News
Insights

Insight

DNSSEC, SPF, DKIM, & DMARC - Warum dies alles so wichtig ist!
Bestimmt sind Ihnen die Begrifflichkeiten DNSSEC und SPF bereits da und dort zu Ohren gekommen, vielleicht haben Sie gar schon von DKIM und DMARC gehört oder gelesen?! Zwar sind diese Technologien, resp. Mechanismen nicht neu, haben aber während der letzten Wochen und Monate da und dort deutlich an Bedeutung gewonnen. Warum ein diesbezüglich vollständiges und korrektes Setup für Sie, resp. für von Ihnen verwaltete Domains so wichtig ist, erfahren sie im Folgenden Beitrag. Aktivieren Sie jetzt, sofern nicht bereits erledigt, die Mechanismen DNSSEC, SPF, DKIM und DMARC, um die Zustellbarkeit Ihrer E-Mails zu erhöhen und gleichzeitig einem Missbrauch im Namen Ihrer eigenen Domain vorzubeugen. Als Kunde von Hostfactory sind Sie in besten Händen: Alle diese sicherheitsrelevanten Optionen stehen Ihnen inklusive und optimal konfiguriert zur Verfügung. Sind Sie unsicher? - Lesen Sie folgenden Beitrag und kontaktieren Sie während 365 Tagen pro Jahre den Support von Hostfactory, falls Sie hierbei weiterer Unterstützung bedürfen!

Empfehlung von Hostfactory

Hostfactory empfiehlt, dass Sie für Ihre Domain(s) – und dies ganz unabhängig davon, ob Sie diese bei Hostfactory oder andernorts verwalten – die Sicherheitsmechanismen DNSSEC, SPF, DKIM und DMARC aktivieren, um so Ihre Domain, sich selbst, aber auch alle anderen vor Missbrauch und Betrug bestmöglich zu schützen und um gleichzeitig die Sicherheit Ihrer Domain, insbesondere die Zustellbarkeit von E-Mails, welche Sie unter einer solchen versenden, zu maximieren. – Warum dies so ist und was DNSSEC, SPF, DKIM und DMARC ist erfahren Sie im folgenden Beitrag. Die Thematik ist komplex und vielschichtig; Wir möchten im folgenden lediglich einen groben Überblick anbieten, ohne Sie dabei technisch allzu tief eintauchen zu lassen.

Image: dmarc-spf-dkim.jpg

DNSSEC - (Domain Name System Security Extensions)

Es ist noch nicht lange her, da waren Websites noch problemlos per HTTP erreichbar. Mittlerweilen ist HTTPS zum Standard geworden und Websites, welche heute noch unter HTTP erreichbar sind, werden in den namhaften, gängigen Internetbrowsern als unsicher markiert und schrecken von einem Besuch der Site ab. Ähnlich verhält sich die Sache nun mit DNSSEC: Dieser Standard war bis vor kurzem nur in einschlägigen Fachkreisen bekannt, wird nun aber bereits als neuer Standard betrachtet und vielerorts mehr und mehr vorausgesetzt oder erwartet.

Ein ganz guter Moment, die eigene Domain jetzt sicherheitshalber auf die korrekte, ausschliessliche und warnungsfreie Verfügbarkeit per HTTPS zu prüfen! Ist Ihre Domain noch unter HTTP erreichbar und wird entsprechend als unsicher gewarnt? Oder ist Ihre Domain zwar per HTTPS erreichbar, zeigt aber eine Sicherheitswarnung? Wenn ja, sollten Sie dringend reagieren – bei allfälligen Fragen dürfen Sie uns gerne kontaktieren.

Die Aktivierung von DNSSEC (Domain Name System Security Extension) für eine Domain hilft, die Integrität im DNS (Domain Name System, quasi der Wegweiser im Internet für Ihre Domain) sicherzustellen, indem dieses Sicherheitsprotokoll demselben eine zusätzliche Schutzschicht verleiht. Ohne DNSSEC können Cyberkriminelle die DNS-Records einer Domain derart manipulieren, dass der Internetverkehr auf schädliche Art und Weise umgeleitet wird. Dies kann zu Identitätsdiebstahl, Phishing, Betrug, Vermögensschäden und vielen anderen kriminellen Machenschaften verleiten oder schliesslich auch führen.

Mit DNSSEC werden die DNS-Records einer Domain digital signiert, so dass sichergestellt werden kann, dass die übertragenen Daten korrekten Ursprungs sind und unterwegs nicht verändert wurden. Diese digtialen Signaturen schaffen eine Vertrauenskette über das ganze Internet, ausgehend von den Rootservern über die für die jeweilige Top Level Domain zuständige Registry bis hin zum schliesslichen Inhaber einer Domain.

Wir empfehlen dringend, eine Internetdomain ausschliesslich mit aktivem DNSSEC-Support zu betreiben!

Als Domainregistrationsstelle und als offizieller Partner von SWITCH, der Schweizer Vergabestelle (Registry) für .ch-Domains bietet Hostfactory DNSSEC-Support für hier verwaltete Domains an. Dies gilt für .ch-Domains, aber auch für eine Vielzahl weiterer Top Level Domains. Im Idealfall nutzen Sie für Domainregistrationen, welche bei Hostfactory verwaltet werden auch die Nameserver von Hostfactory, so dass die Aktivierung und das Management von DNSSEC vollständig automatisch und ohne weiteres Zutun durch Sie funktioniert.

SPF – (Sender Policy Framework)

Von Haus aus – ein Nachteil im Design von SMTP - ist es in aller Regel sehr einfach, den Absender einer E-Mail zu fälschen. Man muss kein Fachspezialist sein, um an eine E-Mail im Namen von zb. max.muster@sbb.ch zu versenden. Um diesem Problem entgegenzuwirken wurde SPF ins Leben gerufen. Über dieses Verfahren wird es möglich via das DNS zu definieren, welche Mail Transfer Agents (vulgo: Postausgangsserver) Nachrichten im Namen einer Domain versenden dürfen oder dies eben gerade nicht tun dürfen. Hierbei wird also ein DNS TXT-Record je Domain publiziert, welcher die zugelassenen MTAs definiert, so dass der empfangende Mailserver je Nachricht so überprüfen kann, ob die im "SMTP-From" (auch Envelope-From gennant) definierte Domain auch tatsächlich legitimiert ist, den versand über den sendenden SMTP-Server zu veranlassen. Ist dies der Fall, wird eine Auslieferung in die Zielmailbox erlaubt, andernfalls wird die Nachricht als Spam betrachtet.

Um sich selbst und alle anderen Teilnehmer im Inernet zu schützen (Identiätsdiebstahl, Phishing, Betrug), ist es sehr wichtig, dass je Domain ein restriktiver SPF-Record publiziert wird. Ein SPF-Record beginnt stets mit der Versionsnummer, zur Zeit "v=spf1", auf welche dann Direktiven folgen, die von links nach rechts gelesen, spezifische Server zulassen und – im Idealfall – mit dem Mechanismus "all" in Verbindung mit einem Qualifier "-" endet, um so alle nicht erwähnten MTAs zu verbieten.

Trifft nun eine Nachricht ab einem nicht explizit legitimierten MTA ein, wird diese als Spam taxiert. Konträr wird eine "gute" Nachricht ab einem explizit legitimierten MTA viel weniger als sog. False-Positive von einem Spamfilter blockiert und somit die Zustellbarkeit einer entsprechenden Nachricht signifikant erhöht.

Weiterführende Informationen zum Thema SPF finden Sie zuhauf im Netz, so zum Beispiel auch auf der entsprechenden Site von Wikipedia .

Für Domains, welche für ausgehende E-Mails die georedundanten SMTP-Gateways von Hostfactory verwenden, wird gem. unserer Anleitung folgender SPF-Record empfohlen:
@ IN TXT "v=spf1 a mx include:spf.hostfactory.ch -all"

Selbstverständlich kann dieser SPF-Record bei Bedarf durch weitere Legimitation ergänzt werden, um so weitere MTAs zuzulassen. – Falls Sie unsicher sind, erkundigen Sie sich beim für den entsprechenden SMTP-Server zuständigen Support nach dem dort gültigen SPF-Record, um diese Direktive(n) dann entsprechend zu ergänzen. Beachten Sie unbedingt, dass je Domain genau ein einziger SPF-Record definiert und im DNS publiziert werden darf! Sobald mehr als ein SPF-Record je Domain im DNS vorhanden ist, werden alle SPF-Prüfungen mit einem "PermError" fehlschlagen und entsprechende Nachrichten werden sodann als nichtlegitimer Spam beurteilt. Ebenfalls als "Fail" werden SPF-Prüfungen enden, wenn der SPF-Eintrag syntaktisch falsch ist, ungültige Suchen (Zielhost nicht verfügbar) enthält oder aber die max. Anzahl DNS-Lookups (10) je SPF-Record überschreitet etc. – in all diesen Fällen wird die entsprechende Nachricht in aller Regel unzustellbar. Es ist also von grosser Wichtigkeit, einen genauen und korrekten SPF-Record je Domain zu publizieren.

Der aktuell im DNS publizierte SPF-Record einer Domain kann per Online SPF-Checker auf seine syntaktische Korrektheit hin überprüft werden; ein gutes Tool dazu bietet beispielsweise DMARCLY an. Mit einem Online SPF-Generator, wie ein solcher zum Beispiel wiederum von DMARCLY angeboten wird, erhalten Sie Unterstützung bei der Erstellung eines syntaktisch korrekten SPF-Records. Beachten Sie bitte ausserdem unseren FAQ-Artikel zum Thema SPF.

DKIM – (DomainKeys Identified Mail)

Ein weiterer Mechanismus, welcher die Echtheit einer E-Mail prüfen soll, heisst DKIM. Während beim SPF-Verfahren organisiert wird, welche Mailserver Nachrichten im Namen einer bestimmten Domain versenden dürfen, wird bei DKIM jede einzelne E-Mail mit einer digitalen Signatur versehen, welche dann vom Empfänger anhand eines vom Abesender im DNS publizierten, öffentlichen Schlüssels auf seine Echtheit hin überprüft werden kann. Ist der Beweis erbracht, dass die Signatur in der E-Mail mit diesem Public Key übereinstimmt, darf davon ausgegangen werden, dass die Nachricht auch tatsächlich vom entsprechenden Absender, zumindest also im Namen der richtigen Domain versendet wurde.

Zumal heutige Spamfilter eingehende Nachrichten auch auf DKIM überprüfen, sei dringend empfohlen, den DKIM-Support auf allen Systemen zu aktivieren, welche da Nachrichten im Namen einer Domain versenden. Sie erhöhen damit die Zustellbarkeit Ihrer E-Mails drastisch! Einerseits gilt es also auf den dortigen Systemen die DKIM-Signierung ausgehender Nachrichten zu aktivieren und andererseits gilt es die jeweiligen Public Keys auf dem für Ihre Domain zuständigen Nameserver im DNS zu publizieren. Entsprechende Unterstützung erhalten Sie dazu bei dem für den von Ihnen genutzten SMTP-Server zuständigen Support.

Erhöhen Sie die Zustellbarkeit Ihrer E-Mails: Aktivieren Sie auf allen Systemen, welche E-Mails im Namen Ihrer Domain versenden, den DKIM-Support und publizieren Sie anschliessend die entsprechenden Public Keys via den für Ihre Domain zuständigen Nameserver im DNS.

DMARC – (Domain-based Message Authentication, Reporting and Conformance)

Die letzte Spezifikation, auf welche wir in diesem Beitrag eingehen möchten heisst DMARC und ist die eigentliche Exekutive von SPF und DKIM. DMARC wurde eingeführt, um die seit langem bestehenden Unzulänglichkeiten bezüglich Authentifizierung von E-Mails zu beheben und um damit einen effektiven Beitrag zur Reduktion krimineller Machenschaften, insbesondere E-Mail Spoofing, Phishing etc., zu leisten. Mit einem DMARC-Record wird festgelegt, wie schliesslich mit Nachrichten verfahren werden soll, welche die Bestimmungen gemäss SPF- und DKIM-Policy verletzen.

Die Optionen, welche in einem DMARC-Record festgelegt werden können, sind facettenreich und können beispielsweise mit einem entsprechenden Online-Generator, wie ihn DMARCLY anbietet, erstellt werden. Grundsätzlich aber ist die Sache ziemlich trivial: Um einen effektiven Mehrwert, also einen effektiven Schutz, basierend auf SPF, DKIM und DMARC zu schaffen empfehlen wir folgenden DNS TXT-Record für DMARC zu erstellen:

  1. _dmarc IN TXT "v=DMARC1; p=quarantine; sp=quarantine;"

Bitte beachten Sie, dass vielerorts anstelle von "p=quarantine;" ein "p=none:" empfohlen wird. – Zwar mag dies zu Testzwecken in Ordnung sein, sollte aber keinesfalls dauerhaft so angewendet werden, denn mit einer derartigen Policy wird DMARC de Facto wertlos!

Fazit
DNSSEC, SPF, DKIM und DMARC sind dringend und wichtig! Aktivieren Sie all diese Mechanismen für Domains, welche unter Ihrer Verwaltung stehen so bald wie möglich. – Bei Bedarf steht Ihnen der Support von Hostfactory jederzeit und gerne mit Rat und Tat zur Verfügung!
hostfactory.ch
Neuigkeit