Phishing und Spoofing: BSI gibt Hinweise zur E-Mail-Authentifizierung
Gewappnet mit Standards wie SPF, DKIM und DMARC könnten Anbieter selbst neue Angriffe wie SMTP-Smuggling erschweren, heißt es in einer Technischen Richtlinie.
(Bild: Shutter z/Shutterstock.com)
Über das Simple Mail Transfer Protocol (SMTP) läuft der Großteil der Versand von E-Mails. Als es in den 1980ern entwickelt wurde, waren Methoden zur Überprüfung der Authentizität einer Nachricht noch kein Schutzziel. Betrüger sind sich dessen wohl bewusst. "Sie nutzen diese Schwachstelle aktiv aus und geben sich in der Kommunikation mit potenziellen Opfern als vertrauenswürdige Person aus", schreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer jetzt veröffentlichten Technischen Richtlinie zur E-Mail-Authentifizierung (TR-03182).
Damit will es E-Mail-Providern eine Richtschnur im Vorgehen gegen Phishing und Spoofing an die Hand geben. Es geht um das Fälschen des Absendernamens, um Betroffene abzuzocken. "Die Authentizität einer E-Mail, also die Nachvollziehbarkeit der Herkunft einer Nachricht von einem bestimmten Absender, ist von grundlegender Bedeutung für die Vertrauenswürdigkeit", hebt das BSI hervor. Werde diese fälschlicherweise erlangt, drohe etwa die Weitergabe personenbezogener Daten oder die Veranlassung von Zahlungen im Namen der vertrauenswürdigen Person.
Um dieser Form des Identitätsmissbrauchs vorzubeugen, seien in den vergangenen Jahren verschiedene Methoden entwickelt worden, die als E-Mail-Authentifizierung bezeichnet würden. Die in der Richtlinie festgelegten technischen Vorgaben fassten diese zusammen und legten Anforderungen fest, "die für die Implementierung erfüllt sein müssen, damit Empfänger wirksam vor Identitätsmissbrauch geschützt werden können".
In dem Dokument stellt das BSI auf die gängigen Authentifizierungsmaßnahmen in Form dreier Internetstandards ab. So wird mithilfe von SPF (Sender Policy Framework) die grundsätzliche Berechtigung zum Senden von E-Mails im Auftrag einer bestimmten Domain geprüft. Der ebenfalls in der TR geforderte Standard DKIM (Domain Key Identified Mail) binde jede gesendete Mail kryptographisch an die Domain. Die dritte Spezifikation ist DMARC (Domain-based Message Authentication, Reporting and Conformance). Dabei geht es um Regeln, wie mit Verstößen gegen die Legitimität und Überprüfung umgegangen werden soll und wohin Berichte darüber zu senden sind.
BSI-Präsidentin: Cybersicherheit pragmatisch gestalten
E-Mail-Authentifizierung legitimiert der neuen TR zufolge so die Message Handling Services (MHS), die Nachrichten im Namen einer sendenden Domäne übertragen dürfen. Wenn ein autorisierter MHS E-Mails im Namen einer Absenderdomain sende, könne ein empfangender Gegenpart überprüfen, ob die IP-Adresse des sendenden Servers Teil der SPF-Richtlinie und die digitale DKIM-Signatur, die der sendende Server an die ausgehende Nachricht angehängt hat, intakt ist.
Dabei werde auch kontrolliert, dass das sendende System die nötige Berechtigung hat, die Nachricht von der Domain stammt und sie während des Transports nicht verändert wurde. So könnten Mail-Anbieter ihre und Kunden auch vor unberechtigtem Mitlesen und Manipulation (Man-in-the-Middle-Angriffen) schützen, erläutert die Bonner Behörde. Das Umsetzen der Maßnahmen erschwere zumindest auch neu entdeckte Angriffsmethoden wie SMTP-Smuggling. Damit ist es möglich, unter gewissen Umständen SPF, DKIM und DMARC zu überrumpeln.
Große Mail-Anbieter haben laut dem BSI bereits angekündigt, für das massenhafte Zustellen von E-Mails künftig Mechanismen zur Authentifizierung zu fordern. Teils haben sie auch schon auf die "Schmuggelattacke" reagiert. Das Nutzen offener SMTP-Relay-Server wird gleichzeitig immer schwieriger. BSI-Präsidentin Claudia Plattner betonte, insgesamt gehe es darum, Cybersicherheit im Sinne des digitalen Verbraucherschutzes "pragmatisch" zu gestalten. Die neue TR setze "genau hier an".
(dahe)
