Gefälschte Absenderadressen von Mails erkennen
Die Werkzeuge SPF, DKIM und DMARC verhindern, dass Mailserver gefälschte Mails überhaupt erst annehmen – egal, wie gut eine Phishing-Mail gemacht ist.
- Patrick Ben Koetter
Eine neue Mail. Sie scheint wichtig zu sein. In der Absendeadresse steht irgendwas von "Chef" – allerdings handelt es sich um Betrug. Spammer, Phisher oder Malware-Sender fälschen die Adresse des Absenders. Sie hoffen, so das Vertrauen der Empfänger zu gewinnen, die Ihnen zum Beispiel Zugang zur Infrastruktur einer Firma liefern oder am besten gleich zu Bankkonten.
Deshalb sollte ein empfangender Mailserver bei der Annahme einer Mail prüfen, ob der Absender wirklich der ist, der er vorgibt zu sein. Einen entscheidenden Beitrag dazu leisten die Techniken Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM). Domain-based Message Authentication, Reporting and Conformance (DMARC) bestimmt, wie ein empfangender Server SPF- und DKIM-geprüfte Mails behandelt.
Alle drei Methoden richten sich an die Senderdomain. Daneben gibt es weitere Methoden, darunter etwa DANE (DNS-based Authentication of Named Entities), das die TLS-Verschlüsselung zur Empfänger-Domain prüft. Sie helfen gegen Man-in-the-Middle-Attacken und sind daher nicht Gegenstand dieses Beitrags.
Das war die Leseprobe unseres heise-Plus-Artikels "Gefälschte Absenderadressen von Mails erkennen". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.