Seit dem 1. Februar 2024 haben Google und Yahoo neue Anforderungen für Unternehmen eingeführt, die E-Mails versenden. Diese Anforderungen zielen darauf ab, die Authentizität von E-Mails zu gewährleisten und die E-Mail-Empfängerinnen und E-Mail-Empfänger vor Spoofing und Phishing zu schützen. Angesprochen sind namentlich Unternehmen, die täglich mehr als 5’000 E-Mails an Gmail- oder Yahoo-Konten senden. Aber eigentlich gilt für alle E-Mail versendenden Unternehmen: Sie müssen jetzt mithilfe ihrer IT-Verantwortlichen handeln und ihre E-Mail-Authentifizierungspraktiken überprüfen, um sicherzustellen, dass sie den neuen Richtlinien entsprechen.

Was Unternehmen jetzt tun müssen

Vorab: Wer glaubt, die neuen Anforderungen von Google, Yahoo und anderen E-Mail-Dienstanbietern ignorieren zu können, riskiert, dass seine E-Mails beim Empfänger verzögert, blockiert oder als Spam markiert werden. Für Unternehmen, die das verhindern wollen, ist es deshalb ein Muss, die Authentifizierung der ausgehenden E-Mails den neusten Standards anzupassen. Dafür müssen die Unternehmen mehrere Schritte unternehmen:

• Zunächst muss das E-Mail-System mit dem «Sender Policy Framework SPF» konfiguriert werden: Damit wird definiert, welche Mailserver autorisiert sind, E-Mails im Namen des Unternehmens zu senden. Dies hilft dabei, die E-Mail-Empfänger vor gefälschten E-Mails zu schützen, die scheinbar von der Domain des Unternehmens stammen könnten.
• Als Nächstes muss «DomainKeys Identified Mail DKIM» implementiert werden: Damit wird den E-Mails eine digitale Signatur hinzuzugefügt, welche die Authentizität und Integrität der Nachricht bestätigt.
• Nach diesen beiden Schritten folgt die Einrichtung von «Domain-based Message Authentication, Reporting, and Conformance DMARC»: Das ist eine Richtlinie, die festlegt, wie Empfänger mit E-Mails umgehen sollen, die SPF und DKIM nicht bestehen.

Kommt dazu: Es ist auch ratsam, dass Unternehmen auf ihre eigene Domain umsteigen und die Verwendung von «@gmail.com-Adressen» in der Absender-E-Mail einstellen, um eine reibungslose Authentifizierung zu gewährleisten und den neusten Standards zu entsprechen.

Wie müssen Unternehmen vorgehen

Im Artikel «Anleitung: Empfohlene DMARC-Einführung- Vor Spoofing und Phishing schützen und verhindern, dass Nachrichten als Spam markiert werden» gibt Google den IT-Verantwortlichen der Unternehmen detaillierte Anweisungen, wie «Sender Policy Framework SPF», «DomainKeys Identified Mail DKIM» und «Domain-based Message Authentication, Reporting, and Conformance DMARC» schrittweise eingeführt werden sollen. Zu finden ist dabei auch der notwendige «DMARC-DNS-TXT-Eintrag» beim Domainanbieter des Unternehmens. Zusammengefasst geht die empfohlene DMARC-Einführung so:

• Vor der Aktivierung von DMARC müssen SPF und DKIM konfiguriert werden, um die E-Mail-Authentifizierung zu gewährleisten
• Dann folgt die schrittweise Implementierung von DMARC, beginnend mit der Überwachung des E-Mail-Verkehrs durch die Richtlinie "none"
• Dann folgen die Anpassung der DMARC-Richtlinie für einen Teil des E-Mail-Verkehrs und die schrittweise Erhöhung der Durchsetzung
• Schliesslich ist es wichtig, die täglichen DMARC-Berichte zu analysieren, um autorisierte Server zu identifizieren und die Authentifizierungserfolgsrate zu überprüfen

Was ist das Ziel der DMARC-Einführung?

Die Einführung von «Domain-based Message Authentication, Reporting, and Conformance DMARC» soll im E-Mailverkehr namentlich Spoofing und Phishing verhindern. Spoofing bezeichnet verschiedene Täuschungsmethoden in Computernetzwerken zur Verschleierung der eigenen Identität. Es umfasst Methoden, mit denen sich Authentifizierungs- und Identifikationsverfahren untergraben lassen, die auf der Verwendung vertrauenswürdiger Adressen oder Hostnamen in Netzwerkprotokollen beruhen. Phishing ist ein Betrugsversuch, bei dem sich Angreifer über gefälschte E-Mails und Webseiten als vertrauenswürdiger Kommunikationspartner ausgeben, um an persönliche Daten zu gelangen oder Schadsoftware zu installieren.

Was Google erreichen will

Google beschreibt das Ziel der geforderten DMARC-Einführung wie folgt: Spammer sind in der Lage, die Domain von Unternehmen zu fälschen und dann Nachrichten zu senden, die aussehen, als würden sie von diesem Unternehmen stammen. DMARC teilt empfangenden E-Mail-Servern mit, wie vorzugehen ist, wenn sie eine Nachricht erhalten, die scheinbar vom Unternehmen stammt, aber die Authentifizierungsprüfungen nicht bestanden hat oder die Authentifizierungsanforderungen im DMARC-Richtlinieneintrag nicht erfüllt. Bei nicht authentifizierten Nachrichten wird möglicherweise die Identität des Unternehmens vorgetäuscht oder sie wurden von nicht autorisierten Servern gesendet. Das automatische Erkennen dieser schädlichen Nachrichten beim Empfänger verhindert Spoofing und Phishing. Letztlich soll die Kombination von «Sender Policy Framework SPF», «DomainKeys Identified Mail DKIM» und «Domain-based Message Authentication, Reporting, and Conformance DMARC» zum E-Mail-Authentifizierungsstandard werden.