzung dafür ist allerdings die Absicherung der Domain mit DNSSEC, was bereits bei fast der Hälfte der .ch Domains der Fall ist. Des Weiteren solltest du prüfen, ob dein DNS Provider TLSA Einträge unterstützt.

MTA-STS

SMTP MTA Strict Transport Security

MTA-STS erlaubt seit 2018 die Veröffentlichung einer Policy, die den sicheren Versand von E-Mails über TLS1.2 sicherstellt. Unterstützt der Absender MTA-STS, so wird die E-Mail Nachricht über TLS1.2 versendet. Hierbei muss ein öffentliches Zertifikat mit dem SubjectName oder SubjectAlternativeName (SAN) des Hostnames vom MX Eintrag enthalten sein. Dies ist besonders sinnvoll für Domains, die noch nicht mit DNSSEC abgesichert sind. Es zeigt sich aktuell ein Trend bei der Zunahme von MTA-STS.

Auch unsere Kunden setzen auf MTA-STS. Kürzlich konnten wir die Domains der SBB erfolgreich mit MTA-STS schützen und zogen bereits nach kurzer Zeit ein positives Fazit.

TLSRPT

SMTP TLS Reporting

TLSRPT, ebenfalls seit 2018 verfügbar, ermöglicht das Reporting von TLS Problemen beim SMTP Versand einzurichten - ähnlich wie DMARC. Dies unterstützt das Monitoring von DANE und MTA-STS geschützten Domains. Hier wird ein TLSRPT Provider benötigt, welcher die Daten aufbereitet.

Die Implementierung dieser Massnahmen kann deine E-Mail Sicherheit signifikant erhöhen. Prüfe deine Domains und bringe sie auf den neuesten Sicherheitsstandard, um sich gegen die zunehmenden Bedrohungen im digitalen Raum zu wappnen.

Wenn du weitere Fragen dazu hast oder Hilfestellung wünscht, stehen wir dir gerne zur Verfügung.