FAQ

 

Für die Authentifizierung von E-Mail-Servern haben sich weltweit die Standards SPF, DKIM und DMARC durchgesetzt. Die Umsetzung dieser Standards stärkt den Schutz vor Angriffen, bei denen die Identität vertrauenswürdiger Sender-Domains vorgegaukelt wird (z. B. Spoofing und Phishing).

Damit folgen wir der Cyber-Sicherheitsempfehlung "Upgrade für die E-Mail Sicherheit" des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

 

 

SPF (Sender Policy Framework) ist ein Verfahren, mit dessen Hilfe festgelegt wird, welche Mailserver berechtigt sind, Mails mit der Absenderadresse einer bestimmten Domain zu versenden. Dazu wird eine SPF-Policy als DNS-Eintrag in der Domain hinterlegt. In der Praxis prüft der Empfänger-Mailserver die SPF-Einträge in den DNS-Einstellungen der Absender-Domain und vergleicht diese mit der IP-Adresse des sendenden Mailservers. Wenn der sendende Mailserver in den SPF-Einträgen aufgeführt ist, wird die Mail als legitim eingestuft.

 

 

DKIM (DomainKeys Identified Mail) ist ein Verfahren zur E-Mail-Authentifizierung, das dazu dient, die Integrität und Authentizität einer E-Mail zu überprüfen. Mit DKIM signiert der sendende Mailserver jede ausgehende Mail mit einem digitalen Schlüssel. Dieser Schlüssel ist im DNS-Eintrag der Sender-Domain hinterlegt. Der Empfänger-Mailserver kann diese Signatur überprüfen, indem er den DKIM-Schlüssel in den DNS-Einstellungen der Domain abruft. Ist die Signatur gültig, so zeigt es dem Empfänger an, dass die E-Mail von der Sender-Domain stammt und während der Übertragung nicht manipuliert worden ist.

 

 

DMARC (Domain-based Message Authentication, Reporting & Conformance) setzt auf den Technologien SPF und DKIM auf und legt fest, ob und wie Mailserver beim Empfang von E-Mails DKIM-Signaturen und SPF-Einträge verifizieren sollen.

Dazu wird ein Regelwerk als DNS-Eintrag für die Absender-Domain definiert. Durch DMARC kann der Besitzer einer Absender-Domain bestimmen, wie der Empfänger-Server mit Mails umgehen soll, die die SPF- und DKIM-Checks nicht bestehen. Zusätzlich ermöglicht DMARC den Austausch von Berichten über Policy-Verstöße zwischen dem sendenden und dem empfangenden Server.