Mithilfe einer E-Mail-Identifizierung und -Authentifizierung kann der empfangenden E-Mail-Server feststellen, ob der Versender ein rechtmäßiger Absender ist. Die Authentifizierung wird verwendet, um zu beweisen, dass eine E-Mail-Nachricht nicht gefälscht ist. Auf dieser Weise werden betrügerische E-Mails blockiert.

Die E-Mail-Identifizierung und -Authentifizierung funktioniert auf unterschiedliche Weise, jede mit ihren Vor- und Nachteilen. Während sich die Umsetzung je nach Methode unterscheidet, ist das Konzept ähnlich. Im Folgenden finden Sie einen Überblick über die Funktionsweise der E-Mail-Authentifizierung.

Zunächst wird durch den Verantwortlichen (der E-Mail-Absender) eine Richtlinie festgelegt, wie der empfangende E-Mail-Server Nachrichten von den sendenden Domains Identifizieren und authentifizieren soll.

Der E-Mail-Absender konfiguriert seinen E-Mail-Server so, dass er diese Richtlinien einsetzt und veröffentlicht.

Wenn ein E-Mail-Empfänger eine Nachricht von dem Absender erhält, überprüft er die Nachricht, indem er die Details im Quelltext (normalerweise nicht sichtbarer Teil) der E-Mail mit den vom Absender festgelegten Regeln vergleicht.

Je nach den Ergebnissen der Identifizierung und Authentifizierung kann der E-Mail-Empfänger entscheiden, ob er die Nachricht im Postfach zustellt, unter Quarantäne stellt oder ablehnt.

SPF, DKIM und DMARC definieren somit die Regeln für zur E-Mail-Identifizierung und Authentifizierung eines Unternehmens.

Die Identifizierungs- und Authentifizierungsmaßnahmen wurden nacheinander unter verschiedenen Ansatzpunkten, gleichzeitig aber aufeinander abgestimmt, entwickelt.

SPF – Sender Policy Framework

Dieser Maßnahme wurde als erstes Verfahren zur Identifikation des Versenders entwickelt. Die Identifikation findet über die IP-Adresse der Versender-Domäne im Domain Name System (DNS) statt.

DKIM - DomainKeys Identified Mail

Diese Maßnahme wurde als zweites Verfahren zur Überprüfung der Authentizität des eingehenden E-Mails entwickelt. Dieses Verfahren fügt an der ausgehenden E-Mail eine digitale Signatur zu. Der kryptografische Schlüssel wird von Server des Empfängers, mit dem im DNS der Versender-Domäne veröffentlichte, abgeglichen.

DMARC – Domain-Based Message Authentication, Reporting, and Conformance
Diese Maßnahme wurde als letztes entwickelt und baut auf SPF und DKIM auf. Übersetzt steht DMARC für „Bereichsbasierte Nachrichtenauthentifizierung, Berichterstattung und Konformität“.

DMARC stellt eine zusätzliche Sicherheitsebene für den Empfänger der E-Mail dar, indem geprüft wird ob die SPF- und DKIM-Signatur mit den DNS-Daten der Absenderadresse übereinstimmen. Darüber hinaus gibt dieser Standard den Empfangsserver vor, wie sie mit Nachrichten verfahren soll, wenn diese Authentifizierungsprüfungen nicht bestanden wurden.

Gleichzeitig kann der Versender über die DMARC-Funktion informiert werden, wenn seine E-Mail durch den Empfänger abgelehnt oder unter Quarantäne gestellt wird. 

Diese Frage ist mit einem klaren „JA“ zu beantworten. Die Begründung:  

1. Artikel 25 Abs. 1 DS-GVO Datenschutz durch Technikgestaltung und datenschutzfreundliche Einstellungen.

2. Das BSI hat die Authentifizierungsmaßnahmen SPF, DKIM und DMARC zu „Stand der Technik“ erklärt. Für mehr Informationen klicken Sie bitte hier.

3. Die DSK hat bereits im März 2020 auf eine Verwendung von DKIM und DMARC hingewiesen.

Verpflichtungen bei normalen Risiken:

„Um die Authentizität und Integrität der empfangenen E-Mail-Nachrichten zu überprüfen, sollten Verantwortliche DKIM-Signaturen prüfen und signierte Nachrichten, bei denen die Prüfung fehlschlägt, markieren oder, bei entsprechender Festlegung des Absenders über einen DMARC-Eintrag im DNS, zurückweisen. „

Quelle:

https://www.datenschutzkonferenz-online.de/media/oh/20200526_orientierungshilfe_e_mail_verschluesselung.pdf  

Ja, die Verwendung ist kostenfrei.
Auch für das Generieren der Signaturen fallen in der Regel keine Kosten an.

Es liegt aber in der Natur der Sache das Unternehmen auch gerne mal etwas verdienen möchten. Daher finden sich auf die Seiten von z.B.:

• easydmarc.com
• dmarcadvisor.com
• skynag.com

zusätzliche, teils teure, kostenpflichtige Angebote.

Diese Angebote sind keine Notwendigkeit für das Generieren der Signaturen!

Die generierten Signaturen werden einmalig im DNS eingetragen. Sie müssen in der Regel nicht aktualisiert werden.

Als Unternehmer sollten im Rahmen der Sorgfaltspflicht die Signaturen auf eine unerwünschte Änderung regelmäßig überprüfen.

Begründung:
Normalerweise kann nur der Domaininhaber oder sein Beauftragter (z.B. Ihr ISP oder IT-Dienstleister) die Einträge im Domain Name System (DNS) vornehmen. Natürlich ist es möglich das ein Dritter, indem er sich die Zugangsdaten bemächtigt, sich einen Zugang zu Ihrem Rekord verschafft. Hiermit kann er die Einträge so manipulieren, dass er eine Berechtigung zum Versenden von Nachrichten im Namen erhält.

Es kommt vielleicht selten vor das die Signaturen unbeabsichtigt verändert werden, aber es kommt vor. Eine regelmäßige Kontrolle kann daher nicht schaden.

Die generierte Signaturen werden über TXT-Einträge im Domain Name System (DNS) eingetragen.

Hier erfahren Sie mehr über diese Einträge:

• SPF-Rekord erstellen und im DNS eintragen
• DKIM-Rekord erstellen und im DNS eintragen
• DMARC-Rekord erstellen und im DNS eintragen
  
  

Nur der Domaininhaber oder sein Beauftragter (z.B. der ISP oder IT-Dienstleister) kann die Einträge im Domain Name System (DNS) eintragen.

Abhängig von den TTL-Einstellungen (Time-To-Live) des DNS-Rekords werden die TXT-Einträge innerhalb 24 Stunden aktiv sein.

Für Einträge der Typen TXT empfiehlt sich eine TTL zwischen 1.800 und 3.600 (30 bis 60 Minuten).

Nein, Die von Ihnen eingerichtete Authentifizierungsmaßnahmen haben keine Auswirkung auf dem Empfang von E-Mails in Ihre Postfächer.

Ja, wenn der empfangender E-Mail-Server durch die Maßnahmen die Identität des Versenders (Ihre IP-Adresse) und die Authentizität der eingehenden E-Mail feststellen kann, wird Ihre E-Mail auch beim Empfänger abgeliefert.

Die Maßnahmen gewährleisten damit die Zustellung und verbessern die Zustellbarkeit.

Folgende Voraussetzungen für die Konfiguration von SPF, DKIM und DMARC müssen erfüllt sein:

Eine eigene E-Mail-Domain.
Eine E-Mail-Domain ist der Teil einer E-Mail-Adresse, der nach dem „@“ kommt, zum Beispiel ihrname@ihrunternehmen.de.

Verwaltungszugriff auf den Public DNS der (E-Mail)-Domain.
Die DNS-Konfigurationsdatei verwaltet die gesamte Adressierung einer Domain und wird Domain Name System Zone (DNS-Zone)-Datei genannt.

Microsoft 365 Lizenzplan, der Exchange Online enthält.
(Wenn dieser verwendet wird)

Eine Übersicht der Microsoft 365 Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden.

Mit Sender Policy Framework (SPF) lässt sich feststellen, ob ein E-Mail-Server die Berechtigung hat, E-Mails mit einer bestimmten Absenderadresse zu versenden. Sie können sich SPF auch als eine Identifikationsmaßnahme vorstellen.

Wenn der Versender nicht als ein Berechtigter identifiziert werden kann, wird die E-Mail nicht am Posteingang des Adressaten abgeliefert.

Zur Identifizierung prüft der empfangende E-Mail-Server den SPF-Record im Domain Name System des angegebenen Absenders (Adressant).

Nein, SPF ist kein Spamschutz.

Ziel des Verfahrens ist es, bestimmte Arten des E-Mail-Spoofings und E-Mail-Phishings zu erkennen und zu reduzieren. Das Verfahren wird vorzugsweise zusammen mit weiteren Verfahren wie DKIM oder DMARC eingesetzt.

SPF allein reicht nicht aus, um einen E-Mail-Eingangsserver davon zu überzeugen das die Nachricht von einem vertrauenswürdigen Versender stammt.

Um eine Nachricht ausreichend Identifizieren und Authentifizieren zu können, müssen ebenfalls die Protokolle DKIM und DMARC verwendet werden.

Die Abkürzung DKIM steht für "DomainKeys Identified Mail". Es handelt sich dabei um eine Technik, mit der die Authentizität von E-Mails bestätigt wird.

DKIM fügt den von einem Versender gesendeten E-Mail eine eindeutige digitale Signatur hinzu. Diese Signatur bestätigt, dass die E-Mail wirklich von dem Absender und Domäne stammt und während des Transports nicht verändert wurde.

Und so funktioniert es: Wenn eine E-Mail gesendet wird, erstellt DKIM eine digitale Signatur mit einem privaten Schlüssel, den nur der Absender besitzt. Der empfangende Mailserver überprüft dann, ob diese Signatur korrekt ist. Dazu verwendet der Server einen öffentlichen Schlüssel, der in den DNS-Einstellungen des Absender-Domäns zu finden ist.

Wenn die Signatur übereinstimmt, weiß der empfangende Server, dass die E-Mail wirklich von dem Absender stammt und nicht während der Übertragung manipuliert wurde. Dadurch wird verhindert, dass jemand anderes die E-Mail abfängt, verändert und an den Empfänger weiterleitet.

DKIM hilft also, Ihre E-Mails vor Cyberangriffen zu schützen.

DKIM trägt zum Schutz vor bestimmten Formen der Internetkriminalität bei, darunter Phishing und E-Mail-Spoofing.

Beim Phishing geben sich Angreifer als eine vertrauenswürdige Einrichtung aus. Sie versenden dann irreführende E-Mails, um an sensible Informationen wie Passwörter oder Kreditkartennummern zu gelangen.

Beim E-Mail-Spoofing verwenden die Angreifer die E-Mail-Adresse eines rechtmäßigen Absenders, um dem Empfänger vorzugaukeln, dass die Nachricht von einer vertrauenswürdigen Quelle stammt. Dies wird häufig genutzt, um an Informationen zu gelangen oder Malware zu verbreiten.

DKIM wird zur Authentifizierung einer E-Mail verwendet. Das bedeutet das geprüft wird, ob eine E-Mail während des Transports vom Versender zum Empfänger geändert wurde.

Somit ist diese Maßnahme nicht geeignet, um Spam zu verhindern.

DKIM verschlüsselt die Inhalte der E-Mail nicht. Es geht nur darum, die Authentizität und Integrität der Nachricht zu überprüfen.

DKIM allein reicht nicht aus, um einen E-Mail-Eingangsserver davon zu überzeugen das die Nachricht, während des Transports, nicht verändert wurde und von einem vertrauenswürdigen Versender stammt.

Um eine Nachricht ausreichend Identifizieren und Authentifizieren zu können, müssen ebenfalls die Protokolle SPF und DMARC verwendet werden.

Das Kurzel DMARC steht für Domain-based Message Authentication, Reporting and Conformance.

Es handelt sich um eine TXT-Richtlinie in einem DNS-Eintrag, die angibt, dass der Absender SPF und/oder DKIM für seine ausgehenden E-Mails verwendet.

Aber das ist noch nicht alles: DMARC enthält auch wichtige Anweisungen für den Empfänger, was zu tun ist, wenn die E-Mail den SPF- oder DKIM-Test nicht besteht.

DMARC (Domain-based Message Authentication, Reporting, and Conformance ) ist ein Protokoll, das zusammen mit SPF und DKIM eine umfassende E-Mail-Sicherheitslösung bietet.

DMARC ermöglicht es Domänenbesitzern, Richtlinien festzulegen, wie E-Mail-Empfänger E-Mails behandeln sollen, die SPF- und/oder DKIM-Prüfungen nicht bestehen. DMARC funktioniert durch Hinzufügen eines TXT-Eintrags im DNS, der den E-Mail-Empfängern mitteilt, wie sie E-Mails behandeln sollen, die SPF- oder DKIM-Prüfungen nicht bestehen.

DMARC ermöglicht es den berechtigten Absender (Ihr Unternehmen) auch festzulegen, ob Sie benachrichtigt werden wollen, wenn gesendete Nachrichten die Authentifizierungsprüfungen wie SPF und/oder DKIM nicht bestehen. Durch diese Benachrichtigung kann das Unternehmen ggfs. auch gegen nicht autorisierte Absender vorgehen, die ihre Domänen fälschen, um unter falschem Vorwand betrügerische E-Mails zu versenden.

Ja, Sie können DMARC ohne DKIM oder SPF konfigurieren. Aber es ist nicht sinnvoll.

SPF und DKIM sind „orthogonale Technologien“ zur Identifizierung und Authentifizierung.

Im Allgemeinen ist SPF ein "Pfadautorisierungs"-Mechanismus, d.h. er erlaubt einer IP, Nachrichten im Namen einer bestimmten Domäne zu senden. DKIM hingegen ist ein Mechanismus für die "Inhaltsintegrität", d. h. er erkennt, wenn sich die gesendeten Nachricht während des Transports verändert wurde.

DMARC bietet einen Richtlinienrahmen für die E-Mail-Authentifizierung, der es Domäneninhabern ermöglicht, festzulegen, wie fehlgeschlagene Authentifizierungen gehandhabt werden sollen, und liefert Rückmeldungen, die helfen, potenzielle Probleme zu erkennen und zu beheben. 

Das bedeutet, dass diese drei Mechanismen in ihrer Wirksamkeit nicht voneinander abhängig sind; sie können parallel oder sogar unabhängig voneinander verwendet werden.