Der Bundesfinanzhof und die E-Mail-Sicherheit
Seit dem 7. Juni 2019 kann man auf der Internetseite des Bundesfinanzhofs (BFH) eine Warnung vor gefälschten E-Mails lesen. Bislang unbekannte Täter versenden laut der Warnung E-Mails mit schadhaften Anhängen und verwenden die E-Mail-Domain des Bundesfinanzhofs im Absender. Dass die E-Mails darüber hinaus täuschend echt aussehen, versteht sich von selbst. Die Warnung des BFH wird in den sozialen Medien zwar geteilt, die tatsächliche Reichweite dürfte sich jedoch in Grenzen halten. Der Großteil der Opfer wird – wenn überhaupt – viel zu spät informiert. Und das, obwohl mit der DMARC-Spezifikation eine frei verfügbare Technik existiert, die dies verhindern könnte.
Fake-Mails verhindern – mit kostenfreiem DMARC
Potenzielle Opfer durch einen Blogbeitrag rechtzeitig warnen zu wollen, ist sicherlich richtig, aber aufgrund der gerade aufgeführten Punkte lediglich ein kleiner Baustein in der Kommunikation. Deutlich sinnvoller und effektiver ist die direkte Warnung aller beteiligten E-Mail-Firewalls. Hierfür ist kein Blogbeitrag nötig, sondern eine einfache, bereits bestens standardisierte und kostenfrei verfügbare Technik namens DMARC (IETF RFC 7489 – Domain-based Message Authentication, Reporting, and Conformance, 2015).
DMARC lohnt sich
Mit einem DMARC-Eintrag erklären Domaininhaber den E-Mail-Servern dieser Welt, wie sie mit E-Mails von der geschützten Domain umgehen sollen. Viel wichtiger ist jedoch: Jeder weiß, welche Server im Netz überhaupt im Namen der angegebenen Domain E-Mails verschicken dürfen. Die Einführung eines DMARC-Eintrags bringt sicherlich am Anfang Aufwand mit sich. Dieser Aufwand ist im Verhältnis zur gewonnenen Transparenz aber schnell wieder ausgeglichen. Diese Tatsache und andere positive Nebeneffekte kann man im DMARC-Einführungsbericht des englischen Finanzministeriums (HMRC) nachlesen. In England sind Bundesbehörden sogar angehalten, DMARC verpflichtend einzuführen. NoSpamProxy hat eine Vorreiterrolle bei der Einführung einer DMARC Prüfung auf der Seite der E-Mail-Firewall gespielt und entsprechende Funktionen bereits 2016 Realisiert. Es ist nicht zu verstehen, dass viele im Einsatz befindliche E-Mail-Firewalls diese Prüfungsmöglichkeit immer noch nicht bieten.
Online-Dienste nutzen DMARC schon lange
Auch die meisten Online-Dienste haben die Notwendigkeit eines DMARC-Eintrags bereits seit langem erkannt – vor allem in Fällen, in denen es bei der angebotenen Dienstleistung um Geld geht. Paypal ist hier ein gutes Beispiel. Sämtliche im Verkehr befindlichen Paypal-Domains sind DMARC-geschützt. Nutzer einer E-Mail-Firewall, die diese Informationen konsequent auswertet, brauchen sich um gefälschte Paypal-Mails keine Sorgen machen. Sie werden sie nie zu Gesicht bekommen und müssen auch nicht ständig auf der Internetseite von Paypal nachsehen, ob es eine neue Warnung vor neuen gefälschten E-Mails gibt.
Diese Möglichkeit der Absenderprüfung ist Empfängern einer E-Mail des Bundesfinanzhofs leider verwehrt, da die Behörde ihre E-Mail-Domains nicht mit DMARC abgesichert hat. So bleibt den Opfern der Fake-Mail nur die Hoffnung, dass die eingesetzte E-Mail-Sicherheitslösung Ihren Dienst gut verrichtet und den Anhang als Virus erkennt. NoSpamProxy-Anwender stehen hier trotzdem nicht im Regen, sondern haben zusätzlich noch den proaktiven Schutz durch das CDR-Verfahren (Content Disarm and Reconstruction), mit dem schadhafte Dokumente in sichere PDF-Dateien umgewandelt werden.
Das NoSpamProxy Team unterstützt Unternehmen und Behörden bei der Einrichtung von DMARC mit seinem kostenfreien Ratgeber, der unter https://www.nospamproxy.de/de/ratgeber-dmarc-dkim-spf-dane/ erhältlich ist.
Den Artikel können Sie auch auf der Website von Security Insider und auf eGovernment Computing lesen.