In der sich ständig weiterentwickelnden Landschaft der Cybersicherheit stehen Unternehmen vor großen Herausforderungen, wenn es darum geht, eine robuste E-Mail-Sicherheit zu gewährleisten. Ein Hauptproblem ist die zunehmende Raffinesse von Phishing-Angriffen, bei denen immer überzeugendere Social-Engineering-Taktiken eingesetzt werden, um Benutzer dazu zu bringen, vertrauliche Informationen preiszugeben oder bösartige Inhalte herunterzuladen.
Herausforderungen und Ziele
Auch die Zunahme von BEC-Angriffen (Business Email Compromise), bei denen Angreifer legitime E-Mail-Konten kompromittieren, um betrügerische Aktivitäten oder nicht autorisierte Transaktionen durchzuführen, stellt eine erhebliche Bedrohung dar. Mit der zunehmenden Verbreitung von Fernarbeit ergeben sich durch die erweiterte Angriffsfläche und die Abhängigkeit von persönlichen Geräten für den E-Mail-Zugang Schwachstellen. Darüber hinaus tragen das anhaltende Spoofing von E-Mail-Domänen und die Schwierigkeit, Falschmeldungen bei der Spam-Erkennung vollständig zu eliminieren, zu der komplexen Landschaft der E-Mail-Sicherheit bei, die einen vielschichtigen Ansatz zum Schutz vor verschiedenen und sich ständig weiterentwickelnden Bedrohungen erfordert. Schließlich wird auch die Pflege der Markenbekanntheit zu einer strategischen Notwendigkeit für Unternehmen.
Was ist Android Management API?
Unternehmen können verschiedene Sicherheitsmaßnahmen implementieren, um Phishing zu bekämpfen, das E-Mail-Vertrauen zu stärken und insgesamt sicherzustellen, dass ihre E-Mail-Nachrichten legitim sind. Werfen wir einen genaueren Blick auf alle derzeit verfügbaren E-Mail-Authentifizierungsprotokolle, -methoden und -standards, die von Internetdienstanbietern (ISPs) verwendet werden, um Spam und Phishing-Angriffe zu erkennen und zu unterbinden und so Unternehmen vor Cybersecurity-Angriffen zu schützen, die auf E-Mails basieren.
Beschränkungen und Schwachstellen
SPF ist ein E-Mail-Authentifizierungsprotokoll, das dazu beiträgt, E-Mail-Spoofing und Phishing zu verhindern, indem es den Inhabern von E-Mail-Domänen ermöglicht, anzugeben, welche Mailserver berechtigt sind, E-Mails in ihrem Namen zu versenden. E-Mail-Empfänger können eingehende E-Mails mit den SPF-Einträgen vergleichen, die von der sendenden Domäne auf Domain Name Servern (DNS) veröffentlicht werden, um ihre Authentizität zu überprüfen.
Example of a SPF record.
Wenn der eingehende E-Mail-Server feststellt, dass die E-Mail von einem autorisierten Server gesendet wurde, ist es wahrscheinlicher, dass er die Nachricht akzeptiert; andernfalls wird die Nachricht verworfen und landet schließlich im Spam-Ordner des Empfängers.
Sender Policy Framework (SPF) workflow.
Herausforderungen
SPF ist eine der Methoden, die bei der E-Mail-Authentifizierung zur Bekämpfung von Spam und Phishing eingesetzt werden, um die Sicherheit und Vertrauenswürdigkeit von E-Mails zu erhöhen. Erstens bietet SPF zwar eine Lösung für das Problem der E-Mail-Authentifizierung, nicht aber für die Verschlüsselung des Inhalts von E-Mail-Nachrichten.
Darüber hinaus hat es einen begrenzten Autorisierungsumfang, da es nur dazu beiträgt, die Adresse des Absenders im Feld Return-Path (auch bekannt als "Mail from") der E-Mail-Kopfzeile zu validieren, die Benutzer in ihren E-Mail-Clients sehen können, die aber leicht gefälscht werden kann.
Ein weiterer Nachteil von SPF ist seine begrenzte Wirksamkeit bei weitergeleiteten E-Mails, da der sendende E-Mail-Server in der Regel die E-Mail-Adresse des ursprünglichen Absenders im Feld Return-Path durch die Adresse des Weiterleiters ersetzt und der empfangende Server den SPF-Eintrag der Domäne des Weiterleiters überprüft; in solchen Fällen wird die Nachricht SPF voraussichtlich erfolgreich bestehen. Allerdings ändert nicht jede E-Mail-Plattform das Return-Path-Feld während der Weiterleitung, und wenn dies der Fall ist, wird die Nachricht SPF nicht bestehen.
Schließlich hängt seine Wirksamkeit von der korrekten Konfiguration der Einträge im DNS ab, die falsch konfiguriert oder veraltet sein können, was zu falsch-positiven oder falsch-negativen Ergebnissen bei der E-Mail-Authentifizierung führt. Die Verwaltung von SPF-Einträgen kann für große Unternehmen mit mehreren E-Mail-Servern und Diensten von Drittanbietern, die E-Mails in ihrem Namen versenden, sehr komplex werden und erfordert einen angemessenen Wartungsaufwand, um sicherzustellen, dass legitime Quellen ordnungsgemäß autorisiert werden.
Maßnahmen für die Administratoren
DKIM ist ein offener Standard für die E-Mail-Authentifizierung, mit dessen Hilfe die Authentizität und Integrität von E-Mail-Nachrichten mithilfe asymmetrischer kryptografischer Schlüssel überprüft werden kann. Wenn eine E-Mail mit DKIM gesendet wird, fügt der sendende E-Mail-Server eine digitale Signatur in die Kopfzeile der Nachricht ein, die mit einem privaten Schlüssel des Absenders erzeugt wird. Der E-Mail-Server des Empfängers kann dann einen öffentlichen Schlüssel verwenden, der in den DNS-Einträgen des Absenders veröffentlicht ist, um die DKIM-Signatur zu überprüfen. Wenn die Signatur gültig ist, bestätigt sie, dass die E-Mail während der Übertragung nicht verändert wurde und tatsächlich vom angegebenen Absender stammt. Beachten Sie, dass dies für den Endbenutzer in der Regel nicht sichtbar ist, da die gesamte Validierungsarbeit auf Serverebene durchgeführt wird. DKIM trägt dazu bei, E-Mail-Spoofing, Phishing und Manipulationen zu verhindern und die Sicherheit und Vertrauenswürdigkeit von E-Mails zu verbessern.
DomainKeys Identified Mail (DKIM) workflow.
Herausforderungen
DKIM hilft zwar bei der Überprüfung der Authentizität des Absenders, verhindert aber nicht die Erstellung neuer E-Mails mit anderen DKIM-Signaturen, was böswilligen Akteuren die Möglichkeit gibt, betrügerische E-Mails zu versenden, die scheinbar von einer legitimen Domäne stammen. Wie SPF ist auch DKIM für die Schlüsselspeicherung auf DNS angewiesen, so dass Fehlkonfigurationen in DNS-Einträgen oder die Kompromittierung privater Schlüssel die Wirksamkeit bei der Gewährleistung der Authentizität von E-Mails beeinträchtigen können. Schließlich können DKIM-Signaturen beschädigt werden, wenn E-Mails weitergeleitet oder während der Übertragung geändert werden, was in Umgebungen, in denen E-Mails häufig weitergeleitet werden, eine Herausforderung darstellt und die Zuverlässigkeit der Überprüfung beeinträchtigen kann.
Die effektive Verwaltung und Rotation von kryptografischen Schlüsseln ist ebenfalls kompliziert, insbesondere für große Organisationen mit mehreren Mail-Servern. Daher ist die Aufrechterhaltung robuster Schlüsselverwaltungspraktiken entscheidend für die Sicherheit und Effektivität von DKIM, das sich nur auf die Authentifizierung des E-Mail-Ursprungs konzentriert und den Inhalt nicht verschlüsselt und damit auch nicht die Vertraulichkeit der E-Mail-Nachricht gewährleistet.
Domain-based Message Authentication, Reporting, and Conformance (DMARC)
While DKIM helps verify the authenticity of the sender, it doesn't prevent the creation of new emails with different DKIM signatures, leaving room for malicious actors to send deceptive emails that appear to be from a legitimate domain. Also, as SPF, DKIM relies on DNS for key storage, so misconfigurations in DNS records or compromission of private keys can compromise its effectiveness in ensuring the authenticity of emails. Finally, DKIM signatures may break when emails are forwarded or modified during transit, presenting challenges in environments where emails are frequently forwarded, potentially impacting the reliability of its verification.
Effective management and rotation of cryptographic keys also pose complexity, especially for large organizations with multiple mail servers, so maintaining robust key management practices is crucial for the security and effectiveness of DKIM, which only focuses on authenticating the email's origin and does not encrypt the content, and by doing so does not ensure the confidentiality of the email's message either.
Example of a DMARC record.
The recipient's email server receives the email and checks SPF and DKIM records, then checks the DMARC policy for the sender's domain. If the authentication passes and aligns with the "From" domain, the email is delivered according to the DMARC policy. If not, the DMARC policy instructs the recipient's server on how to handle the email.
DMARC has three main policy options:
- “None” policy, also referred to as “monitor” policy, takes no action, and is recommended to start with, as part of the learning process, to monitor suspicious activities while allowing legitimate traffic.
- “Quarantine” policy instructs to sends unauthorized emails into a separate folder, but is not actively protecting yet from potential threats, simply categorizing them as such.
- “Reject” policy blocks any unauthorized emails so that they cannot reach recipients, actively protecting from potential threats. Also, forensic reports are sent to the domain owner, providing insights into email authentication results and potential abuse.
Domain-based Message Authentication, Reporting, and Conformance (DMARC) workflow.
By implementing DMARC, domain owners can better protect their domains from email spoofing, phishing, and other malicious activities, while also gaining visibility through the reporting mechanisms provided by DMARC.
While DMARC protocol can help protect against spoofing and/or phishing attacks, it can be difficult to implement and later time-consuming to maintain, without using specific tools and with the proper level of expertise required for the task
Authentication Received Chain (ARC)
ARC is an email authentication standard designed to address issues related to the forwarding of emails and the preservation of authentication results as emails are relayed through intermediary mail servers, extending existing email authentication standards like SPF, DKIM, and DMARC.
While DMARC assumes that are sent directly from sender to recipient unchanged, there still are some legitimate situations where email content might be modified during its journey:
- When forwarding an email, the person forwarding it might edit the original content (add/remove information for privacy), or the mail server might change the email header.
- When sending an email via a mailing list, it may add the list name to the Subject line, or a typical “Unsubscribe” link or disclaimer in the message footer.
This would result in legitimate emails to be detected as potentially having been tampered with, so they would fail DKIM checks. Same as email messages sent from a new/different IP address (ex: new email server implemented by sending domain) would automatically fail SPF validation tests. If both SPF and DKIM fail, DMARC fails and so email messages are rejected or treated as SPAM.
ARC addresses that by adding new email headers, such as ARC-Authentication-Results (AAR), ARC-Message-Signature (AMS) and ARC-Seal (AS), containing authentication information from each hop along the email route/journey, allowing the final recipient's email server to verify authentication results from previous stages, ensuring the email's integrity and origin, even after it has gone through multiple intermediaries, enhancing email security, particularly in forwarding scenarios.
Authentication Received Chain (ARC) workflow.
ARC can help ensure that forwarding does not negatively impact DMARC authentication results, enhancing the overall effectiveness of DMARC policies.
Challenges
But same as with previous standards and protocols, ARC also has its own limitations. First, it depends on intermediaries to preserve authentication, risking breakdowns if servers lack ARC support. While intended to maintain authentication through forwarding, it doesn't offer end-to-end verification like DKIM. Also, adoption remains limited, hindering its impact. Plus, if an intermediary is compromised, it could potentially manipulate authentication results, posing security concerns. Additionally, it adds complexity to email servers and relies on broad industry acceptance for effectiveness. Finally, some email clients may not fully interpret or display ARC information, affecting its utility in enhancing end-user understanding of email authenticity.
Brand Indicators for Message Identification (BIMI)
BIMI is an email authentication and marketing protocol that allows email senders to display their brand logos alongside their email messages in the recipient's inbox, helping in enhancing email trust and security by providing a visual indicator of a legitimate sender, making it easier for recipients to identify genuine emails. To use BIMI, senders must have strong email authentication mechanisms in place, such as DMARC, SPF, and DKIM to verify their legitimacy, benefiting both senders and recipients by reducing phishing risks and improving brand recognition in email communications.
Verified Mark Certificates (VMC) are used to authenticate brand logos and confirm ownership of those logos. Incorporated within a BIMI record, VMC digital certificates empowers senders to present their company's logo directly alongside email messages within the user’s inbox, with providers like Apple, Google, or Yahoo, to name a few.
BIMI and VMC work together as follows: VMC validate BIMI records through a process where the email server first checks the specified logo URL for validity. If the URL is valid, the server then verifies the logo's association with the VMC, ensuring that the certificate authenticates the published logo. Upon successful verification, the email server accepts the logo and displays it next to the message in the recipient's inbox.
Brand Indicators for Message Identification (BIMI) and Verified Mark Certificate (VMC) workflow.
This visual trust element enhances email security, helping users identify and trust legitimate emails, ultimately mitigating phishing risks and improving overall email authenticity.
Example: messages received by a BIMI-capable mail client from a BIMI-enabled mail domain.
Limitations
While BIMI is gaining adoption in email marketing and cybersecurity efforts as an emerging standard, it is still under development, and so not universally supported by all email clients yet. However, as more email providers and organizations implement BIMI, it has the potential to become a valuable tool in the fight against email phishing and fraud.
To implement BIMI, organizations need to follow the specifications outlined by the BIMI working group, ensure proper email authentication through DMARC, and publish a valid BIMI record in their DNS (Domain Name System) settings.
SPF, DKIM, and DMARC are core email authentication protocols that work together to authenticate email senders and prevent phishing, while BIMI complements these protocols by enhancing the visual representation of the sender's brand within email messages, improving both email security and brand recognition.
Availability
While many enterprise-level email platforms support most, if not all the previously discussed email authentication protocols, it is important to keep in mind that the availability of specific features and capabilities may vary. Most cloud-based, enterprise messaging service like Microsoft Exchange Online or Google Workspace, do provide native support for these protocols, while for on-premises solutions it usually requires the use of third-party solutions, either deployed in front of the messaging environment, or directly into the environment in the form of plugins or other forms of integrations.
Conclusion
In the ever-evolving landscape of cybersecurity, safeguarding your organization from the perils of spoofing and phishing attacks is paramount. These malicious activities, aiming to deceive by falsifying identities or tricking individuals into divulging sensitive information, pose significant threats to data integrity and organizational reputation. Ensuring the seamless flow of legitimate email traffic is crucial for effective communication. By implementing technologies like SPF and DKIM, organizations can authenticate and validate their outbound emails, enhancing reliability and mitigating the risk of being erroneously flagged as spam.
To fortify defenses further, robust email authentication mechanisms such as DMARC and ARC should also be employed, alongside comprehensive employee training to recognize and report phishing attempts.
Finally, cultivating brand recognition through BIMI protocol allows companies to display their logos next to authenticated emails in supported email clients, enhancing brand visibility and authenticity in email communications, as the presence of a recognizable logo lends credibility to emails, helping recipients quickly identify legitimate messages and reducing the risk of falling victim to phishing attacks. This visual authentication not only reinforces brand trust but also contributes to a consistent and professional brand image. As email remains a primary mode of communication for businesses, utilizing BIMI becomes a valuable tool in establishing and reinforcing brand identity, ultimately improving customer confidence and engagement.
The right permutation of solutions and protocols is always going to be difficult, but ISEC7 can help you scale with the growth of your email demands. Please feel free to contact the team at ISEC7, and we can provide an objective assessment of what can address the needs of your organization and help you navigate the best options available to you.
Contact
Find out more regarding ISEC7´s Services and Solutions.
