Domain-based Message Authentication, Reporting and Conformance - Prof. Dr. Norbert Pohlmann

Was ist DMARC?

DMARC steht für „Domain-based Message Authentication, Reporting and Conformance“ und ist ein offenes E-Mail-Überprüfungsprotokoll, das E-Mails auf Domain-Ebene schützt (RFC 7489). DMARC erkennt und verhindert Spoofing-Techniken, die bei Phishing, Business-E-Mail Compromise (BEC), und anderen E-Mail-basierten Angriffen eingesetzt werden.

DMARC baut auf die Infrastruktur-Sicherheitsverfahren Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) auf, indem es für eine Absender-Domain festlegt, wie die Empfänger-Mail-Server die Überprüfung von E-Mails durchführen soll und wie im Falle eines Fehlers zu verfahren ist. SPF stellt sicher, welcher Absender-E-Mail-Server eine E-Mail von einer definierten Domäne versenden darf und DKIM stellt sicher, dass diese E-Mail unverändert vom echten Absender stammt.

Mithilfe von DMARC kann der Absender zusätzlich eine DMARC-Richtlinie festlegen, auf welche Art der Empfänger mit einer E-Mail umgehen soll, die nicht den Anforderungen entspricht. Zum Beispiel von einem nicht-autorisierten Absender-E-Mails-Server stammt (SPF) oder manipuliert worden ist (DKIM). Zusätzlich legt sie fest, was der Empfänger tun soll, wenn die Prüfungen fehlschlagen: trotzdem annehmen, in Quarantäne legen (z.B. Spam-Ordner) oder abweisen und nicht zustellen.

Die DMARC-Richtlinie der Absender-Domain wird durch einen DMARC-Record im Domain Name System (DNS) authentisch bekannt gegeben. Sofern der Empfänger-E-Mail-Server dieses anwendet, ist dadurch auch eine konsistente Überprüfung dieser E-Mails möglich.

Außerdem werden in der DMARC-Richtlinie E-Mail-Adressen hinterlegt, an die DMARC -Berichte geschickt werden sollen. Diese DMARC-Berichte können im Prinzip von allen Servern im Internet erstellt werden, die DMARC beim E-Mail-Empfang unterstützen und E-Mails von der jeweiligen Domain erhalten haben. Um zu verhindern, dass die durch die DMARC-Berichte erzeugte Menge an Daten zu groß wird, kann in der DMARC-Richtlinie außerdem der Prozentsatz an E-Mails bestimmt werden, für die ein DMARC-Bericht generiert wird. Des Weiteren werden die DMARC-Berichte gesammelt und standardmäßig nur einmal am Tag an die jeweilige Reporting-Adresse geschickt.

Mit DMARC wird auch die Reputation einer Domäne geschützt.

Dieser Missbrauch einer Domäne kann dazu führen, dass die IP-Adressen von sendenden E-Mail-Servern auf Blocklisten landen und künftig von empfangenden E-Mail-Servern abgewiesen werden. Dies bedeutet nicht nur eine Gefahr für den Kommunikationsfluss, sondern vorallem auch ein großes Risiko für die Reputation der entsprechenden Domäne. Einige große E-Mail-Provider akzeptieren nur noch E-Mails die DMARC verwenden.

Beispiele für Angriffe, die DMARC verhindern soll

• Domain-Spoofing: Ein Angreifer fälscht die Domain eines Unternehmens, um eine E-Mail legitim erscheinen zu lassen.
• E-Mail-Spoofing: Ein Begriff für Spoofing-Aktivitäten mit E-Mails.
• Business-E-Mail-Compromise (BEC): Eine E-Mail, die anscheinend von einem leitenden Angestellten innerhalb des Unternehmens stammt und darum bittet, Geld oder vertrauliche Informationen zu senden.
• Impostor E-Mails: Eine gefälschte E-Mail, in der ein Betrüger vorgibt, jemand anderes zu sein.
• Phishing-E-Mails: Eine E-Mail, in der Opfer dazu verleitet werden sollen, Malware zu installieren oder ihre Zugangsdaten mitzuteilen. Eine Phishing-Mail sieht oft wie die einer bekannten Firma/Organisation aus, um legitim zu erscheinen.
• Consumer-Phishing: Eine gefälschte E-Mail, die an die Kunden eines Unternehmens gesendet wird, um Zugangsdaten zu stehlen.
• Partner-Spoofing: Gefälschte Geschäfts-E-Mails zwischen Partnern in der Lieferkette, in denen versucht wird, Zahlungsdetails zu ändern, um Geld abzuschöpfen.
• Whaling: Gefälschte E-Mails, die an einen leitenden Mitarbeiter des Unternehmens gesendet werden, um einen großen finanziellen Gewinn zu erzielen.

Weitere Informationen zum Begriff “Domain-based Message Authentication, Reporting and Conformance”:

„Rüstzeug für mehr Security-Awareness – SecAware.nrw – das kostenlose Selbstlernangebot, nicht nur für Hochschulen“

„Chancen und Risiken von ChatGPT – Vom angemessenen Umgang mit künstlicher Sprachintelligenz“

„DS-GVO im Online-Marketing – Balanceakt zwischen Datenschutz und Unternehmensgewinn“

„Telematik-Infrastruktur 2.0 – Cloud-Infrastruktur für ein sicheres Gesundheitswesen“

„Confidential Computing – Intel TDX: Geschützt in der Public Cloud“

„Dreiklang der IT-Sicherheit: Menschen, Prozesse, Technologie“

„Das vernetze E-Auto als IoT-Gerät“

„Lehrbuch Cyber-Sicherheit“

„Übungsaufgaben und Ergebnisse zum Lehrbuch Cyber-Sicherheit“

„Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download“

„Vorlesungen zum Lehrbuch Cyber-Sicherheit“

„Wie viel IT-Sicherheit und Vertrauenswürdigkeit brauchen wir für unsere komplexe digitale Zukunft?“

„URBAN.KI Deutsches KI-Institut für Kommunen – Innovationsinitiative“

„Cyber-Sicherheit und Vertrauenswürdigkeit für Smart-Cities“

„Kommunale IT-Sicherheit“

„Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Marktplatz IT-Sicherheit“

„Marktplatz IT-Sicherheit: IT-Notfall“

„Marktplatz IT-Sicherheit: IT-Sicherheitstools“

„Marktplatz IT-Sicherheit: Selbstlernangebot“

„Marktplatz IT-Sicherheit: Köpfe der IT-Sicherheit“

„Vertrauenswürdigkeits-Plattform“

Summary

Article Name

Domain-based Message Authentication, Reporting and Conformance

Description

DMARC baut auf die Sicherheitsverfahren SPF und DKIM auf, indem es für eine Absender-Domain festlegt, wie die Empfänger-Mail-Server die Überprüfung von E-Mails durchführen soll und wie im Falle eines Fehlers zu verfahren ist.

Author

Prof. Norbert Pohlmann

Publisher Name

Institut für Internet-Sicherheit – if(is)

Publisher Logo