Wie funktioniert E-Mail?

Zunächst verwenden Sie einen E-Mail-Benutzeragenten oder MUA, um E-Mails von Ihrem Gerät zu lesen und zu senden (z. B. Google Mail oder die E-Mail-App auf Apple-Geräten). Diese Programme sind nur aktiv, wenn Sie sie verwenden.

Im Allgemeinen kommunizieren sie mit einem Mail Transfer Agent oder MTA (auch als Mail Server, MX Host und Mail Exchanger bezeichnet), der zum Empfangen und Speichern Ihrer E-Mails dient.

E-Mails werden remote gespeichert, bis Sie Ihre MUA öffnen, um Ihre E-Mails zu überprüfen. E-Mails werden von Mail Delivery Agents (MDA) zugestellt, die in der Regel mit dem MTA verpackt sind.

E-Mails wurden früher über SMTP oder Simple Mail Transfer Protocol an einen Mailserver gesendet. SMTP ist ein Kommunikationsprotokoll für E-Mails.

Selbst jetzt verwenden viele proprietäre Systeme wie Microsoft Exchange und Webmail-Programme wie Google Mail intern ihre eigenen Protokolle. Sie verwenden jedoch SMTP, um Nachrichten außerhalb ihres Systems zu übertragen (z. B. wenn ein Google Mail-Benutzer eine E-Mail an einen Outlook-Client senden möchte).

E-Mails werden dann mithilfe des Post Office Protocol (POP3) vom Server heruntergeladen. POP3 ist ein Protokoll auf Anwendungsebene, das einer Benutzeranwendung den Zugriff über ein IP-Netzwerk (Internet Protocol) ermöglicht, um eine Mailbox auf einem Mailserver zu kontaktieren. Es kann eine Verbindung herstellen, Nachrichten abrufen, auf dem Computer des Clients speichern und sie löschen oder auf dem Server behalten.

Es wurde entwickelt, um temporäre Internetverbindungen wie Einwählverbindungen verwalten zu können (so dass bei einer Verbindung nur eine Verbindung hergestellt und E-Mails abgerufen werden und Sie die Nachrichten anzeigen können, wenn Sie offline waren). Dies war populärer, als der DFÜ-Zugang weiter verbreitet war.

Jetzt hat IMAP, Internet Message Access Protocol, POP3 größtenteils ersetzt. Mit IMAP können mehrere Clients dasselbe Postfach verwalten (sodass Sie Ihre E-Mails von Ihrem Desktop, Laptop und Telefon usw. lesen können und alle Ihre Nachrichten dort angezeigt werden und auf dieselbe Weise organisiert sind).

Schließlich ersetzte Webmail beide. Mit Webmail können Sie sich auf einer Website anmelden und Nachrichten von jedem Ort oder von jedem Gerät empfangen (yay!). Sie müssen jedoch während der Nutzung mit dem Internet verbunden sein. Wenn die Website (wie Google Mail) Ihre MUA ist, müssen Sie die SMTP- oder IMAP-Servereinstellungen nicht kennen.

Wie ist E-Mail gesichert?

Leider war die Sicherheit von Anfang an nicht wirklich in E-Mail-Protokolle integriert (wie die meisten anfänglichen Internetprotokolle). Die Server haben nur erwartet, dass sie eine Nachricht von einem anderen Benutzer entgegennehmen und an einen anderen Server weiterleiten, um die Nachricht an das endgültige Ziel weiterzuleiten (den Empfänger im Feld an:).

Es war nicht überraschend, dass dies zu einem Problem wurde, als sich das Internet von einigen wenigen Regierungs- und Forschungsgruppen zu etwas ausdehnte, mit dem die meisten Menschen im Wesentlichen alles tun. Ziemlich bald wurden (und bleiben) Spam- und Phishing-E-Mails zu einem großen Problem für alle.

Als Reaktion darauf haben wir gemeinsam versucht, verschiedene Maßnahmen zu implementieren, die verhindern, dass Personen die Nachrichten anderer lesen (Verschlüsselung), und zu überprüfen, ob die Nachrichten tatsächlich vom angeblichen Absender stammen (Authentifizierung).  

Die meisten Orte verwenden TLS (Transport Layer Security, Ersatz für SSL, Secure Sockets Layer), ein kryptografisches Protokoll, das die Verschlüsselung während der Übertragung ermöglicht. Es bietet Schutz für die Übertragung der Nachricht, jedoch nicht für den Ruhezustand der Daten (z. B. die Speicherung auf Ihrem Computer).

Dadurch wird sichergestellt, dass eine Nachricht während der Übertragung von MTA zu MTA nicht geändert oder weitergeleitet wird. Dies bestätigt jedoch nicht, dass die Nachricht während der Reise nicht geändert wurde.

Wenn die E-Mail beispielsweise mehrere Mailserver durchläuft, bevor sie ihr endgültiges Ziel erreicht, stellt die Verwendung von TLS sicher, dass sie zwischen den Servern verschlüsselt ist. Jeder Server kann jedoch den Nachrichteninhalt ändern. Um dies zu beheben, haben wir SPF, DKIM und DMARC erstellt.

SPF (Sender Policy Framework)

Mit SPF kann der Eigentümer einer Domain (wie google.com) in seinem DNS einen TXT-Eintrag festlegen, der angibt, welche Server E-Mails von dieser Domain senden dürfen (Anweisungen dazu für eine Vielzahl von Hosting-Anbietern finden Sie hier Seite? ˅).

Wie funktioniert das?

Dieser Datensatz listet die Geräte (normalerweise nach IP) auf, die zulässig sind und mit einer der folgenden Optionen enden können:

-all = Wenn die Prüfung fehlschlägt (die Quelle der E-Mail ist nicht eines der aufgelisteten Geräte), ist das Ergebnis ein HardFail. Die meisten Mailsysteme markieren diese Nachrichten als Spam.

? all = = Wenn die Prüfung fehlschlägt (die Quelle der E-Mail ist nicht eines der aufgelisteten Geräte), ist das Ergebnis neutral. Dies wird normalerweise zum Testen verwendet, nicht für Produktionsdomänen.

~ all = Wenn die Prüfung fehlschlägt (die Quelle der E-Mail ist nicht eines der aufgelisteten Geräte), ist das Ergebnis ein SoftFail. Dies bedeutet, dass diese Nachricht verdächtig ist, aber nicht unbedingt als schlecht bekannt ist. Einige Mailsysteme markieren diese Nachrichten als Spam, die meisten jedoch nicht.

SPF-Header können für die Server selbst hilfreich sein, da sie Nachrichten verarbeiten. Befindet sich ein Server beispielsweise am Rand eines Netzwerks, weiß er, dass empfangene Nachrichten von Servern im SPF-Datensatz des Absenders stammen sollten. Dies hilft Servern, Spam schneller loszuwerden. Obwohl dies großartig klingt, gibt es leider einige große Probleme mit SPF.

  1. SPF teilt einem Mailserver nicht mit, was mit der Nachricht zu tun ist. Dies bedeutet, dass eine Nachricht eine SPF-Prüfung nicht bestehen und dennoch zugestellt werden kann.
  2. Ein SPF-Datensatz betrachtet nicht die Absenderadresse, die der Benutzer sieht, sondern den Rückweg. Dies entspricht im Wesentlichen der Absenderadresse, die Sie auf einen Brief schreiben. Es teilt Mail-Servern, die den Brief verarbeiten, mit, wohin die Nachricht zurückgegeben werden soll (und sie wird in den E-Mail-Headern gespeichert - im Wesentlichen technische Informationsserver, die zur Verarbeitung von E-Mails verwendet werden).

    Das heißt, ich kann alles, was ich will, in die Adresse from: eingeben, ohne dass sich dies auf die SPF-Prüfung auswirkt. Tatsächlich können diese beiden E-Mail-Adressen von einem Hacker relativ gefälscht werden. Da keine Verschlüsselung erforderlich ist, können SPF-Header nicht vollständig als vertrauenswürdig eingestuft werden.

  3. SPF-Aufzeichnungen müssen ständig auf dem neuesten Stand gehalten werden, was in großen, sich ständig ändernden Organisationen schwierig sein kann.
  4. Weiterleitungspausen SPF. Dies liegt daran, dass der Absender des Umschlags unverändert bleibt, wenn eine E-Mail von beispielsweise google.com von [email protected] weitergeleitet wird (die Absenderadresse lautet weiterhin google.com). Der empfangende Mailserver glaubt, dass er von google.com stammt, aber von bobsburgers.com stammt, sodass die SPF-Prüfung nicht bestanden wird (obwohl die Mail tatsächlich von google.com stammt).

Weitere Informationen zu SPF finden Sie in diesen Artikeln. Hier können Sie überprüfen, ob für eine bestimmte Domäne SPF- und DMARC-Einträge konfiguriert sind.

DKIM (DomainKeys Identified Mail)

DKIM ähnelt SPF. Es verwendet auch TXT-Einträge im DNS der sendenden Domäne und bietet eine gewisse Authentifizierung der Nachricht selbst. Es wird versucht zu überprüfen, ob Nachrichten während der Übertragung nicht geändert wurden.

Wie funktioniert das?

Die sendende Domain generiert ein öffentliches / privates Schlüsselpaar und fügt den öffentlichen Schlüssel in den DNS-TXT-Eintrag der Domain ein (wenn Sie nicht wissen, was ein öffentliches / privates Schlüsselpaar ist, lesen Sie diesen Artikel über Kryptografie).

Anschließend verwenden die Mailserver der Domäne (an der äußeren Grenze - die Server, die E-Mails außerhalb der Domain senden (z. B. von gmail.com an Outlook.com)) den privaten Schlüssel, um eine Signatur des gesamten Nachrichtentexts zu generieren, einschließlich Überschriften.

Zum Generieren einer Signatur muss der Text normalerweise gehasht und verschlüsselt werden (weitere Informationen zu diesem Vorgang finden Sie in diesem Artikel).

Empfangende Mailserver verwenden den öffentlichen Schlüssel im DNS-TXT-Eintrag, um die Signatur zu entschlüsseln und anschließend die Nachricht und die relevanten Header zu hashen (alle Header, die erstellt wurden, während sich die Mail in der Infrastruktur des Absenders befand - beispielsweise wenn mehrere Google Mail-Server die E-Mail zuvor verarbeitet haben wurde extern an Outlook.com gesendet).

Der Server überprüft dann, ob die beiden Hashes übereinstimmen. In diesem Fall ist die Nachricht wahrscheinlich unverändert (es sei denn, jemand hat den privaten Schlüssel des Absenders kompromittiert) und zu Recht vom angeblichen Absender. Wenn die Hashes nicht übereinstimmen, stammt die Nachricht entweder nicht vom angeblichen Absender oder wurde von einem anderen Server während der Übertragung oder von beiden geändert.

DKIM leistet sehr gute Arbeit bei einer ganz bestimmten Aufgabe - der Beantwortung der Frage "Wurde diese E-Mail während des Transports vom angeblichen Absender geändert oder nicht?". Das ist jedoch alles, was es tut. Sie erfahren nicht, wie Sie mit E-Mails umgehen sollen, die diesen Test nicht bestehen, welcher Server die Nachricht möglicherweise geändert hat oder welche Änderungen vorgenommen wurden.  

DKIM wird auch von einigen ISPs oder Internetdienstanbietern verwendet, um die Reputation Ihrer Domain zu bestimmen (senden Sie viel Spam? Haben Sie ein geringes Engagement? Wie oft werden Ihre E-Mails gesendet?).

Weitere Informationen zu DKIM finden Sie in diesem Artikel. Hier können Sie einen DKIM-Datensatz validieren.

DMARC (domänenbasierte Nachrichtenauthentifizierung, Berichterstellung und Konformität)

DMARC ist im Wesentlichen eine Anleitung für Mailserver zum Umgang mit SPF- und DKIM-Datensätzen. Es führt keine eigenen Tests durch, teilt den Mailservern jedoch mit, wie die von SPF und DKIM durchgeführten Überprüfungen durchzuführen sind.

Die teilnehmenden ISPs sehen sich veröffentlichte DMARC-Datensätze an und bestimmen anhand dieser, wie mit DKIM- oder SPF-Fehlern umgegangen werden soll. So kann beispielsweise eine häufig gefälschte Marke einen DMARC-Datensatz veröffentlichen, der besagt, dass die Nachricht gelöscht wird, wenn DKIM oder SPF fehlschlagen.

Häufig senden ISPs Ihnen auch Berichte über die Aktivitäten Ihrer Domain mit der Quelle der E-Mail und der Frage, ob DKIM / SPF bestanden oder nicht bestanden wurde. Dies bedeutet, dass Sie sehen können, wann Personen Ihre Domain fälschen (angeblich von dort senden) oder Ihre Nachrichten ändern.

Um DMARC zu implementieren, müssen Sie basierend auf Ihren Anforderungen einen DMARC-Datensatz erstellen (von der Überwachung Ihres E-Mail-Verkehrs über die Ermittlung aller Ihrer E-Mail-Quellen bis hin zur Aufforderung, Maßnahmen zu ergreifen, z. B. das Ablehnen von E-Mails, bei denen DKIM oder SPF fehlschlagen). Hier und hier erfahren Sie mehr darüber.

Weitere Informationen zu DMARC finden Sie in diesem Artikel. Hier können Sie überprüfen, ob für eine bestimmte Domäne SPF- und DMARC-Einträge konfiguriert sind.

Einpacken

Keine dieser Sicherheitsmaßnahmen ist perfekt, aber zusammen leisten sie einen anständigen Beitrag zur Verbesserung der Sicherheit von E-Mail-Systemen weltweit.

Je mehr Organisationen diese Maßnahmen ergreifen (entweder Open Source-Implementierungen verwenden oder für ein Produkt bezahlen), desto besser wird es allen gehen. Sicherheit, die nach der Entwicklung eines Protokolls oder Produkts hinzugefügt wird, ist normalerweise teurer, weniger effektiv und schwieriger zu implementieren als die in das Produkt integrierte Sicherheit.

Die meisten Protokolle, auf die sich das aktuelle Internet stützt, wurden jedoch für das frühe Internet entwickelt - für eine kleine Gruppe von Enthusiasten, Wissenschaftlern und Regierungsvertretern - und nicht für ein weltweites Netzwerk, in dem wir Gebäude, intelligente Geräte, öffentliche Verkehrsmittel und Kernkraftwerke betreiben (!), und so weiter.

Da das Internet weiter wächst, müssen wir uns weiter anpassen und neue Wege entwickeln, um die Systeme zu sichern, auf die wir uns verlassen.