SPAM-Schutz: Überprüfung des Absenders

SPAM-Schutz: Überprüfung des Absenders

30.09.2023 | 11:00 Uhr

Jeden Tag erreichen uns tausende von Nachrichten, die die Empfänger gar nicht haben wollen. SPAM oder gar Mails mit Trojanern. Gerne werden dabei die Absenderadressen gefälscht. Mails von info@a.mazon.de oder ebay@ebey.de, die hier in den vergangenen Tagen aufgetaucht sind, sind für den Benutzer vielleicht noch zu erkennen.

SPF

Doch was ist, wenn die Mail von order@ebay.de kommt? Vertrauen Sie diesem Absender? Mit großer Sicherheit! Öffnen Sie die beigefügte Bestellbestätigung im PDF-Format? Aber klar!

Das Problem: Diese Mails sind nicht echt, nicht authentisch. Das PDF-Dokument enthält einen kleinen Trojaner, der Sicherheitslücken in PDF-Betrachtungsprogrammen ausnutzt.

Ein Erkennen solch gefälschter Nachrichten ist aber möglich:

Sender Policy Framework (SPF)

Dazu muss der Inhaber einer Domain im DNS festlegen, welche Mail-Server offiziell die Domain in der Absenderadresse nutzen dürfen.

Der empfangende Mailserver prüft vor der Annahme einer E-Mail, ob der absendende Server autorisiert ist, diese Nachricht zu verschicken. Ist der Name oder die IP-Adresse nicht in der Liste der zugelassenen Systeme zu finden, wird der Empfang abgelehnt.

Viele führende Provider nutzen dieses Verfahren: Outlook.com/Hotmail (Microsoft), GMail (Google), icloud.com (Apple) oder GMX/web.de (1&1) haben im DNS die zulässigen Postausgangsserver definiert.

Schwarze Schafe

Leider nutzen aber nicht alle Domaininhaber dieses recht einfache Verfahren zum Schutz ihrer Identität. Oder sie definieren, dass der empfangende Mailserver falsche Nachrichten nicht ablehnen muss. Ist keine feste Ablehnung für falsche Systeme definiert, hängt es vom Mailserver ab, wie er den Absenderserver bewertet und die Mail ggf. als SPAM markiert.

Daher sollten Sie beim Empfang von Mails mit folgenden, beispielhaften Domains, von denen wir in den vergangenen Wochen SPAM erkannt haben, etwas genauer hinsehen:

Darüber hinaus gibt es ein weiteres Verfahren, um die Authentizität des Absenders noch besser festzustellen:

DKIM (DomainKeys Identified Mail)

Bei diesem Verfahren werden die Nachrichten mit einem digitalen Schlüssel signiert. Die öffentliche Kopie wird im ebenfalls DNS hinterlegt und kann so von den Empfängerservern überprüft werden. Damit lässt sich feststellen, ob der Absender auch wirklich authentisch ist. Zudem kann der Domaininhaber definieren, was im Fall von falschen Signaturen mit den Mails passieren soll. Im Idealfall sollen diese natürlich abgelehnt werden.

[UPDATE]

Wir hatten geschrieben, dass der Mailserver den Empfang ablehnt, wenn der Name oder die IP-Adresse nicht in der Liste der zugelassenen Systeme zu finden ist. 

Dies ist bei unseren Systemen und denen vieler anderer Provider durchaus der Fall. Dennoch gibt es technisch kein Muss für die Ablehnung. Die Spezifikation ermöglicht lediglich das Ablehnen. Die Formulierung in der Liste der Domains (ebay.de, ebay.com, dpd.de etc.) sollte daher anstelle «Ablehnung kein Muss» besser «Ablehnung sollte nicht vorgenommen werden» heißen. In der Konsequenz kommen so aber wie bereits geschildert gefälschte Mails einfacher beim Empfänger an.

[UPDATE 09/2023]

Der ursprüngliche Artikel aus Februar 2020 ist heute leider immer noch aktuell. Oder aktueller denn je. Diesen Monat waren es insbesondere Nachrichten von lexoffice.de, die die Benutzer der Online-Buchhaltungssoftware von Haufe Lexware mit gefälschten Rechnungen dazu brachten, Trojaner zu installieren oder die Lizenzgebühren auf Drittkonten zu überweisen. Haufe hat aber schnell reagiert, aktuell sind SPF und DMARC im Einsatz.

Im September 2023 sieht die Nutzung der beschriebenen Technologien wie folgt aus:

DIe Liste entspricht den Texts aus Februar 2020. Einige Absender-Administratoren haben die notwendigen Maßnahmen umgesetzt, leider aber viele noch nicht.

Alle News anzeigen

aipi e. K.

Telefon (08000) 98391-0 kostenfrei
Grenzstraße 4, 26919 Brake
E-Mail info@aipi.de

Eintragen im Handelsregister des Amtsgerichts Oldenburg, HRA 204521 | EU-Umsatzsteuer- Identifikationsnummer: DE222490801 | aipi ist eine eingetragene Marke in der EU (015642523) und im Vereinigten Königreich (UK00915642523). Inhaber: Claus Plachetka.

[ Datenschutz ]    [ Impressum ]


Mastodon https://aipi.social/@admin

WhatsApp    facebook    Instagram

LinkedIn    XING    X   


aipi informiert: aipi.news

aipi Telefonie: aipi.tel

aipi berät: aipi.consulting

aipi gestaltet: aipi.design

aipi berichtet: aipi.report

aipi bildet aus: aipi.jobs


[ DE ]    [ EN ]    [ RU ]    [ UA ]    [ JP ]    [ PL ]    [ IS ]    [ GR ]    [ LT ]    [ KR ]


Made in Germany Made in Germany | powered by