Verwerfungen in der E-Mail-Sicherheitslandschaft: Was Sie wissen sollten

foto freepik

E-Mails sind nach wie vor einer der Eckpfeiler geschäftlicher Kommunikation und um Informationen weltweit auszutauschen. In dem Maß, in dem E-Mail ein Werkzeug zur Vernetzung ist, ist der Posteingang eines der Hauptziele von Phishing, Spoofing und andere Formen von Cyberangriffen. Angesichts der neuerlichen Entwicklungen hat Google kürzlich Empfehlungen herausgegeben, in denen der Konzern ausdrücklich zu strengeren Sicherheitsmaßnahmen beim Thema E-Mail rät [1].

Die Google-Richtlinie hat weitreichende Auswirkungen und berührt zentrale Aspekte der E-Mail-Sicherheit wie das Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) und Domain-based Message Authentication, Reporting, and Conformance (DMARC), um nur einige zu nennen. Firmen sollten die Dringlichkeit der Richtlinie realisieren und robuste E-Mail-Sicherheitsmaßnahmen einziehen, die für Integrität und Sicherheit ihrer digitalen Kommunikation sorgen. Wer die Empfehlungen ignoriert, riskiert Rufschädigung und Vertrauensverluste.

 

»Must have«: E-Mail-Authentifizierung

Im Mittelpunkt des Google Advisorys stehen E-Mail-Authentifizierungsmechanismen, insbesondere SPF und DKIM. Beide Mechanismen schützen vor der unbefugten Nutzung einer E-Mail-Domäne und vor Identitätsspoofing. Mittels SPF kann ein E-Mail-System überprüfen, ob die Administratoren der Domain den sendenden Server autorisieren. Im Wesentlichen wird so verhindert, dass E-Mails im Namen Ihrer Domain versendet werden. DKIM geht noch einen Schritt weiter und stellt eine digitale Signatur bereit. Damit lässt sich verifizieren, dass der Inhalt der E-Mail während der Übertragung nicht manipuliert wurde. Im Zusammenspiel bilden SPF und DKIM eine relativ hohe Einstiegshürde für E-Mail-basierte Cyberbedrohungen.

Verzichtet man auf Authentifizierungsmaßnahmen, hat das nicht zu unterschätzende Konsequenzen. Ohne SPF und DKIM lassen sich Firmen-E-Mails problemlos fälschen – die Basis für erfolgreiche Phishing-Kampagnen, die sich gegen Kunden und Belegschaft richten. Die Folgen sind vielfältig. Das Unternehmen büßt Glaubwürdigkeit ein, erleidet finanzielle Verluste und muss mit rechtlichen Konsequenzen rechnen. Aber die Nichteinhaltung der Google-Richtlinie hat noch andere unerwünschte Nebenwirkungen. Zum Beispiel können Firmen-E-Mails von großen Anbietern wie Yahoo und Google selbst als Spam eingestuft oder gänzlich zurückgewiesen werden. Das belastet nicht nur die Kommunikation als solche, sondern beschädigt u.U. die Firmenreputation.

SPF und DKIM sind wesentliche Säulen einer modernen E-Mail-Sicherheitsstrategie. Sie stellen sicher, dass Firmen-E-Mails vertrauenswürdig und sicher bleiben und wie vorgesehen zugestellt werden. Die Implementierung dieser Maßnahmen ist ein wichtiger Schritt, um die digitale Kommunikation zu schützen und das Vertrauen von Kunden und Partner zu erhalten.

 

Strategisches DNS-Management im Sinne der E-Mail-Legitimität

Im Bereich der E-Mail-Sicherheit spielt die Konfiguration der DNS-Einträge (Domain Name System) eine zentrale Rolle, um Legitimität und Zustellbarkeit einer E-Mail zu gewährleisten. Falsch konfigurierte DNS-Einstellungen sind nicht selten der Grund dafür, dass E-Mails im Spam-Ordner landen oder komplett blockiert werden. Das beeinträchtigt nicht nur den Kommunikationsfluss, sondern schadet mit der Zeit auch dem Ruf der Domain.

DNS-Einträge, einschließlich von SPF und DKIM, müssen korrekt eingerichtet werden, um die Authentizität einer E-Mail zu bestätigen. Die strategische DNS-Verwaltung geht jedoch über diese beiden Einträge hinaus. So sollten beispielweise Absenderdomänen und IP-Adressen über gültige Forward- und Reverse-DNS-Einträge (PTR-Einträge) verfügen. Anhand dieser Einträge kann ein E-Mail-Server überprüfen, ob die Mail aus einer vertrauenswürdigen Quelle stammt. Das verringert die Wahrscheinlichkeit, dass E-Mails als Spam gekennzeichnet werden. Zudem verhindern regelmäßige Überprüfungen der DNS-Konfigurationen potenzielle Probleme, bevor sie sich auf die Zustellbarkeit der Firmen-E-Mails auswirken.

Es existieren einige Tools und Dienste, die es Unternehmen erleichtern, ihre DNS-Einstellungen zu überprüfen, zu verwalten und die optimale Konfiguration aufrechtzuerhalten. Letztere sind ein unverzichtbarer Schritt, um die Legitimität von E-Mails nachzuweisen und eine positive Domain-Reputation zu wahren.

 

Die kritische Rolle von TLS für die E-Mail-Sicherheit

Transport Layer Security (TLS) sorgt dafür, dass die E-Mail-Kommunikation nicht einfach abgehört und mitgelesen werden kann. Fehlt TLS, riskiert man, sensible Informationen offenzulegen und das Unternehmen wird anfällig für Datenschutzverletzungen und Cyberspionage. TLS verschlüsselt die Verbindung zwischen E-Mail-Servern und stellt sicher, dass alle übertragenen Daten vertraulich und unversehrt bleiben. Das ist aber nur eine Seite der Verschlüsselung. Zusätzlich ist sie eine unerlässliche Voraussetzung, um Datenschutzvorgaben und Gesetze einzuhalten. Große E-Mail-Anbieter, darunter auch Google, betonen inzwischen die Notwendigkeit von TLS, und etliche verlangen bei der E-Mail-Zustellung verschlüsselte Verbindungen. Die meisten E-Mail-Server und -Dienste unterstützen TLS, und die Aktivierung erfordert meist nur einige wenige Konfigurationsänderungen. Firmen sollten TLS in jedem Fall aktivieren – ein simpler Schritt, der die E-Mail-Sicherheit aber deutlich erhöht.

Firmen, die Google Workspace und andere E-Mail-Dienste nutzen, müssen sicherstellen, dass ihre Einstellungen TLS für alle ausgehenden und eingehenden E-Mails erzwingen. Dies schützt nicht nur die E-Mail-Kommunikation, sondern signalisiert Partnern und Kunden, dass das betreffende Unternehmen auf hohe Sicherheits- und Datenschutzstandards setzt.

 

Absender mit hohem Versandvolumen

Unternehmen, die täglich große Volumina an E-Mails versenden, stehen beim Thema E-Mail-Sicherheit vor besonderen Herausforderungen. Das gilt auch für die jeweiligen Verantwortlichkeiten. Für diejenigen, die mehr als 5.000 Nachrichten pro Tag versenden, ist eine solide Implementierung von DMARC-Richtlinien nicht nur empfehlenswert, sondern unerlässlich. DMARC bietet eine zusätzliche Schutzebene. Sie basiert auf SPF und DKIM, und legt fest, wie E-Mail-Empfänger mit Nachrichten umgehen sollen, die an den Authentifizierungsprüfungen scheitern. Diese Maßnahmen verringern die Wahrscheinlichkeit erheblich, dass eine E-Mail-Domain für Phishing und Spoofing-Angriffe verwendet wird.

Die Anforderungen für Abmeldelinks einzuhalten, ist ebenfalls ein wichtiger Aspekt für Absender mit hohem E-Mail-Aufkommen. Das CAN-SPAM-Gesetz und andere weltweit gültige Vorschriften geben unter anderem vor, dass kommerzielle E-Mails eine klare und einfache Option für die Empfänger bieten müssen, sich von künftigen Mitteilungen abzumelden [2]. Die Nichteinhaltung kann rechtliche Konsequenzen nach sich ziehen und Kundenbeziehungen beschädigen. Einfache Abmeldeoptionen entsprechen nicht nur den gesetzlichen Anforderungen, sondern respektieren auch die Präferenzen der Empfänger.

 

Compliance und Risiken bei der E-Mail-Sicherheit

Wenn Unternehmen darauf verzichten, die Google-Empfehlungen umzusetzen, kann das weitreichende Konsequenzen haben. Das betrifft nicht nur technisch bedingte Risiken in Zusammenhang mit Cyber-Bedrohungen, sondern auch Compliance-Risiken und potenzielle rechtliche Verpflichtungen. Im aktuellen regulatorischen Umfeld führen Versäumnisse zu Verstößen gegen Datenschutzgesetze wie der DSGVO/GDPR in Europa, CCPA in Kalifornien und anderen weltweit. Sind personenbezogene Daten gefährdet, hat das entsprechend rigide Strafen zur Folge, die inzwischen konsequent umgesetzt werden.

Zudem sind E-Mail-Spoofing und Phishing-Angriffe durchaus geeignet, das Vertrauen von Kunden zu untergraben und damit den Ruf eines Unternehmens zu beschädigen. Sicherheitslücken haben oft direkte finanzielle Verluste zur Folge. Dazu kommen weitere Kosten für die Beseitigung der Bedrohung, die Wiederherstellung der Systeme und nicht zuletzt juristische Aufwendungen.

Die Empfehlungen von Google bilden einen wichtigen Maßstab für E-Mail-Sicherheitspraktiken. Unternehmen sollten sich die Dringlichkeit bewusst machen, und nicht zögern, die entsprechenden Richtlinien zu implementieren. Dazu gehört es auch, sich über die neuesten Trends im Bereich E-Mail- und Cybersicherheit zu informieren und vorausschauend zu agieren [3]. Ziel ist es nicht nur, die derzeitigen Standards zu erfüllen, sondern kommende Herausforderungen zu prognostizieren und sich darauf vorzubereiten.

Jörn Koch, VIPRE Security Group

 

[1] https://support.google.com/a/answer/81126?visit_id=638415251194541623-678778619&rd=1

[2] https://www.questionpro.com/de/help/can-spam-compliance-tool.html

[3] https://vipre.com/resources/press-releases/annual-email-threat-landscape-2024/