shop high quality replique rolex.

discover the luxury rolex imitacion online watch store.

replica watches are the best qulity online.

swiss replica watches owns a high factor within throughout the world watch business sector.

richard mille fakes are the perfect mix between italian design and swiss technology at the service of the passion for the sea.

de-DEen-GB
Search
Blog
rss

Granikos Technology Blog

Webcast SPF, DKIM und DMARC

On August 8, 2016
Nicole Stensitzki
0 Kommentar
DKIM, DMARC, NoSpamProxy, SPF, Webcast
Deutsch, Language, Software
3277 Views

E-Mail-Sicherheit auf Knopfdruck. Geht doch!

NoSpamProxy - E-Mail Security GatewaySPF, DKIM und DMARC sind in aller Munde und teilweise sogar zur Pflicht geworden. Viele Firmen trauen sich jedoch nicht an die Umsetzung. Unser Partner Net at Work zeigt in diesem Webcast wie einfach es sein kann, den Absender einer E-Mail zu überprüfen, wenn man die richtigen Werkzeuge verwendet.

Auf Knopfdruck geben Sie Ihren Kommunikationspartnern die Möglichkeit, E-Mails aus Ihrem Hause einwandfrei zu identifizieren und gefälschte E-Mails mit Ihrer Domäne abweisen zu können. Darüber hinaus haben Sie die Möglichkeit zu erkennen, ob Ihre Domäne für Spam- und Malware-E-Mails missbraucht wird.

Ein weiterer wichtiger Aspekt ist beispielsweise der Schutz vor gefälschten PayPal-Rechnungen. Überlassen Sie die Absenderprüfung nicht Ihren Mitarbeitern, sondern einem E-Mail-Security Gateway Made in Germany.

Termin

  • Freitag, 09. September 2016
  • 11:00 Uhr

Anmeldung

Verbundene Einträge

  • SPF, DKIM, DMARC and DNS
    This is a translated blog post of the original post in German, which can be read here.



    Different technologies are used to verify the validity of email senders. Each technology by itself represents only one component of a holistic solution. It is currently recommended to implement all three technologies.

    The technologies are:

    • SPF - Sender Policy Framework
      The SPF resource record of a DNS zone defines which servers (hostnames or IP addresses) are allowed to send emails on behalf of the domain. Each sender domain must have it's own SPF resource record.
       
    • DKIM - Domain Keys Identified Mail
      DKIM pursues the same objective as SPF. With DKIM parts of an email, messages are encrypted using a private key. The public key is published as a DNS resource record. In most cases, the key pair is generated by the mail servers, as these encrypt the message anyway.
       
    • DMARC - Domain-based Message Authentication, Reporting & Conformance
      DMARC is placed on top of SPF and DKIM. DMARC executes a so-called alignment for SPF and DKIM. An alignment defines a policy that describes how strict a receiving server (MTA) should validate and assess the sender address with SPF and DKIM. Stefan Cink of Net at Work has published a detailed post (DE) on this.

     

    The following figure illustrates the protocol relations.

    DMARC, SPC and DKIM relations

    The use of SPF, DKIM, and DMARC are no substitute for email message encryption itself or transport encryption. These technologies are used to identify and asses valid senders and to protect against spam messages.

    Keep in mind that SPF, DKIM, and DMARC are offerings for other emails servers. As a sending party, you do not control if and how SPF, DKIM, and DMARC are evaluated by the receiving server. But if evaluated, the configuration must be correct to avoid messages being rejected by receiving email servers.

    The following sections focus on the DNS configuration for SPF, DKIM, and DMARC. This post is not intended to rate the technologies, but to describe the implementation.

     

    SPF

    Each domain is used for sending emails requires an SPF resource record (RR) in its DNS zone. An SPF record is always of the type TXT and does not use any hostname (or resource record name, if you will). An SPF RR is always valid for the entire DNS zone.

    Example

    mcsmemail.de.          3600     IN      TXT     "v=spf1 mx a:mail.mcsmemail.de ?all"

    The following screenshot illustrates adding a new SPF TXT record in a common DNS management interface (DE) of an internet provider. The hostname textbox remains empty.

    Anlegen eines SPF TXT DNS Eintrages

    Example explained:

    v=spf1
    SPF Version

    mx
    MX server records defined within the DNS zone are valid senders

    a:mail.mcsmemail.de
    The additional DNS hostname defined as A resource record is a valid sender as well

    ?all
    Neutral validation of non listed servers that send emails for this domain

    SPF records can be created by using one of the various online resources.

     

    DKIM

    DKIM resource records are configured as TXT resource records as well. In contrast to an SPF record, a hostname is mandatory. In this case its called selector.

    A DKIM TXT record is always created as a record in the subdomain _domainkey.

    Example

    nsp._domainkey.mcsmemail.eu. 3600 IN     TXT     "v=DKIM1\; k=rsa\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQChZM8yjegaKfd0ssKyezTW/7xbDSNc0uPd50xa5/ecerv1v3mHKM+T7mClzRmIEx+Ji6AisVeo2uvjTYPemHFMBlQpuS/4zc2QxWHqp62FSQ7lASBOzDfUrIwayPVqwSPD6NrnfVSWoUNrFGGSVeU5uLASecBzTfxPukqTHgYKhQIDAQAB"

    The following screenshot illustrates adding a new DKIM TXT record in a common DNS management interface (DE) of an internet provider. The hostname textbox contains the selector nsp followed by the subdomain _domainkey.

    Anlegen eines DKIM TXT DNS Eintrages

    Example explained:

    v=DKIM1
    DKIM version

    k=rsa
    Public key encryption method

    p=MIGfMA....
    The DKIM public key

     

    DMARC

    DMARC is configured as a TXT resource record as well. The DMARC resource record uses the fixed hostname _dmarc.

    Example

    _dmarc.mcsmemail.de.     3600    IN      TXT     "v=DMARC1\; p=none\; rua=mailto:DMARCRUA@mcsmemail.de\; ruf=mailto:DMARCRUF@mcsmemail.de\; fo=1\; adkim=s\; aspf=s\; rf=afrf\"

    The following screenshot illustrates adding a new DMARC TXT record in a common DNS management interface (DE) of an internet provider. The hostname textbox contains always the value _dmarc.

    Anlegen eines DMARC TXT DNS Eintrages

    Example explained:

    v=DMARC1
    DMARC version

    p=none
    No DMARC policy defined (You should always start with None, before switching to Quarantine or Reject)

    rua=mailto:DMARCRUA@mcscmemail.de
    Email address for status reports

    ruf=mailto:DMARCRUF@mcscmemail.de
    Email address for error reports

    fo=1
    Error report type

    adkim=s
    DKIM alignment, s = strict

    aspf=s
    SPF alignment, s = strict

    rf=afrf
    Error report message format, afrf = Abuse Report Format following RFC 5965

    The DMARC policy (p) should be raised step-by-step. The results for each policy type are:

    • none - No action, affected messages are part of the daily message report
    • quarantine - Affected messages are marked as spam
    • reject - An affected message is rejected on the SMTP layer

    Recommended reading on this topic: Google Support Post.

    DMARC DNS zone entries can easily be checked by using the Net at Works PowerShell tool. The PowerShell script can only be used with NoSpamProxy11+. But there are some online tools available as well.

    Links

     

    Do you need assistance with your Exchange Server setup? You have questions about your Exchange Server infrastructure and going hybrid with Office 365?

    Contact us at office365@granikos.eu or visit our website http://www.granikos.eu.

     

  • SPF, DKIM, DMARC und DNS
    The English version of this post can be read here.


    Für die Prüfung von gültigen E-Mail Absendern stehen unterschiedliche Technologien zur Verfügung. Jede für sich genommen stellt aber nur einen Baustein einer Gesamtlösung dar. Nach aktuellem Standard ist die Empfehlung, alle drei Technologien zu implementieren.

    Die Technologien sind:

    • SPF - Sender Policy Framework
      Mit Hilfe des SPF Eintrages in einer DNS Zone wird beschrieben, welche Serversysteme befugt sind, E-Mails im Namen der Domäne zu versenden. Werden E-Mails unter verschiedenen Absendedomänen versendet, so muss für jede Absenderdomäne ein SPF Eintrag konfiguriert werden.
       
    • DKIM - Domain Keys Identified Mail
      DKIM verfolgt das gleiche Ziel wie SPF. Jedoch wird bei DKIM ein Teil der E-Mail Informationen mit einem privaten Schlüssel verschlüsselt. Der öffentliche Schlüssel wird über die DNS Zone des E-Mail Absenders bereitgestellt. Die Schlüsselerstellung erfolgt heutzutage in den meisten Fällen direkt im E-Mail Server, da dieser auch die Verschlüsselung der Nachrichten durchführt.
       
    • DMARC - Domain-based Message Authentication, Reporting & Conformance
      DMARC setzt auf SPF und DKIM auf. DMARC führt ein sog. Alignment für SPF und DKIM durch. Dieses Alignment beschreibt eine Richtlinie, die festlegt, wie streng ein empfangender Mail-Server die Absenderinformationen gegen SPF und DKIM prüfen bzw. bewerten soll. Stefan Cink hat hierzu einen ausführlichen Artikel im Net at Work Blog verfasst.

    Das nachfolgende Schaubild verdeutlicht die Relation der Protokolle zu einander.

    Relationen von DMARC, SPC und DKIM

    Die Konfiguration von SPF, DKIM und DMARC ist kein Ersatz für E-Mail Nachrichtenverschlüsselung oder eine Transportverschlüsselung bei der E-Mail Übertragung. Vielmehr mehr dienen die genannten drei Technologien der Erkennung und Bewertung von gültigen Absendern und stellen einen Schutzmechanismus vor Spam dar.

    Man darf nicht vergessen, dass die Konfiguration der drei Technoligen nur ein Angebot für andere E-Mail Server darstellt. Als Absender hat man schlicht keine Kontrolle darüber, ob und wie SPF, DKIM oder DMARC von der empfangenden Seite ausgewertet werden. Werden sie aber ausgewertet, so müssen die Konfigurationen korrekt und fehlerfrei sein und keine Testeinträge mehr enthalten.

    Die nachfolgenden Abschnitte beschreiben insbesondere die DNS Konfiguration für SPF, DKIM und DMARC. Dieser Blogeintrag stellt keine detaillierte Bewertung der drei Technologien dar, sondern beschreibt deren Implementierung.

    SPF

    Für jede Domäne, die E-Mails versendet, ist ein SPF Eintrag (Resource Record) in der DNS Zone einzutragen. Ein SPF Eintrag ist immer vom Typ TXT und nutzt keinen Hostnamen (oder Resource Record Namen). Er gilt immer für die gesamte zu betrachtende Zone.

    Beispiel

    mcsmemail.de.          3600     IN      TXT     "v=spf1 mx a:mail.mcsmemail.de ?all"

    Das nachfolgende Beispiel zeigt das Anlegen eines SPF TXT Eintrages in einer DNS Verwaltungsoberfläche eines Internet-Hosters. Das Textfeld für den Hostnamen bleibt leer.

    Anlegen eines SPF TXT DNS Eintrages

    Die im Beispiel verwendeten Einträge bedeuten:

    v=spf1
    Die SPF Version des Texteintrage

    mx
    Die in der DNS Zone konfigurierten MX Servereinträge für eingehende E-Mails sind valide Sender

    a:mail.mcsmemail.de
    Der in der DNS Zone existierende A Resource Record ist ebenfalls an valider Sender

    ?all
    Neutrale Bewertung von nicht genannten Systemen, die ebenfalls E-Mails mit dieser Domäne senden

    Die Erstellung der SPF Konfiguration erfolgt am einfachsten über einen der zahlreiche Online-Konfiguratoren. Diese werten bereits die aktuelle Konfiguration der DNS Zone aus.

    DKIM

    Bei einem DKIM Eintrag erfolgt die Konfiguration ebenfalls über einen TXT Eintrag in der DNS Zone der Absenderdomäne. Im Gegensatz zum SPF Eintrag ist ein Name für den Resource Record verpflichtend. Im Zusammenhang mit DKIM spricht man hier vom einem Selektor.

    Ein DKIM DNS Eintrag erfolgt immer unterhalb der DNS Subdomäne _domainkey.

    Beispiel

    nsp._domainkey.mcsmemail.eu. 3600 IN     TXT     "v=DKIM1\; k=rsa\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQChZM8yjegaKfd0ssKyezTW/7xbDSNc0uPd50xa5/ecerv1v3mHKM+T7mClzRmIEx+Ji6AisVeo2uvjTYPemHFMBlQpuS/4zc2QxWHqp62FSQ7lASBOzDfUrIwayPVqwSPD6NrnfVSWoUNrFGGSVeU5uLASecBzTfxPukqTHgYKhQIDAQAB"

    Das nachfolgende Beispiel zeigt das Anlegen eines DKIM TXT Eintrages in einer DNS Verwaltungsoberfläche eines Internet-Hosters. Das Textfeld für den Hostnamen enthält den Selektor nsp und die Subdomäne _domainkey.

    Anlegen eines DKIM TXT DNS Eintrages

    Die im Beispiel verwendeten Einträge bedeuten:

    v=DKIM1
    Die DKIM Version des DNS Eintrages

    k=rsa
    Verschlüsselungsmethode des öffentlichen Schlüssels

    p=MIGfMA....
    Der öffentliche Schlüssel des DKIM Schlüsselpaares

    DMARC

    Die Konfiguration von DMARC erfolgt ebenfalls über einen TXT Eintrag in der DNS Zone der absendenden Domäne. Für die Konfiguration wird der definierte Resource Record Name _dmarc verwendet.

    Beispiel

    _dmarc.mcsmemail.de.     3600    IN      TXT     "v=DMARC1\; p=none\; rua=mailto:DMARCRUA@mcsmemail.de\; ruf=mailto:DMARCRUF@mcsmemail.de\; fo=1\; adkim=s\; aspf=s\; rf=afrf\"

    Das nachfolgende Beispiel zeigt das Anlegen eines DMARC TXT Eintrages in einer DNS Verwaltungsoberfläche eines Internet-Hosters. Das Textfeld für den Hostnamen enthält immer den Namen _dmarc.

    Anlegen eines DMARC TXT DNS Eintrages

    Die im Beispiel verwendeten Einträge bedeuten:

    v=DMARC1
    Die DMARC Version des DNS Eintrages

    p=none
    Keine definierte Policy für DMARC (Dies sollte immer das Startszenario sein, bevor man zu Quarantine oder Reject wechselt)

    rua=mailto:DMARCRUA@mcscmemail.de
    E-Mail Adresse für aggregierte Statusberichte

    ruf=mailto:DMARCRUF@mcscmemail.de
    E-Mail Adresse für Fehlerbericht

    fo=1
    Definition der Art des Fehlerberichtes

    adkim=s
    Definition DKIM Prüfung, s = strict

    aspf=s
    Definiton der SPF Prüfung, s = strict

    rf=afrf
    Nachrichtenformat des Fehlerberichtes, afrf = Abuse Report Format nach RFC 5965

    Die Richtlinie (Policy, p) zur Auswertung und Reaktion sollte langsam gesteigert werden. Je Richtlinie sind die Ergebnisse wie folgt:

    • none - Keine Aktion, Betroffene Nachrichten werden nur im täglichen Bericht protokolliert
    • quarantine - Betroffene Nachrichten werden als Spam gekennzeichnet
    • reject - Die Nachricht wird auf SMTP Ebene zurückgewiesen

    Sehr empfehlenswert zu diesem Thema ist ein Supportartikel von Google.

    Für die Überprüfung der DNS Zoneneinträge kann das PowerShell Tool von Net at Work verwendet werden. Das PowerShell script kann nur mit NoSpamProxy 11 oder höher verwendet werden. Ebenso stehen zahlreiche Online-Tools zur Verfügung. Unten finden Sie direkt Verlinkungen zu den Tools von MXToolbox.

    Links

     

    Sichern Sie Ihre E-Mail Kommunikation mit PGP oder S/MIME und nutzen Sie sichere E-Mail Verschlüsselung am Gateway mit NoSpamProxy Encryption. E-Mail Security Made in Germany.
    Wir beraten Sie gerne: info@granikos.eu
     

  • Handelsregister Gebührennachweis und E-Mail-Sicherheit

    IllustrationÜber die Webseite Gemeinsames Registerportal der Länder haben Unternehmen u.a. die Möglichkeit, eine Online-Abfrage des eigenen Handelsregisterauszuges anzufragen und zusenden zu lassen. Diese Dienstleistung ist gebührenpflichtig.

    Nach der Abfrage des Handelsregisterauszuges im Juli 2020 fand Anfang August 2020 eine E-Mail mit der Absenderadresse gebuehrennachweis@handelsregsiter.de ihren Weg in den Posteingang meines Postfaches. Auf der Webseite des Registerportals wird auf die Warnhinweise der Landesjustizverwaltungen und des Bundesministeriums der Justiz hingewiesen. Dieser Hinweis war Grund genug, doch einmal einen ausführlichen Blick auf die E-Mail des Gebührennachweises zu werfen. Dieser Hinweis wird in der E-Mail sogar noch einmal wiederholt.

    Die allgemeine und die technische Bewertung der E-Mail mit Dateianhang des Gebührennachweises als PDF-Datei war sehr ernüchternd. Ich wurde sofort an die problematischen E-Mail-Nachrichten im Zusammenhang mit der NRW Soforthilfe erinnert. Denn auch im Fall des Registerportals werden die E-Mail-Nachrichten von Systemen der IT.NRW versendet.

     

    Hinweis
    Beim Aufruf der Webseite macht der kleine Buchstabe 's' den Unterschied. Die Url handelsregister.de führt zum Registerpoertal der Länder. Die Url handelregister.de führt jedoch zu einer privat geführten Website. Achten Sie darauf, dass Sie auf das richtige Portal zugreifen.

     

    Die E-Mail - Aus Sicht des Anwenders

    Bereits in der Übersicht des Posteingangs zeigte sich die E-Mail verhaltensauffällig. Die Absenderadresse der E-Mail-Nachricht verfügt über keinerlei Klartextnamen. Die Anzeige der E-Mail-Adresse alamierte mich sofort. Der Betrefftext der Nachricht förderte mein Misstrauen nur. Das Registerportal sendet anscheinend keine Einzelnachweise, sondern monatliche Zusammenfassungen. 

    Ein weiterer Punkt ist, dass es sich um eine technische Nachricht handelt, auf die man als Empfänger nicht direkt anworten soll. Solch ein Vorgehen ist für Empfänger in der Regel nicht nachvollziehbar und, aus meiner Sicht, heutzutage ebenfalls ein Indikator für eine E-Mail-Nachricht zweifelhafter Herkunft.

     

    Screenshot E-Mail mit Gebührennachweis

     

    Anwender, die solch eine Nachricht erhalten, haben keinerlei Möglichkeit, die Integrität der Nachricht oder die Gültigkeit des Absenders zu überprüfen.

    Der Blick in die technischen Informationen der E-Mail-Nachricht und die Prüfung wichtiger Basis-Sicherheitsfunktionen für die E-Mail-Kommunikationen zeigen eklatante Lücken auf, die heutzutage mit einfachen Mitteln vermeidbar sind. 

     

    Die E-Mail - Aus Sicht der IT

    E-Mail Kopfinformationen

    Der erste Blick richtet sich immer auf die Kopfinformationen einer E-Mail-Nachricht. Wie schon im Falle der E-Mail-Nachrichten zur NRW Soforthilfe werden die Namen und IP-Adressen interner Systeme nicht aus den Kopfinformationen entfernt. Das Verhalten bei der Zustellung der E-Mail ändert sich durch das Entfernen der internen Topologieinformationen nicht. Jedoch stellen diese Informationen ein Sicherheitsrisiko dar. Potentielle Angreifer erhalten ausreichend Informationen über die Namensschema und IP-Adressen interner Systeme. 

     

    Screenshot E-Mail Nachrichtenheader

    Das Entfernen interner Topologieinformationen ist bereits seit Jahren Stand der Technik, wird in diesem Fall jedoch nicht angewandt.

     

    MX - Mail Exchanger DNS Eintrag

    Nach der Auswertung der E-Mail-Kopfinformationen ist die Prüfung des DNS-Eintrages für den oder die E-Mail-Server der Domäne handesregister.de an der Reihe. Ich verwende hierzu immer die Werkzeuge der Webseite MX Toolbox

    Aus den Kopfinformationen können wir ablesen, dass das versendende System auf den Namen sbmail.it.nrw.de konfiguriert ist. Der Name wird vom öffentlichen Name Server auf die IP-Adresse 93.184.132.24 aufgelöst. 

    Die Prüfung des MX DNS-Eintrages ergibt leider andere Informationen.

    Screenshot - MX DNS-Eintrag handelsregister.de

     

    Der Empfang von Nachrichten für die Domäne handelsregister.de erfolgt über den Namen postamt.it.nrw.de, der auf die IP-Adresse 93.184.132.233 aufgelöst wird. Dies stellt für E-Mail-Server die Nachrichten an Empfänger dieser Domäne senden, kein Problem dar. Für E-Mail-Server, die Nachrichten von handelsregister.de empfangen, ist dies jedoch problematisch.

    Einer der Standardprüfungen, die E-Mail-Server beim Empfang einer Nachricht durchführen, ist die Prüfung, ob die einliefernde IP-Adresse mit der IP-Adressauflösung des MX-Eintrages übereinstimmt. Wenn dies, wie in diesem Fall, nicht zutrifft, erhöht dies automatisch der Wahrlichkeit, dass es sich um eine Spam-Nachricht handelt. Je mehr Absenderprüfungen fehlschlagen, desto höher ist die Wahrscheinlichkeit. 

    Die Tatsache, dass unterschiedliche System für den Versand und für den Empfang von E-Mail-Nachrichten verwendet werden, ist nicht ungewöhnlich. Um solch eine Konfiguration anderen E-Mail-Servern bekanntzumachen, gibt es eine technische Lösung; das Sender Policy Framework.

     

    SPF - Sender Policy Framework

    Das Sender Policy Framework (SPF) unterstützt die Möglichkeit, gültige Systeme für den Versand von E-Mail-Nachrichten einer einzelnen Domäne zu definieren. HIerzu wird in der DNS-Zone ein sog. SPF-Eintrag hinterlegt, der sowohl Namen als auch IP-Adressen gültiger Systeme enthalten kann. Zusätzlich ist es möglich, Referenzen auf SPF-Einträge anderer Domänen einzutragen, wenn diese ebenfalls E-Mail-Nachrichten für die Domäne versenden.

    Die Domäne handelsrgister.de existiert kein SPF-Eintrag in der externen DNS-Zone.

    Screenshot - fehlender SPF Eintrag für handelsregister.de

     

    Dies bedeutet, dass keine gültigen Systeme für den Versand von E-Mail-Nachrichten definiert sind. Empfangende Systeme haben keine Möglichkeit zur Prüfung und nehmen somit E-Mail-Nachrichten von beliebigen Systemen aus dem Internet entgegen. Dies stellt ein enormes Sicherheitsrisiko dar und kann als fahrlässige Fehlkonfiguration eingestuft werden. 

    Das Fehlen des SPF-Eintrages wird beim Empfang einer Nachricht von modernen Systemen als Verstoß gegen Industriestandards bewertet und führt automatisch zu einer Erhöhung der Spam-Wahrscheinlichkeit. 

     

    DKIM - Integrität der E-Mail-Kopfinformationen

    Selbst wenn keine SPF-Informationen vorliegen, können in einer E-Mail die Empfänger- und Absenderinformationen abgesichert werden. Hierzu steht die Funktion DomainKeys Identified Mail (DKIM) zu Verfügung. Hierbei erfolgt eine Signierung dieser und andere Informationen der E-Mail. Das empfangende System hat die Möglichkeit, eine DKIM-signierte E-Mail-Nachricht mit Hilfe des DKIM-Eintrages in der DNS-Zone der sendenden Domäne zu prüfen. 

    Hierdurch wird sichergestellt, dass die Nachricht von einem System signiert wurde, dass über den privaten DKIM-Schlüssel verfügt. Absender ohne Zugriff auf den privaten Schlüssel haben keine Möglichkeit, solch eine Signierung durchzuführen. 

    Screenshot - Fehlende DMARC, SPF und DKIM Einträge für handelsregister.de

    E-Mail-Nachrichten der Domäne handelsregister.de werden nicht durch eine DKIM-Signierung geschützt. Somit haben empfangende Systeme keinerlei Möglichkeit, die Gültigkeit einer E-Mail-Nachricht der Domäne handelsregister.de zu prüfen.

     

    DMARC - Schutz vor E-Mail-Missbrauch

    Um den MIßbrauch von E-Mail-Nachrichten einzuschränken, wurde die Funktion DMARC (Domain-based Message Authentication, Reporting and Conformance) entwickelt. DMARC kann ergänzend zu SPF und DKIM eingesetzt werden. Auch DMARC wird über einen DNS-Eintrag in der Absender-Domäne definiert. Ein DMARC-Eintrag gibt dem empfangenden System Informationen, wie mit einer E-Mail zu verfahren ist, wenn die Validierung von SPF und DKIM fehlschlägt. Zusätzlich kann in einem DMARC-Eintrag festgelegt werden, an welche E-Mail-Adresse Benachrichtigungen über fehlerhafte E-Mail-Nachrichten gesendet werden sollen. Als Betreiber einer Domäne erhalte ich so Informationen, welche System in Internet meine Domäne als Absenderdomäne verwenden. 

    Da weder DKIM-, noch SPF-Einträge für die Domäne handelsregister.de vorhanden sind, fehlt auch ein DMARC-Eintrag. 

    Gerade im Hinblick auf die Sensibilität der Informationen, die über diese Domäne versendet werden, ist die Implementierung aller drei Schutzfunktionen drigend angeraten.

     

    E-Mail-Verschlüsselung oder -Signierung

    Ob eine Verschlüsselung der E-Mail-Nachricht an sich notwendig ist, kann man diskutieren. Sowohl Nachricht als auch der PDF-Dateianhang waren nicht verschlüsselt. Eine S/MIME Signierung der Nachricht, als Mindestmaß zur Sicherstellung der Integtrität des Absender, fehlte ebenfalls.

     

    TLS-Prüfung 

    Das sendende System sbmail.it.nrw.de ist nicht für eigehende Verbindungen aus dem Internet konfiguriert. Die Prüfung des MX-Endpunktes für handelsregister.de offenbahrte die bereits bekannten TLS-Schwächen.

    Der Test des TLS-Endpunkte erfolgte mit dem TLS-Scanner von ImmuniWeb.

    Screenshot - TLS Zusammenfassung postamt.it.nrw.de

     

    Die schlechte Beurteilung hat mehrere Gründe:

    • Unterstützung von TLS 1.0

      Screenshot - Unterstützte TLS-Protokolle von postamt.it.nrw.de
       
    • Unterstützung unsicherer TLS-Verfahren und damit ein Verstoß gegen Best Practices Empfehlungen

      Screenshot - Industry Best Practices Analyse für postamt.it.nrw.de
      Die fehlende Unterstützung von TLS 1.3 ist noch nicht als kritisch zu bewerten. Das eine TLS-Neuaushandlung durch den TLS-Client unterstützt wird, ist jedoch als sehr kritisch einzustufen. Hierzu existieren zahlreiche dokumentierte Angriffsszenarien.
       
    • Unterstützung von unsicheren Cipher Suiten
    TLS_RSA_WITH_RC4_128_MD5
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_IDEA_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DH_anon_WITH_RC4_128_MD5
TLS_DH_anon_WITH_3DES_EDE_CBC_SHA
TLS_DH_anon_WITH_AES_128_CBC_SHA
TLS_DH_anon_WITH_AES_256_CBC_SHA
TLS_DH_anon_WITH_CAMELLIA_128_CBC_SHA
TLS_DH_anon_WITH_CAMELLIA_256_CBC_SHA
TLS_DH_anon_WITH_SEED_CBC_SHA
TLS_ECDH_anon_WITH_RC4_128_SHA
TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA
TLS_ECDH_anon_WITH_AES_128_CBC_SHA
TLS_ECDH_anon_WITH_AES_256_CBC_SHA
TLS_DH_anon_WITH_AES_128_CBC_SHA256
TLS_DH_anon_WITH_AES_256_CBC_SHA256
TLS_DH_anon_WITH_AES_128_GCM_SHA256
TLS_DH_anon_WITH_AES_256_GCM_SHA384

     

     

    Fazit

    Auch in diesem Fall ist es nicht möglich, ein postives Fazit zu ziehen. Im Vergleich zur Problematik der E-Mail-Nachrichten zur NRW Soforthilfe handelt es sich hier um E-Mail-Nachrichten, die zu einer bundesweit bereitgestellen Diensleistung gehören. Die Bundesländer und der Bund, die diese Dienstleistung in Anspruch nehmen, tun gut daran, sich für eine Verbesserung der Sicherheit im Umgang mit E-Mail-Nachrichten einzusetzen. 

    Die Möglichkeiten zur Verbesserung gliedern sich in zwei Bereiche.

    • Implementierung von Industriestandards zur Sicherung der E-Mail-Kommunikation
      • Implementierung von SPF, DKIM, DMARC
    • Umsetzung von Standards zur Sicherung von E-Mail-Nachrichten, die durch Applikationen versendet werden
      • Nutzung von Klartextnamen für Absenderadressen
      • S/MIME-Signierung von E-Mail-Nachrichten

    SPF, DKIM und DMARC sind Industriestandards. Dass diese Funktionen nicht zum Schutz von E-Mail-Nachrichten verwendet werden, ist grob fahrlässig. 

    Im Hinblick auf eine eGovernment-Infrastruktur und ein Vertrauen in eine sichere (E-Mail-)Kommunikation besteht bei IT.NRW noch Nachholbedarf. Die aktuelle Konfiguration öffnet Tür und Tor für Betrüger und ist geradezu eine Einladung zum Versand von Phishing- und Malware-Nachrichten. Unternehmen, die Nachrichten von solchen Domänen empfangen, können sich nur durch eine explizite Abweisung der E-Mail-Nachrichten schützen. Andere Lösungsansätze führen immer manuellen Anpassungen auf der Empfängerseite und zu einem erhöhten Aufwand beim Betrieb einer sicheren IT-Infrastruktur. 

    Der Handlunsbedarf liegt eindeutig auf Seiten von IT.NRW.  

     

    Links

     

     

  • Webcast: Cisco and Elastica Share insights into Protecting your Data in Google Drive

    Logo ElasticaOn July 28st 2015 Elastica, Inc., will host a cloud security webcast about

    Nitin Kumar, Service Deployment Manager, Cisco Cloud Web Security and Kapil Raina, Cloud Security Expert at Elastica, talk about

    • What base level security Google Drive provides (and what it doesn’t)
    • Examples of companies that are facing these issues and how they are solving them
    • Best practices in identifying sensitive, shared content that may violate compliance policies (PCI, PHI, PII, etc.)
    • Best practices in using data science to uncover risky or anomalous behavior
    • •How to automate protection against Google Drive data breaches

    When

    • Date: July 28st 2015
    • Time: 10am PDT / 1pm EDT / 7pm CEST

    More about this webcast

    Links

    Interested in how to secure your Cloud apps and services? Contact uns at info@granikos.eu for a free SaaS audit to identify all the Cloud Apps already in use in your organization. Find the Shadow ITdeployed by your employees.

  • Sichere E-Mail Kommunikation mit NoSpamProxy 11

    Anfang Juli wurde Version 11 der erfolgreichen Anti-Spam und E-Mail Verschlüsselungslösung NoSpamProxy veröffentlicht.

    NoSpamProxy eignet sich sowohl für E-Mail Umgebungen, die sich rein On-Premises befinden, als auch für den Betrieb mit Office 365. Gerade hier zeigt sich der absolute Mehrwert durch den Einsatz der zentralen S/MIME Verschlüsselung oder des Portals zum einfachen und sicheren Austausches großer Dateien.

    Ein schneller Blick auf die Unterschiede in der NoSpamProxy Verwaltungskonsole zeigt einen prägnaten neuen Menüpunkt.

    NoSpamProxy 10.1
         		 NoSpamProxy 11
     
    Management Console NoSpamProxy 10.1 Management Console NoSpamProxy 11

    DKIM

    Mit der neuen DKIM Funktion ist es ein Leichtes, DKIM Signaturen für die eigenen Domänen zu erstellen und diese im Regelwerk von NoSpamProxy anzuwenden. Mit Hilfe von DKIM wird sichergestellt, dass eine mit DKIM signierte Nachricht wirklich von der sendenden Domäne stammt. Ein empfangendes E-Mail System kann so die Echtheit des Absenders überprüfen.

    In der Vergangenheit war die Einrichtung und Konfiguration von DKIM nicht trivial. In diesem Fall ist die Schlüsselerzeugung und die Bereitstellung des öffentlichen Schlüssels extrem einfach gehalten und beschränkt sich auf drei Schritte.

    • Schritt 1: Auswahl der gewünschten eigenen Domäne und Festlegung des DNS Names (Selector)

      NoSpamProxy DKIM - Auswahl der Domain
       

    • Schritt 2: Anlegen des erforderlichen DNS Eintrages in der DNS Zone der ausgewählten Domain auf Basis der von NoSpamProxy bereitgestellten Kopiervorlage

      NoSpamProxy DKIM - Erstellung des DNS Resource Records
       
    • Schritt 3: Validierung des DNS Eintrages durch NoSpamProxy
      NoSpamProxy DKIM - Validierung des DNS DKIM Eintrages

    Nun wird in der Regel für ausgehende E-Mails die DKIM Signierung aktiviert. Mehr ist nicht mehr erforderlich, um eine zusätzliche E-Mail Sicherheitsfunktion zu aktivieren. Gerade beim Betrieb mehrerer E-Mail Gateways wird die Einfachheit der Konfiguration deutlich, da die DKIM Einrichtung nur einmal ausgeführt werden muss.

    Zentrale Disclaimer

    Ein weiteres neues Feature von NoSpamProxy ist die Möglichkeit, E-Mails mit einem zentral gesteuerten Disclaimer zu versehen. Neben dem Hinzufügen von rein rechtlichen Informationen, dem klassischen Disclaimer, können auch unternehmensweite E-Mail Signaturen mit Benutzerinformationen aus dem Active Directory hinzugefügt werden.

    Die Verwaltung und Konfiguration erfolgt über eine eigene Weboberfläche, die für den Administrator bequem über die NoSpamProxy Verwaltungsoberfläche erreichbar ist.

    Die Bereitstellung als Webseite ist besonders vorteilhaft für Unternehmen, in denen die Konfiguration und Pflege der E-Mail Signaturen einer Abteilung außerhalb der IT unterliegt. Für die Pflege der Disclaimer-Konfigurationen ist lediglich ein Browser und natürlich die erforderliche Berechtigung zur Verwaltung notwendig.

    • Aufruf der Webseite zur Verwaltung der Disclaimer in der NoSpamProxy Verwaltungsoberfläche

      NoSpamProxy Disclaimer
       
    • NoSpamProxy Disclaimer Webapplikation

      NoSpamProxy Disclaimer Webapplikation

    Die Funktion für zentrale Disclaimer in NoSpamProxy werden wir in einem separaten Blogartikel und einer Schritt-für-Schritt Anleitung beleuchten.

    Fazit

    Version 11 von NoSpamProxy zeigt erneut, dass sichere E-Mail Kommunikation mit Software Made in Germany bequem und einfach zu realisieren ist. Es gibt keinen Grund, keine E-Mail Verschlüsselung und sichere E-Mail Übertragung einzusetzen.

    Links

     

    Sie möchten die E-Mail Kommunikation Ihres Unternehmens sicherer machen? Sie möchten mehr über E-Mail Verschlüsselung erfahren? Wir helfen Ihnen gerne weiter, rufen Sie uns an 02433 9524780 oder senden Sie uns eine E-Mail an info@granikos.eu.

    Wir selber begleiten das Produkt schon seit einigen Jahren und sind gerade vom Einsatz in Kombination mit Office 365 überzeugt.

     

  • NRW Soforthilfe E-Mails - Betrug mit Ansage

    NRW-Soforthilfe 2020 und E-Mail-Kommunikation - Die Geschichte eines angekündigten Betruges

    IllustrationÜber das Desaster der Antragstellung für die NRW Soforthilfe 2020 wurde schon viel geschrieben und konnte den Eindruck gewinnen, dass Maßnahmen zum Schutz der Kommunikation und gegen weitere Betrugsversuche unternommen werden. Augenscheinlich hatte man nur die Antragstellung über das Online-Formular im Blick. Die dazugehörige E-Mail-Kommunikation der Bezirksregierung Köln war und ist aktuell nicht Bestandteil grundlegender Schutzmaßnahmen.

    Das folgende Beispiel einer empfangenen E-Mail der Bezirksregierung Köln mit dem Absender Corona-Soforthilfe@bezreg-koeln.nrw.de habe ich zum Anlass genommen, mir die Konfiguration der Absenderdomäne einmal genauer anzuschauen. Die Ergebnisse sind beängstigend.

    Ausgangspunkt der Recherche ist die empfange E-Mail-Nachricht. In dieser sind alle benötigten Informationen enthalten.

     

    E-Mail Kopfinformationen

    Eine E-Mail-Nachricht besteht, wie ein klassicher Brief, aus zwei Teilen. Zum einen gibt es den Umschlag, der alle Zustellinformationen, enthält, und als Zweites den Inhalt, der die lesbaren Informationen und vielleicht auch Dateianhänge für dem Empfänger bereithält.

    Für eine genauere Betrachtung der E-Mail-Zustellung sind die Informationen des Umschlages, die sog. Kopfinformationen, von großem Interesse. Ich habe diese Informationen mit Hilfe des Message Header Analyzers von Microsoft in ein besser lesbares Format gebracht. Der nachfolgende Screen zeigt die wichtigsten Kopfinformationen der E-Mail:

    • Betreff
    • Absender
    • Empfänger
    • Alle an der E-Mail-Zustellung beteiligten Serversysteme
    Hinweis
    Aus Gründen der Vertraulichkeit sind in diesem Screenshot ausgewählte Informationen unkenntlich gemacht.

     

    Screenshot - Message Header bezreg-koeln.nrw.de

    Besonders interessant sind die rot umrandeten Zeilen 1 - 10. Diese Zeilen geben uns Aufschluss über alle beteiligten internen Systeme der IT.NRW, die als zentraler IT-Dienstleister für die Bezierksregierung Köln tätig ist. Die unkenntlich gemachten Textstellen beinhalten Informatioen über:

    • Computername des Applikationssystems, das für die Erstellung dieser E-Mail zuständig war
    • Computernamen und -adressen der internen E-Mail-Systeme
    • Produktnamen der intern verwendeten E-Mail-Software
    • Produktnamen der intern verwendeten Antivirus-Lösungen
    • Verbindungskette der internen E-Mail-Computersysteme inklusive lokaler Schleifen

    Als eine der einfachsten Schutzfunktionen für E-Mail-Nachrichten, die an externe Empfänger gesendet werden, werden die Informationen interner Systeme aus dem Kopfinformationen der E-Mail entfernt. Hierdurch wird sichergestellt, dass keine Informationen über interne Computeradressen oder -name nach aussen gelangen. Diese Informationen lassen u.U. Rückschlüsse zu, die eine möglichen Hackerangriff begünstigen können. Moderne E-Mail-Systeme entfernen solche Informationen mit Hilfe einer Header-Firewall aus einer E-Mail.

    Idealerweise hätten die Kopfinformationen mit dem grünumrandeten Eintrag aus Zeile 11 begonnen. Das dort als Submitting Host eingetragene System ist das für die externe Zustellung verantwortliche System.

    Die Informationen der Zeilen 1 -10 gehören nicht in eine externe E-Mail.

    Nach einem Blick auf die Kopfinformationen der E-Mail geht es mit einer Prüfung der technischen Einstellungen für die E-Mail-Kommunikation der Absenderdomäne bezreg-koeln.nrw.de weiter. 

     

    MX Resource Records

    Die einfachste Prüfung einer Absenderdomäne ist die Überprüfung auf E-Mail-Systeme für den Empfang von E-Mail-Nachrichten. In den meisten Fällen sind die diese Systeme auch für den Versand von Nachrichten zuständig. Wenn eine Domäne auch E-Mail-Nachrichten empfängt, muss sie über mindestens einen speziellen DNS-Eintrag verfügen. Mit Hilfe eines DNS-Eintrages vom Typ MX wird festgelegt, welche Systeme E-Mail-Nachrichten von anderen Absendern empfangen. 

    Für die Überprüfung dieser Einstellungen nutze ich die Webseite mxtoolbox.com. Sie ist ein unerlässliches Werkzeug für jeden E-Mail-Administrator.

    Der folgende Screenshot zeigt das Ergebnis der Überprüfung der MX-Einträge vom 6. Mai 2020.

    Screenshot - MX Resource Records bezreg-koeln.nrw.de

    Für die Domäne bezreg-koeln.nrw.de werden zwei Systeme mit unterschiedlicher Präferenz (Pref-Spalte) aufgeführt. Das System mit Präferenz 60 hat gegenüber dem zweiten System die höhere Priorität und wird daher bevorzugt von zustellenden Systemen angesprochen. Sollte das System nicht antworten, erfolgt ein Zustellversuch an das zweite System mit Präferenz 80.

    Ein besonderes Augenmerk gilt den IP-Adressen der Systeme. In den Kopfinformationen der E-Mail hatte das sendende System die Adresse 93.184.128.152. Diese Adresse gehört zu keinem beiden aufgeführten Systeme. Damit ist klar, dass es noch weitere E-Mail-Systeme gibt, die augenscheinlich nur für den Versand verwendet werden. Aber dazu im nächsten Abschnitt mehr.

    Eine weitere wichtige Information wird uns von MXToolbox ebenfalls mitgeteilt. Die Domäne verfügt über keinen DMARC-Eintrag. Was das ist und warum es gut ist, solch einen Eintrag vorzuhalten, erkläre ich weiter unten.

    MX-Einträge sind für die E-Mail-Kommunikation existenziell. Neben diesem Eintragstyp gibt es noch weitere, die eine E-Mail-Kommunikation sicherer machen können. Kommen wir daher zur IP-Adresse des sendenden Systems zurück.

     

    SPF Resource Records

    Ein System, das E-Mail-Nachrichten empfängt, verfügt über keinerlei Informationen, welche Systeme für den Versand einer Domäne berechtigt sind. Als Eigentümer einer Domäne kann ich mit Hilfe eines SPF-Eintrages definieren, welchen Systemen es  explizit erlaubt ist, für meine Domäne E-Mail-Nachrichten zu versenden. 

    Der folgende Screenshot zeigt das Ergebnis der SPF-Prüfung für die Domäne bezreg-koeln.nrw.de vom 6. Mai 2020.

    Screenshot - SPF

    Es ist kein SPF-Eintrag vorhanden. Empfangende E-Mail-Systeme haben keine Möglichkeit zur Überprüfung des sendenden Systems. MIt dem Fehlen dieses Eintrages wird der Versand von betrügerischen E-Mail-Nachrichten begünstigt, wenn nicht sogar wissentlich in Kauf genommen.

    Das Vorhandensein eines SPF-Eintrages stellt keinen vollständigen Schutz dar. Dazu bedarf es noch weiterer Maßnahmen. Jedoch ist die Nutzung eines SPF-Eintrages seit Jahren Stand der Technik.

    Moderne E-Mail-Systeme und Anti-Spam-/Anti-Mailware-Lösungen bewerten das Nichtvorhandensein eines SPF-Eintrages immerhin mit einer Erhöhung der Spam-Wahrscheinlichkeit. Dies kann u.U. dazu führen dass Nachrichten der Bezirksregierung Köln nicht im Posteingang, sondern im Junk-E-Ordner landen.

    Es gibt auch Positives zu berichten.

     

    PTR Resource Record

    Der Name eines E-Mail-Systems ist nicht das einzige Merkmal, auf das ein empfangendes System achtet. Im Normalfall wird ein Computername zu einer numerischen Conmputeradresse aufgelöst. Es gibt aber auch das genaue Gegenteil, die sog. Rückwärtsauflösung. Das empfangende System versucht hierbei die numerische Computeradresse zu einem Namen aufzulösen. Dies erfolgt mit Hilfe eines sog. PTR-Eintrages, der im DNS des Internet-Leitungsanbieters erfolgt. Ist diese Auflösung erfolgreich und der gefundende Name entspricht dem Computernamen der Verbindung, gilt die Identität des Systems als einfach bestätigt. 

    Der folgende Screenshot zeigt die Ergebnis für die IP-Adressen der beiden MX-Einträge.

    Screenshot - PTR Resource Record

    Beide System verfügen über einen zum Computernamen passenden PTR-Eintrag.

     

    SMTP Test

    Als Abschluss der aktiven Tests erfolgte eine Prüfung der E-Mail-Verbindung zu einem der beiden Systeme mit MX-Eintrag. HIer gibt es wenig Auffälliges zu berichten.

    Die Nutzung von HTML-Tags (<br />) in einem Server-Banner ist unüblich und eher hinderlich. E-Mail-Server erwarten eine klare Kennung des Status und des Computernamens. In diesem Fall wird der Status 220 und der Name relay1v.it.nrw.de gleich zweimal in einer Textzeile zurückgegeben. Es wird sicherlich Systeme geben, die dies als nicht protkollkonformes Format bewerten.

    Der folgende Screenshot zeigt das Ergebnis des SMTP-Tests.

    Screenshot - SMTP Test

    Der E-Mail-Server unterstützt verschlüsselte Verbindungen und lässt, wie die Liste der unterstützten Befehle zeigt, weitere E-Mail-Befehle erst nach dem Aufbau einer verschlüsselten Verbindung zu. Ob die Unterstützung des ETRN Befehls zeitgemäß ist, kann man diskutieren. Es wird sicherlich technische Anforderungen auf Seiten der IT.NRW geben, die dies erfordern.

    Es fehlen allerdings zwei wichtige Komponenten, um E-Mail-Nachrichten der Domäne bezreg-koeln.nrw.de sicherer zu machen. DMARC und DKIM.

     

    DMARC

    Die zu Anfang besproche Prüfung der MX-Einträge hat gezeigt, dass kein DMARC-Eintrag vorhanden ist. Ein DMARC-Eintrag legt für eine Domäne, in diesem Fall wäre es für bezreg-koeln.nrw.de, fest, ob und wenn ja welche Informationen ein empfangender E-Mail-Server über E-Mails dieser Domäne sammeln soll. Hierdurch ist es möglich, Fehlerberichte zu erhalten und so festzustellen, welche unberechigten Systeme im Internet E-Mail-Nachrichten im Namen der Bezirksregierung Köln versenden. Solch ein Eintrag fehlt vollständig.

    DMARC ist aber nur im Zusammenspiel mit SPF- und DKIM-Einträgen sinnvoll. Die Funktion und die Wichtigkeit eines SPF-Eintrages habe ich schon besprochen. Kommen wir zu DKIM.

     

    DKIM

    Die Aufgabe von DKIM ist Sicherstellung einer vertrauensvollen E-Mail-Zustellung. Diese Sicherstellung bezieht sich auf den E-Mail-Umschlag. Das empfangende System erkennt, dass der E-Mail-Umschlag mit Hilfe einer DKIM-Signierung gesichert wurde. Hierzu hat das Absendersystem Umschlagsinformationen mit einem Schlüssel, der nur auf dem Absendersystem exisitert, signiert. Das Empfangssystem findet den öffentlichen Schlüssel wiederum als besonderen DNS-Eintrag. Mit diesem Schlüssel können nun die Signaturinformation aufgelöst und anschließend überprüft werden. Hierdurch wird die Integrität des Absendersystems für die Domäne sichergestellt. 

    DKIM selbst ist kein neuer Standard für die Sicherung von E-Mail-Nachrichten. Alle großen E-Mail-Anbieter prüfen eingehenden E-Mail-Nachrichten auf DKIM-Signaturen.

    Dies ist kein Ersatz für eine mögliche und auch notwendige Verschlüsselung des E-Mail-Inhaltes. Der im Übrigen ebenfalls nicht stattfindet. 

    Kommen wir zum Abschluss noch zur Verbindungsverschlüsselung.

     

    SSL/TLS Test

    Der folgende Screenshot zeigt das Ergebnis der Verschlüsselungsfunktionen im Hinblick auf gängige Industriestandards. 

    Screenshot - SSL/TLS Test

    Das Ergegbis ist in amerikanischer Notenstufe (A-F) dargestellt, wobei ein A einer Schulnote 1 entspricht. Mehr muss nicht gesagt werden.

    Der Hauptgrund für die schlechte Note liegt darin, dass die E-Mail-Systeme alte und unsichere Verbindungsprotokolle und Verschlüsselungstechnologien unterstützen. Diese unsicheren Protokolle und Verschlüsselungen sollten im Jahr 2020 nicht mehr aktiv sein. 

     

    Fazit

    Die aktuelle Konfiguration der E-Mail-Umgebung der Bezirksregierung Köln und anderer Behörden, die diese IT-Plattform nutzen, kann durch Betrüger ausgenutzt werden. Einfachste Konfigurationen für sichere E-Mail-Kommunikation, die seit Jahren Stand der Technik sind, finden keine Anwendung. Hier wird, meiner Einschätzung nach, grobfahrlässig gehandelt. Betrügerische E-Mail-Nachrichten können ohne Probleme im Namen der Bezirksregierung Köln versendet werden. 

    In der Pflicht ist nicht nur die Bezirksregierung Köln, sondern vielmehr der Landesbetrieb IT.NRW, der als zentraler IT-Dienstleister für zahlreiche Behörden und Dienststellen auftritt. Hier muss etwas passieren, um Bürger für betrügerischen E-Mail-Nachrichten, nicht nur im Zusammenhang der NRW Soforthilfe, zu schützen. Alle Behörden und Dienststellen in NRW, die auf eine sichere E-Mail-Kommunikation mit Bürgern und Unternehmen vertrauen und hierzu die Dienstleistungen der IT.NRW in Anspruch nehmen, sollten die für sie gültigen Einstellungen dringend überprüfen lassen.

    E-Mail-Nachrichten der NRW Soforthilfe 2020 werden als Klartext versendet, obwohl sie persönliche Informationen enthalten und somit einem besonderen Schutzbedürfnis unterliegen. Der Einsatz einer sog. Gateway-basierten E-Mail-Verschlüsselung kann hier schnell und einfach Abhilfe schaffen. Ebenso ist die Implementierung von SPF, DKIM und DMARC Pflicht.

    Ich wünsche mir, dass IT.NRW die Absicherung der E-Mail-Kommunikation ernster nimmt und ihrer Verantwortung, auch als Vorbildfunktion, nachkommt. In der heutigen Zeit vertrauen Bürger auf die IT-Sicherheit, die propagiert wird. Im Rahmen der NRW-Soforthilfe hat dieses Vertrauen sehr gelitten.

    Ohne eine Verbessung der E-Mail-Sicherheit, ist dem Betrug weiterhin Tür und Tor geöffnet.

     

    Links

     

     

     



Kommentare sind geschlossen

Anzeigen 0 Kommentar

Autoren

Cover - Microsoft Exchange Server 2019 - Das Handbuch für Administratoren

Cover - Microsoft 365 Business Premium Migration und Konfiguration

0123movie.net