Richtlinien E-Mail-Versand

Bitte halten Sie die nachfolgend beschriebenen Richtlinien ein, damit Ihre E‑Mails erfolgreich an Empfänger der Ev.-luth. Landeskirche Hannovers gesendet und zugestellt werden können.

Hierzu gehören allgemeine Transportregeln sowie der Schutz vor unerwünschten Inhalten, Viren, Spam und Phishing.

Diese Richtlinien sind im Wesentlichen der Leistungsbeschreibung unseres E-Mail-Anbieters entnommen und erheben keinen Anspruch auf Vollständigkeit.

Allgemeine Transportregeln

  • E-Mails müssen den Standards nach RFC 821 sowie RFC 822 entsprechend eingehen und dürfen eine Gesamtgröße von 64MB nicht überschreiten.
  • Beim Versand umd Empfang werden TLS-verschlüsselte Verbindungen bevorzugt eingesetzt. Sollte die Gegenstelle infolge von Fehlkonfiguration keine verschlüsselte Verbindung etablieren können, wird in Ausnahmefällen auch eine unverschlüsselte Verbindung angenommen.
  • Die Zustellung von E-Mails wird generell für maximal 3 Tage wiederholt. Nach Ablauf der Frist werden E-Mails aus der Warteschlange gelöscht und eine Unzustellbarkeitsnachricht an den Absender versendet.
  • Die eingerichteten Sicherheitsmechanismen können die Übermittlung und Zustellung von E-Mails verzögern, maximal jedoch um 60 Minuten.
  • Zum Schutz der Systeme werden Schwellwerte für gleichzeitige Anfragen und Verbindungen sowie Verbindungszeiten festgelegt.

Anti-SPAM

  • E-Mails, die sicher als Spam eingestuft werden, werden abgelehnt.
  • E-Mails von Absendern, die auf einer DNS-Blacklist eingetragen sind, werden abgelehnt.
  • E-Mails mit verdächtigen Links, die auf einer Spam-URI-Blacklist gefunden werden, werden abgelehnt.
  • Es erfolgt keine Speicherung oder Archivierung.

Anti-Virus

  • E-Mails mit infizierten Objekten oder Anhängen werden abgelehnt. Legale Programme, die von Angreifern genutzt werden können, um Schaden anzurichten, werden wie Viren behandelt.
  • E-Mails, deren Prüfung fehlschlägt, werden abgelehnt.
  • Es erfolgt keine Speicherung oder Archivierung.

Anti-Phishing

  • E-Mails, die sicher als Phishing eingestuft werden, werden abgelehnt.

Inhaltsfilterung

  • E-Mails mit einer Gesamtgröße von mehr als 64MB werden abgelehnt.
  • E-Mails mit Anhängen, die einem verbotenen Format entsprechen, werden abgelehnt. Verbotene Formate sind:.apk; .bat; .cmd; .com; .com1; .deb; .dll; .doc; .docm; .dot; .dotm; .exe; .hta; .inf; .jar; .java; .js; .jse; .lnk; .mdb; .msi; .msp; .ocx; .pif; .pl; .pot; .potm; .ppa; .pps; .ppsm; .ppt; .pptm; .ps1; .pwz; .reg; .rpm; .scr; .sh; .sldm; .themepack; .thmx; .vb; .vbe; .vbes; .vbs; .vdw; .vsd; .vsdm; .vss; .vssm; .vst; .vstm; .wbk; .wcm; .wdb; .wiz; .wks; .wpd; .wps; .ws; .wsfc; .wsfch; .xla; .xlam; .xlb; .xlc; .xlm; .xls; .xlsm; .xlt; .xltm; .xlw; .xpi;
  • E-Mails, die Anhänge mit Makros enthalten, werden abgelehnt.
  • Archive und andere zusammengesetzte Objekte werden nach denselben Kriterien untersucht und behandelt.

Absenderverifizierung

  • Eingehende E-Mails werden auf korrekte DMARC-, SPF- und DKIM-Merkmale geprüft. Sind Merkmale vorhanden, werden die E-Mails gemäß der für die Absenderdomain festgelegten Richtlinien verarbeitet. E-Mails, die gegen diese Richtlinien verstoßen, werden abgelehnt.
  • SPF SoftFails und das Fehlen einer DKIM-Signatur werden nicht als Verstoß eingestuft.

Häufig gestellte Fragen

 

Für die Authentifizierung von E-Mail-Servern haben sich weltweit die Standards SPF, DKIM und DMARC durchgesetzt. Die Umsetzung dieser Standards stärkt den Schutz vor Angriffen, bei denen die Identität vertrauenswürdiger Sender-Domains vorgegaukelt wird (z. B. Spoofing und Phishing).

Damit folgen wir der Cyber-Sicherheitsempfehlung "Upgrade für die E-Mail Sicherheit" des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

 

 

SPF (Sender Policy Framework) ist ein Verfahren, mit dessen Hilfe festgelegt wird, welche Mailserver berechtigt sind, Mails mit der Absenderadresse einer bestimmten Domain zu versenden. Dazu wird eine SPF-Policy als DNS-Eintrag in der Domain hinterlegt. In der Praxis prüft der Empfänger-Mailserver die SPF-Einträge in den DNS-Einstellungen der Absender-Domain und vergleicht diese mit der IP-Adresse des sendenden Mailservers. Wenn der sendende Mailserver in den SPF-Einträgen aufgeführt ist, wird die Mail als legitim eingestuft.

 

 

DKIM (DomainKeys Identified Mail) ist ein Verfahren zur E-Mail-Authentifizierung, das dazu dient, die Integrität und Authentizität einer E-Mail zu überprüfen. Mit DKIM signiert der sendende Mailserver jede ausgehende Mail mit einem digitalen Schlüssel. Dieser Schlüssel ist im DNS-Eintrag der Sender-Domain hinterlegt. Der Empfänger-Mailserver kann diese Signatur überprüfen, indem er den DKIM-Schlüssel in den DNS-Einstellungen der Domain abruft. Ist die Signatur gültig, so zeigt es dem Empfänger an, dass die E-Mail von der Sender-Domain stammt und während der Übertragung nicht manipuliert worden ist.

 

 

DMARC (Domain-based Message Authentication, Reporting & Conformance) setzt auf den Technologien SPF und DKIM auf und legt fest, ob und wie Mailserver beim Empfang von E-Mails DKIM-Signaturen und SPF-Einträge verifizieren sollen.

Dazu wird ein Regelwerk als DNS-Eintrag für die Absender-Domain definiert. Durch DMARC kann der Besitzer einer Absender-Domain bestimmen, wie der Empfänger-Server mit Mails umgehen soll, die die SPF- und DKIM-Checks nicht bestehen. Zusätzlich ermöglicht DMARC den Austausch von Berichten über Policy-Verstöße zwischen dem sendenden und dem empfangenden Server.