{"id":24966,"date":"2020-08-26T13:25:31","date_gmt":"2020-08-26T11:25:31","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=24966"},"modified":"2020-08-26T13:25:31","modified_gmt":"2020-08-26T11:25:31","slug":"how-to-cure-dmarc","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/how-to-cure-dmarc\/24966\/","title":{"rendered":"Wie man DMARC repariert"},"content":{"rendered":"<p>Im Laufe der Geschichte der E-Mail haben sich die Menschen viele Technologien ausgedacht, <a href=\"https:\/\/www.kaspersky.de\/blog\/36c3-fake-emails\/\" target=\"_blank\" rel=\"noopener\">um die Empf\u00e4nger vor betr\u00fcgerischen E-Mails (haupts\u00e4chlich Phishing) zu sch\u00fctzen<\/a>. DomainKeys Identified Mail (DKIM) und Sender Policy Framework (SPF) hatten erhebliche Nachteile, so dass der Mail-Authentifizierungsmechanismus Domain-based Message Authentication Reporting and Conformance (DMARC) entwickelt wurde, um Nachrichten mit einer gef\u00e4lschten Absenderdom\u00e4ne zu identifizieren. DMARC erwies sich jedoch nicht als Allheilmittel. Daher haben unsere Forscher eine zus\u00e4tzliche Technologie entwickelt, um die Nachteile von DMARC zu beseitigen.<\/p>\n<h2>Die Funktionsweise von DMARC<\/h2>\n<p>Ein Unternehmen, das andere daran dabei hindern m\u00f6chte, E-Mails im Namen seiner Mitarbeiter zu versenden, kann DMARC in seinem DNS-Ressource Record konfigurieren. Dadurch k\u00f6nnen Nachrichtenempf\u00e4nger im Wesentlichen sicherstellen, dass der Dom\u00e4nenname im \u201eVon:\u201c-Header derselbe ist wie in DKIM und SPF. Dar\u00fcber hinaus gibt der Ressource Record die Adresse an, an die die Mailserver Berichte \u00fcber empfangene Nachrichten senden, die die \u00dcberpr\u00fcfung nicht bestanden haben (z.B. wenn ein Fehler aufgetreten ist oder ein Versuch, sich in betr\u00fcgerischer Absicht als Absender auszugeben, entdeckt wurde).<\/p>\n<p>Im gleichen Ressource Record kann man auch die DMARC-Richtlinie konfigurieren, um festzulegen, was mit der Nachricht geschieht, wenn sie die \u00dcberpr\u00fcfung nicht besteht. Drei Arten von DMARC-Richtlinien decken solche F\u00e4lle ab:<\/p>\n<ul>\n<li><em>Reject<\/em> ist die strengste Richtlinie. W\u00e4hlt man diese Option, werden alle E-Mails, die die DMARC-Pr\u00fcfung nicht bestehen, blockiert.<\/li>\n<li>Mit der <em>Quarantine<\/em> Richtlinie landet die Nachricht, je nach Mail-Provider, entweder im Spam-Ordner oder wird zugestellt, aber als verd\u00e4chtig markiert.<\/li>\n<li>Mit<em> None<\/em> erreicht die Nachricht den Posteingang des Empf\u00e4ngers, obwohl ein Bericht weiterhin an den Absender gesendet wird.<\/li>\n<\/ul>\n<h2>Nachteile von DMARC<\/h2>\n<p>Im Gro\u00dfen und Ganzen ist DMARC durchaus f\u00e4hig. Die Technologie macht das Phishing n\u00e4mlich sehr viel schwieriger. Aber bei der L\u00f6sung eines Problems verursacht dieser Mechanismus ein anderes: Fehlalarme. Harmlose Nachrichten k\u00f6nnen in zwei Arten von F\u00e4llen blockiert oder als Spam markiert werde<\/p>\n<ul>\n<li><strong>Weitergeleitete Nachrichten:<\/strong> Einige Mailsysteme brechen die SPF- und DKIM-Signaturen in weitergeleiteten Nachrichten, unabh\u00e4ngig davon, ob die Nachrichten von verschiedenen Mailboxen aus weitergeleitet werden oder ob sie \u00fcber zwischengeschalteten Mail-Knoten (Relays) umgeleitet werden.<\/li>\n<li><strong>Falsche Einstellungen:<\/strong> Es ist nicht ungew\u00f6hnlich, dass Mailserver-Administratoren bei der Konfiguration von DKIM und SPF Fehler machen.<\/li>\n<\/ul>\n<p>Wenn es um gesch\u00e4ftliche E-Mails geht, ist es schwierig zu sagen, welches Szenario schlimmer ist: eine Phishing-E-Mail durchzulassen oder eine legitime Nachricht zu blockieren.<\/p>\n<h2>Unser Ansatz zur Behebung der DMARC-M\u00e4ngel<\/h2>\n<p>Wir halten diese Technologie zweifellos f\u00fcr n\u00fctzlich, deshalb haben wir beschlossen, sie zu st\u00e4rken, indem wir den Validierungsprozess durch Maschinelles Lernen erweitern und somit Fehlalarme minimieren, ohne die Vorteile des DMARC zu untergraben. Und so funktioniert es:<\/p>\n<p>Wenn die Benutzer E-Mails verfassen, verwenden sie einen Mail User Agent (MUA), also ein E-Mail-Programm, wie z.B. Microsoft Outlook. Das Programm ist f\u00fcr die Generierung der Nachricht verantwortlich und sendet sie an den Mail Transfer Agent (MTA) zur weiteren Weiterleitung. Das E-Mail-Programm f\u00fcgt dem Nachrichtentext, dem Betreff und der Empf\u00e4ngeradresse (die vom Benutzer ausgef\u00fcllt werden) die notwendigen technischen Kopfzeilen hinzu.<\/p>\n<p>Um Sicherheitssysteme zu umgehen, benutzen Angreifer oft ihre eigenen E-Mail-Programme. In der Regel handelt es sich dabei um hausgemachte Mail-Engines, die Nachrichten nach einer vorgegebenen Vorlage generieren und ausf\u00fcllen. Sie generieren zum Beispiel technische Kopfzeilen f\u00fcr Nachrichten und deren Inhalt. Jedes E-Mail-Programm besitzt dabei ihre eigene \u201eHandschrift\u201c.<\/p>\n<p>Wenn die empfangene Nachricht die DMARC-Pr\u00fcfung nicht besteht, dann kommt unsere Technologie ins Spiel. Sie l\u00e4uft auf einem Cloud-Service, der sich mit der Sicherheitsl\u00f6sung auf dem Ger\u00e4t verbindet. Sie beginnt mit der weiteren Analyse der Abfolge der Kopfzeilen sowie des Inhalts der X-Mailer- und Message-ID-Kopfzeilen unter Verwendung eines neuronalen Netzes, wodurch die L\u00f6sung in der Lage ist, eine legitime E-Mail von einer Phishing-E-Mail zu unterscheiden. Die Technologie wurde an einer riesigen Sammlung von E-Mail-Nachrichten trainiert (etwa 140 Millionen Nachrichten, davon 40% Spam).<\/p>\n<p>Die Kombination aus DMARC-Technologie und maschinellem Lernen tr\u00e4gt dazu bei, den Schutz des Anwenders vor Phishing-Angriffen zu gew\u00e4hrleisten und gleichzeitig die Zahl der Fehlalarme zu reduzieren. Wir haben die Technologie bereits in jedes unserer Produkte implementiert, das \u00fcber eine Antispam-Komponente verf\u00fcgt: Kaspersky Security f\u00fcr Microsoft Exchange Server, Kaspersky Security f\u00fcr Linux Mail Server, Kaspersky Security f\u00fcr Mail Gateway (Teilweise in <a href=\"https:\/\/www.kaspersky.de\/small-to-medium-business-security?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Total Security for Business<\/a>) und <a href=\"https:\/\/www.kaspersky.de\/small-to-medium-business-security\/microsoft-office-365-security?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kso365___\" target=\"_blank\" rel=\"noopener\">Kaspersky Security for Microsoft Office 365<\/a>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Der DMARC-Mechanismus hat seine Nachteile, aber wir haben eine Technologie entwickelt, um sie zu beheben. <\/p>\n","protected":false},"author":2598,"featured_media":24967,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,3108],"tags":[3650,3649,62,53,3651,1544],"class_list":{"0":"post-24966","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-dkim","11":"tag-dmarc","12":"tag-e-mail","13":"tag-phishing","14":"tag-spf","15":"tag-technologien"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/how-to-cure-dmarc\/24966\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/how-to-cure-dmarc\/21708\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/how-to-cure-dmarc\/17171\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/how-to-cure-dmarc\/23047\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/how-to-cure-dmarc\/21240\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/how-to-cure-dmarc\/19939\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/how-to-cure-dmarc\/23685\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/how-to-cure-dmarc\/22594\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/how-to-cure-dmarc\/28935\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/how-to-cure-dmarc\/8716\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/how-to-cure-dmarc\/36787\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/how-to-cure-dmarc\/15501\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/how-to-cure-dmarc\/13954\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/how-to-cure-dmarc\/11857\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/how-to-cure-dmarc\/29054\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/how-to-cure-dmarc\/25963\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/how-to-cure-dmarc\/22758\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/how-to-cure-dmarc\/27998\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/how-to-cure-dmarc\/27829\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/e-mail\/","name":"E-Mail"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/24966","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2598"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=24966"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/24966\/revisions"}],"predecessor-version":[{"id":24969,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/24966\/revisions\/24969"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/24967"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=24966"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=24966"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=24966"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}