Mit der Absenderüberprüfung wird die Echtheit der Herkunft einer E-Mail überprüft.
Wir stellen hier die verschiedenen Absenderüberprüfungen vor, die Sophos Email vornimmt, um Sie vor nicht legitimen E-Mails zu schützen.
Mit Sender Policy Framework (SPF) kann überprüft werden, ob eingehende E-Mails von einer IP-Adresse oder einem Absender-Host stammen, die von den Administratoren der Absender-Domäne autorisiert wurden.
Der Absender legt einen SPF-Eintrag an, in dem die Hosts, IP-Adressen und Subnetze festgelegt werden, die E-Mails für ihre Domäne senden dürfen.
Sobald Sophos Email eine E-Mail empfängt, wird die Adresse des Absender-Mailservers überprüft und mit den zulässigen Absendern im SPF-Eintrag abgeglichen. Stimmen diese nicht überein, schlägt die SPF-Überprüfung fehl.
DomainKeys Identified Mail (DKIM) wird verwendet, um eine E-Mail durch Überprüfung ihrer digitalen Signatur zu autorisieren; dabei wird ein Domänename mit der E-Mail verknüpft.
Der Absender entscheidet, welcher Teil der E-Mail signiert werden soll (Header und/oder Nachrichtentext) und konfiguriert dann seinen E-Mail-Server so, dass ein Hash dieser Teile erzeugt wird. Der Hash wird dann mit seinem privaten Schlüssel verschlüsselt. Außerdem wird ein DKIM-Eintrag angelegt, der den öffentlichen Schlüssel für die Entschlüsselung der Signatur enthält.
Wenn Sophos Email feststellt, dass eine E-Mail eine DKIM-Signatur hat, wird ein DNS-Abgleich vorgenommen, um den mit der Absender-Domäne verknüpften DKIM-Eintrag zu finden. Dabei wird der öffentliche Schlüssel zum Entschlüsseln der digitalen Signatur zurück zum Hash-Wert verwendet. Dann wird auf Grundlage der signierten Elemente der Nachricht ein eigener Hash erzeugt, der mit dem verschlüsselten Hash abgeglichen wird. Stimmen diese nicht überein, schlägt die DKIM-Überprüfung fehl.
Domain-based Message Authentication, Reporting and Conformance (DMARC) nutzt DKIM und SPF, um die Echtheit einer E-Mail zu überprüfen.
Der Absender legt einen DMARC-Eintrag an, der den Empfänger anweist, DMARC-Überprüfungen vorzunehmen, und Informationen darüber enthält, was zu tun ist, wenn die DMARC-Überprüfung fehlschlägt.
Bei Erhalt einer E-Mail führt Sophos Email eine DNS-Überprüfung durch, um den DMARC-Eintrag für die in der Von (Header)-Adresse der E-Mail angegebene Domäne zu finden. Der DMARC-Eintrag teilt dem Empfänger (in diesem FallSophos Email) mit, dass eine DMARC-Überprüfung vorgenommen werden muss, und enthält Hinweise, was zu tun ist, wenn die DMARC-Überprüfung fehlschlägt. Die Standardoption in Sophos Email für E-Mails, bei denen die DMARC-Überprüfung fehlgeschlagen ist, lautet Gemäß Absender-Richtlinie. Das bedeutet: Was mit der Nachricht geschieht, hängt davon ab, was iim DMARC-Eintrag festgelegt ist. Die in der Von-Adresse angegebene Domäne wird mit den Daten in den SPF- und DKIM-Einträgen abgeglichen, um zu überprüfen, ob die Domänen übereinstimmen. Um eine DMARC-Überprüfung zu bestehen, muss die Nachricht die Validierungs- und Übereinstimmungsüberprüfungen für SPF oder DKIM bestehen:
Bei der Überprüfung auf Header-Anomalien werden E-Mails identifiziert, die von Ihrer eigenen Domäne zu kommen scheinen, in Wirklichkeit aber von einer externen Domäne stammen (Spoofing).
Die Überprüfung identifiziert E-Mails, die von Ihrer eigenen Domäne zu kommen scheinen, aber von einer externen Domäne stammen. Dabei wird der Von-Header der E-Mail mit der Empfänger-Domäne und der MAIL FROM-Adresse im Envelope abgeglichen.