Schutz vor Spoofing und Manipulation: DKIM, SPF, DMARC, DNSKEY und DNSSEC einfach erklärt

1. DKIM (DomainKeys Identified Mail)

Ziel:
DKIM dient dazu, die Authentizität einer E-Mail sicherzustellen, indem es die Nachricht mit einer digitalen Signatur versieht. Dadurch wird sichergestellt, dass die E-Mail nicht manipuliert wurde und tatsächlich von einem autorisierten Server der Absenderdomain stammt.

Funktionsweise:

• Signaturerstellung: Wenn eine E-Mail gesendet wird, erstellt der Mailserver des Absenders eine digitale Signatur basierend auf bestimmten Teilen der E-Mail (z.B. den Header-Informationen oder dem E-Mail-Body). Diese Signatur wird mit einem privaten Schlüssel erstellt, den nur der Absender kennt.
• Veröffentlichung des öffentlichen Schlüssels im DNS: Der öffentliche Schlüssel, der zur Verifizierung der Signatur verwendet wird, wird im DNS der Absenderdomain in einem speziellen DKIM-Record veröffentlicht. Dieser öffentliche Schlüssel ist für alle empfangenden Server zugänglich.
• Verifizierung durch den Empfänger: Wenn der Empfänger die E-Mail erhält, ruft sein Mailserver den öffentlichen Schlüssel aus dem DNS ab. Mithilfe dieses Schlüssels kann der Mailserver die Signatur überprüfen. Wenn die Signatur gültig ist, wird bestätigt, dass die E-Mail während der Übertragung nicht verändert wurde und von einem autorisierten Server stammt.

Beispiel:
Eine E-Mail von „admin@example.com“ wird mit einem privaten Schlüssel des Mailservers von „example.com“ signiert. Der empfangende Mailserver überprüft die Signatur, indem er den öffentlichen Schlüssel aus dem DNS von „example.com“ abruft. So wird sichergestellt, dass die E-Mail unverändert und legitim ist.

2. SPF (Sender Policy Framework)

Ziel:
SPF schützt gegen E-Mail-Spoofing, indem es sicherstellt, dass nur autorisierte Server im Namen einer Domain E-Mails versenden dürfen. Dadurch werden gefälschte Absenderadressen, wie sie oft bei Phishing-Angriffen verwendet werden, erschwert.

Funktionsweise:

• SPF-Record im DNS: Der Domain-Inhaber legt im DNS einen SPF-Record an. Dieser Record enthält eine Liste von IP-Adressen oder Servern, die berechtigt sind, E-Mails im Namen der Domain zu versenden. Nur diese im SPF-Record definierten Server dürfen für die Domain E-Mails versenden.
• Überprüfung durch den Empfänger: Wenn ein empfangender Mailserver eine E-Mail erhält, prüft er die IP-Adresse des sendenden Servers. Diese wird mit den IP-Adressen verglichen, die im SPF-Record der Absenderdomain hinterlegt sind.
• Entscheidung: Wenn der sendende Server in der Liste der autorisierten Server aufgeführt ist, wird die E-Mail als legitim betrachtet. Ist dies nicht der Fall, kann der Mailserver die E-Mail ablehnen oder als verdächtig markieren, oft durch Einordnung in den Spam-Ordner.

Beispiel:
Eine Domain „example.com“ veröffentlicht einen SPF-Record, der besagt, dass nur der Server „mail.example.com“ (mit der IP-Adresse 192.168.1.1) berechtigt ist, E-Mails zu versenden. Wenn eine E-Mail von einem anderen Server kommt, der nicht in diesem Record aufgeführt ist, wird die E-Mail als verdächtig eingestuft oder abgelehnt.

3. DMARC (Domain-based Message Authentication, Reporting & Conformance)

Ziel:
DMARC ist ein Sicherheitsprotokoll, das SPF und DKIM kombiniert, um eine umfassendere Authentifizierungsstrategie für E-Mails zu bieten. Es legt fest, wie empfangende Server E-Mails behandeln sollen, die die SPF- und DKIM-Prüfungen nicht bestehen, und bietet zudem Berichtsfunktionen.

Funktionsweise:

• DMARC-Record im DNS: Ein DMARC-Record wird im DNS der Domain veröffentlicht. Er definiert, wie der empfangende Server auf E-Mails reagieren soll, die SPF oder DKIM nicht bestehen. Der Record kann angeben, ob solche E-Mails in den Spam-Ordner verschoben, abgelehnt oder weiterhin akzeptiert werden sollen.
• Prüfung der „Alignierung“ von SPF und DKIM: DMARC prüft nicht nur, ob eine E-Mail SPF und DKIM besteht, sondern auch, ob die Domain, die im „From“-Header der E-Mail angezeigt wird, mit der Domain übereinstimmt, die durch SPF und DKIM authentifiziert wurde. Diese zusätzliche Prüfung verhindert, dass E-Mails mit gefälschten Absendern trotz bestandener SPF- oder DKIM-Prüfung als legitim gelten.
• Berichte: DMARC ermöglicht es Domain-Inhabern, tägliche Berichte zu erhalten, in denen aufgeführt ist, welche E-Mails ihre Domain verwendet haben und wie diese behandelt wurden (z.B. ob sie authentifiziert oder abgelehnt wurden). Diese Berichte helfen, Missbrauch und Spoofing-Versuche zu erkennen.

Beispiel:
Ein DMARC-Record könnte festlegen, dass alle E-Mails, die entweder SPF oder DKIM nicht bestehen, abgelehnt werden. Zusätzlich kann der Domain-Inhaber tägliche Berichte erhalten, die zeigen, welche E-Mails im Namen der Domain gesendet wurden und ob sie erfolgreich authentifiziert wurden.

4. DNSSEC (Domain Name System Security Extensions)

Ziel:
DNSSEC schützt das Domain Name System (DNS) vor Manipulationen, indem es sicherstellt, dass die DNS-Antworten authentisch und unverändert sind. DNSSEC schützt insbesondere vor Angriffen wie Cache-Poisoning, bei denen gefälschte DNS-Antworten in den Cache eines DNS-Resolvers eingeschleust werden.

Funktionsweise:

• Digitale Signaturen: DNSSEC fügt jeder DNS-Antwort eine digitale Signatur hinzu, die mit einem privaten Schlüssel signiert wurde. Diese Signatur stellt sicher, dass die Antwort von einem autorisierten Server stammt und während der Übertragung nicht manipuliert wurde.
• Vertrauensanker (Trust Anchor): DNSSEC arbeitet mit einer Vertrauenskette, die von den Root-DNS-Servern ausgeht und sich bis zu den Ziel-Domains erstreckt. Jede Zone (Root, TLD, Second-Level-Domain) signiert die darunterliegende Zone, um die Authentizität der DNS-Daten sicherzustellen.
• Verifizierung durch den Resolver: Der DNS-Resolver des Benutzers überprüft die Signaturen, indem er die öffentlichen Schlüssel der jeweiligen Zonen abfragt. Wenn die Signatur gültig ist, wird die DNS-Antwort als vertrauenswürdig betrachtet.

Ablaufdiagramm zur DNSSEC-Verifizierung:

Root-DNS-Server (Vertrauensanker) --> TLD-DNS (z.B. .com) --> Second-Level-Domain (z.B. example.com) --> DNS-Antwort

Beispiel:
Wenn ein Benutzer die Website „example.com“ aufruft, überprüft sein DNS-Resolver die Signaturen der DNS-Antwort, um sicherzustellen, dass die Antwort unverändert ist und von der richtigen Quelle stammt.

5. DNSKEY (DNS Security Key)

Ziel:
DNSKEY ist ein zentraler Bestandteil von DNSSEC und stellt den öffentlichen Schlüssel bereit, der zur Verifizierung der digitalen Signaturen verwendet wird, die DNSSEC hinzufügt.

Funktionsweise:

• Öffentlicher Schlüssel im DNSKEY-Record: Der DNSKEY-Record enthält den öffentlichen Schlüssel, der zur Überprüfung der Signaturen verwendet wird, die auf den DNS-Daten basieren. Der öffentliche Schlüssel ist im DNS der jeweiligen Domain hinterlegt.
• Signaturprüfung: DNSKEY ermöglicht es dem DNS-Resolver, die digitalen Signaturen von DNS-Daten zu überprüfen, um sicherzustellen, dass sie unverändert und authentisch sind. Der öffentliche Schlüssel wird verwendet, um die Signatur zu entschlüsseln und ihre Gültigkeit zu überprüfen.
• Zonenschlüssel: Es gibt zwei Arten von Schlüsseln in DNSSEC: den Zone Signing Key (ZSK), der die DNS-Daten einer Zone signiert, und den Key Signing Key (KSK), der den ZSK signiert. Diese Aufteilung erhöht die Sicherheit und ermöglicht flexiblere Schlüsselmanagement-Strategien.

Beispiel:
Ein DNSKEY-Record könnte folgendermaßen aussehen:

example.com. IN DNSKEY 257 3 8 AwEAAb...

Dieser Record enthält den öffentlichen Schlüssel für „example.com“, der zur Verifizierung der Signaturen auf den DNS-Daten verwendet wird.