Um Spam, Phishing und andere Betrugsmethoden einzudämmen, gibt es bei den E-Mail-Anbietern Yahoo und G-Mail ab sofort neue Authentifizierungs-Anforderungen. Betroffen sind vor allem Unternehmen, die E-Mails in großen Mengen versenden, zum Beispiel Newsletter zur Unternehmenskommunikation. Sie müssen nun Protokolle wie DMARC einsetzen. Alle wichtigen Infos und Tipps zum Vorgehen findest Du im Beitrag.
Viele Unternehmen setzen E-Mails zur Kundenkommunikation ein und senden diese in Massen an ihre Adresslisten. Und das auch ist wichtig, denn Newsletter und Co. schaffen Aufmerksamkeit bei potenziellen Kund:innen. Doch nicht alle Unternehmen sind in Sachen Authentifizierung gut genug aufgestellt und das kann auf Kosten der Empfänger:innen gehen. Ohne ausreichende Authentifizierungs-Protokolle könnten zum Beispiel Angreifer:innen die E-Mail-Identität eines Unternehmens annehmen und so an sensible Daten gelangen. Verpflichtende Protokolle sollen hier nun besseren Schutz bieten.
Neue E-Mail-Authentifizierung notwendig
Bereits im Oktober 2023 hatte Google Änderungen, vor allem bezüglich der Validierung von E-Mails, angekündigt. Absender:innen müssen ab diesem Februar also einige neue Anforderungen beachten. Erwartet wird zum Beispiel die Einrichtung von SPF– oder DKIM-Einträgen für die eigene Domäne, sowie die Sicherstellung von Forward- und Reverse-DNS-Einträgen von Absenderdomänen oder IP-Adressen. Auch eine TLS-Verbindung müssen Absender:innen jetzt einsetzen. Wer mehr als einen Versandservice verwendet, muss natürlich ebenfalls sicherstellen, dass die Anforderungen bei allen Anbietern umgesetzt sind.
Zusätzlich sollten die Spam-Raten unter 0,3% bleiben. Bei der Einhaltung dieser Quote kann zum Beispiel die vorherige Berechnung des verwendeten Newsletter-Tools helfen. Massenversender, das bedeutet Unternehmen, die mehr als 5.000 E-Mails pro Tag an Gmail-Konten schicken, müssen zudem eine DMARC Authentifizierung für ihre Absenderdomain einrichten.
Definitionen
Um Spoofing und Phishing bei Gmail zu verhindern, setzt Google drei Standards ein. Werden diese von Absender:innen eingerichtet, sorgen sie dafür, das E-Mails nicht als Spam markiert werden. Was genau ihre Funktion ist, wird im Google-Hilfebereich erklärt:
- Sender Policy Framework (SPF): Gibt die Server und Domains an, die E-Mails im Namen Deines Unternehmens senden dürfen.
- DomainKeys Identified Mail (DKIM): Hiermit wird jeder ausgehenden Nachricht eine digitale Signatur hinzugefügt, wodurch Empfängerserver prüfen können, ob die Nachricht tatsächlich von Deinem Unternehmen stammt.
- Domain-based Message Authentication, Reporting and Conformance (DMARC): Hiermit kannst Du Empfängerservern mitteilen, was mit ausgehenden Nachrichten Deines Unternehmens geschehen soll, die SPF oder DKIM nicht bestehen.
Wie funktioniert DMARC?
DMARC ist eine Standardmethode zur E-Mail-Authentifizierung, die ab jetzt von Massenversendern eingesetzt werden muss. Sie schützt E-Mail-Administratoren vor Spoofing durch Hacker – dabei wird die Absender-Adresse einer Nachricht gefälscht. Hacker:innen könnten also Nachrichten senden, die aussehen, als wären sie von Deinem Unternehmen. DMARC definiert für die empfangenden E-Mail-Server, wie sie mit Nachrichten umgehen sollen, die von Deinem Unternehmen stammen, jedoch die Prüfungen oder Anforderungen der Authentifizierung nicht bestehen. Das Protokoll wird immer zusammen mit den oben erwähnten SPF und DKIM verwendet.
Auch Berichte von E-Mail-Servern, die Mails von Deinem Unternehmen oder Deiner Domain erhalten, kannst Du mit DMARC einfordern. Das hilft dabei, Authentifizierungsprobleme festzustellen. E-Mails, die ohne die neuen Standards versendet werden, können verzögert oder blockiert werden oder werden direkt in den Junk-Ordner weitergeleitet. Die Zustellrate Deiner E-Mails kann also erheblich beeinträchtigt werden.
Einsetzen von DMARC
DMARC einzurichten, dauert seine Zeit und bedarf schon einige vorherige Schritte. Bevor DMARC eingerichtet wird, müssen beispielsweise SPF und DKIM für Deine Domain etabliert sein. Wie genau das funktioniert, erfährst Du im Google Service Bereich. 48 Stunden später kann dann DMARC konfiguriert werden. Je nachdem, wie viele Mails Du aussendest, erhältst Du auch mehr DMARC Berichte. Hier kann es sich also lohnen, ein eigenes Postfach dafür zu erstellen. DMARC wird in den DNS-TXT-Einträgen in den Einstellungen des Domainanbieters aktiviert. Dafür benötigst Du noch die Anmeldedaten für das Konto bei diesem Host. Sendest Du Deine Marketing E-Mails von einem Drittanbieter, solltest Du Dich an diesen wenden und sicherstellen, dass DKIM korrekt eingerichtet ist.
Bei der Definition des DMARC-Eintrags hast du die Auswahl zwischen den Richtlinien none, quarantine und reject. Im ersten Fall wird bei Nachrichten, die die Prüfung nicht bestehen, nichts unternommen, im zweiten werden diese Nachrichten in den Spam-Ordner der Empfänger:innen verschoben. Und im letzten Fall schließlich werden die nicht authentifizierten Mails gar nicht erst zugestellt. Empfohlen wird eine schrittweise DMARC-Einführung. Dabei wird die Richtlinie zunächst auf none festgelegt. Diese überwacht den E-Mail-Verkehr zuerst nur und sendet Dir Berichte, bis Du später nach und nach zu einer Richtlinie wechseln kannst, die alle nicht authentifizierten E-Mails ablehnt. Den detaillierten Ablauf der DMARC-Einrichtung findest Du hier.
Fazit
Die neuen Anforderungen von Google und Yahoo bedeuten für einige Unternehmen nun zwar Aufwand, bieten jedoch auch die Chance, Lücken in der eigenen E-Mail-Sicherheit zu schließen. Und das wiederum bedeutet mehr Schutz für Deine Kundinnen und Kunden, sowie für die Mitarbeitenden Deines Unternehmens.
Bildquellen
- dmarc-email-google: Image by rawpixel.com on Freepik
No Comment