Blog

 

Lassen Sie sich nicht von den Acronymen beirren. Warum SPF, DKIM und DMARC auch für Ihr E-Mail Marketing relevant sind

Ken Takahashi
29. November 2012 - Ken Takahashi, General Manager, Anti-phishing Solutions at Return Path

SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) in Kombination mit DMARC (Domain-based Message Authentication, Reporting & Conformance) stellen heute die effektivste Methode zur Bekämpfung von Spam, Phishing und Spoofing dar. Aber werden SPF, DKIM und DMARC in der Lage sein, Phishing komplett auszulöschen?

Wir sind diesem Ziel schon ein ganzes Stück näher gekommen, doch noch immer gibt es viele Missverständnisse zu diesem Thema; einige davon versuche ich heute im Rahmen dieses Artikels auszuräumen.

Mythos #1: Phishing und Spoofing sind reine IT Security Themen und nichts, mit dem sich E-Marketer beschäftigen müssten.

Um effektiv gegen Phishing ankämpfen zu können müssen beide Abteilungen – IT und Marketing – zusammenarbeiten. Währen E-Marker viel Zeit und Energie in ihr E-Mail Marketing investieren und beispielsweise an der Verbesserung der Response-Raten oder dem Bekanntheitsgrad der Marke arbeiten, könnte schon eine Phishing-Attacke all diese Anstrengungen zunichtemachen. Da Marketer an vorderster Front Phishing-Angriffe bemerken und auch am meisten durch diese Angriffe zu verlieren haben, ist es umso wichtiger, dass sie sich des Themas gemeinsam mit ihren Kollegen aus der IT annehmen.

Mythos #2: „Ich nutze SPF, das reicht.” Oder „Ich verwende DKIM, das liefert adäquaten Schutz.“ Oder sogar „Meine Marke wird sicherlich nicht Opfer von Phishing.“

Leider ist es nur ein Mythos, dass Ihre E-Mail Kommunikation durch die Authentifizierung mittels SPF, DKIM oder sogar beiden Protokollen gemeinsam zu 100 Prozent geschützt ist. Das Problem dabei ist, dass Mailbox Provider keine eindeutigen Filterentscheidungen auf Basis dieser Authentifizierungsprotokolle treffen können – zum einen, weil Versender diese noch nicht umfassend einsetzen und zum zweiten, da ISPs weltweit noch unterschiedlich damit umgehen, wenn E-Mails keine Authentifizierung aufweisen oder die Authentifizierungs-Checks nicht bestehen.

SPF nutzt einen „Schlüssel“, der im Grunde die versendenden IP-Adressen dazu autorisiert im Namen einer Domain E-Mails zu versenden. Der SPF-Record ist aber relativ einfach zu fälschen und funktioniert auch dann nicht mehr, wenn E-Mails weitergeleitet werden; insofern ist SPF nicht als vollständige Authentifizierungslösung geeignet.

DKIM wurde mit dem Ziel geschaffen, die Schwachstellen von SPF zu beseitigen. DKIM nutzt eine asymmetrische Verschlüsselung und funktioniert auch noch wenn E-Mails weitergeleitet werden; zudem lässt sich DKIM nur sehr schwer fälschen, was zudem aufgrund des damit verbundenen Rechenaufwands deutlich teurer wäre. Auf der anderen Seite ist die weite Verbreitung von DKIM aufgrund folgender Faktoren bislang nur sehr schleppend erfolgt: Es ist komplex, ist anfällig für Konfigurationsfehler und verfügt nicht über die nötigen Reporting-Funktionalitäten.

Insofern waren weder SPF noch DKIM das Allheilmittel gegen Phishing. Außerdem zögerten Mailbox Provider auf Basis von SPF oder DKIM Filterentscheidungen zu treffen, da sie Gefahr liefen aufgrund der zu geringen Verbreitung auch legitime und damit erwünschten E-Mails den Weg in den Posteingang zu verwehren.

DMARC nun löst viele dieser Problemfelder, indem es sowohl auf SPF als auch DKIM fußt, zudem aber umfassende Berichte über nicht bestandene Authentifizierungs-Checks liefert und E-Mail Versendern außerdem die Möglichkeit gibt, zu entscheiden, was mit E-Mails passieren soll, die keine Authentifizierung aufweisen oder die Checks nicht bestehen. Nehmen wir ein Beispiel. Was soll der ISP tun, wenn eine E-Mail eines Versenders eine Authentifizierungsprüfung nicht besteht: Nichts? Die betreffenden E-Mails unter Quarantäne stellen? Oder direkt abblocken? Mit DMARC können Versender hierzu Richtlinien festlegen. So reduziert die Kombination von SPF, DKIM und DMARC die Wahrscheinlichkeit fälschlicherweise geblockter E-Mails enorm.

Um es kurz zu machen: Sie benötigen sowohl SPF, DKIM als auch DMARC.

Mythos #3: Ich nutze jetzt SPF, DKIM und DMARC, damit bin ich absolut abgesichert und meine E-Mails werden sicher alle in den Posteingang zugestellt.

Gerade habe ich geschrieben, dass Sie sowohl SPF, DKIM als auch DMARC benötigen; und jetzt muss ich Ihnen sagen, dass selbst das noch nicht ausreicht. Sie müssen sich darüber bewusst sein, was diese Protokolle nicht zu leisten in der Lage sind. Hierzu zählen:

  1. Analysen auf Authentifizierungs-Ebene
  2. Herauszufinden, ob es sich um einen legitimen Versender handelt oder nicht und legitimen Versendern damit Inbox-Placement-Vorteile zu verschaffen

Während DMARC natürlich Berichte liefert, liegt es weiterhin in Ihrer Hand, diese Daten zu analysieren und die richtigen Schlussfolgerungen zu ziehen. Sind beispielsweise bestimmt Trends zu erkennen? Worin liegen die Gründe für nicht bestandene Authentifizierungs-Checks? Und was kann dagegen unternommen werden? Genau dabei hilft Email Brand Monitor von Return Path . Diese Lösung bereitet die vorhandenen Daten auf und liefert komplette Transparenz über alle E-Mails, die im Namen Ihres Brands verschickt werden. Zudem zeigt sie in Echtzeit an, wenn E-Mails Authentifizierungsprüfungen nicht bestehen oder ein Phishing-Angriff vorliegt. Denn wenn letzteres tatsächlich der Fall ist, haben Sie keine Zeit mehr, erst noch aufwändige Recherchen durchzuführen. Jetzt ist Handlungsbedarf gegeben, bevor der Angriff sich negativ auf Ihren Brand und das Vertrauen Ihrer Kunden in Ihre Marke und Ihre E-Mail Kommunikation auswirken kann. Email Brand Monitor ist deshalb zudem in der Lage, Phishing Attacken proaktiv zu blocken, indem sie je ISP eine Richtlinie definieren, wie in solchen Fällen mit E-Mails umzugehen ist; etwas, das mit DMARC alleine unmöglich wäre.

Und was ist jetzt mit dem Mythos besserer Posteingangsraten mittels Authentifizierung? Das Authentifizieren Ihrer E-Mails gehört zu den gängigen Best Practices im E-Mail Marketing, liefert aber nicht automatisch Zustellvorteile, noch sollte man dies erwarten. Denn Authentifizierung ist keine Alternative zu einer guten Versenderreputation, die hauptverantwortlich für die E-Mail Zustellbarkeit ist.

Noch eine letzte Bitte an alle Leser, die bis hierher „durchgehalten“ haben: Bitte leisten Sie Ihren Beitrag im Kampf gegen Phishing, indem Sie sich selbst (und auch andere) informieren, für Ihre E-Mails die verfügbaren Authentifizierungsmöglichkeiten nutzen und gemeinsam mit Ihren Kollegen im Marketing und der IT Security arbeiten. Gerne ziehe ich hier den Vergleich mit einer Feuerversicherung, die wohl die meisten unter uns für unsere Häuser abgeschlossen haben und zwar nicht, weil wir davon ausgehen, dass unser Haus abbrennen wird, sondern um uns dagegen zu schützen, sollte es dennoch passieren. Bei Ihrer Marke und Ihrem E-Mail Marketing verhält es sich ganz ähnlich. Letztlich können Sie sich nicht sicher sein, dass Ihre Marke nicht doch Opfer von Cyber-Kriminalität wird. Und wäre es nicht sträflich leichtsinnig die vorhandenen Lösungen nicht in Augenschein zu nehmen. Senn wenn Sie Ihre Marke nicht schützen – wer sollte es sonst tun?

Comments are closed.