Zurück zum Blog
9. September 2024·2 Min. Lesezeit

Neue Sicherheitsmaßnahmen für E-Mail: Teil 2

Im ersten Teil dieses Artikels behandelten wir zentrale Technologien wie Mail Gateway, Antispam-Filter, DKIM und SPF zum Schutz geschäftlicher E-Mail. In diesem zweiten Teil geht es um ergänzende Protokolle wie DANE, MTA-STS und BIMI, die die Sicherheit der E-Mail-Kommunikation verstärken, sowie um weitere fortgeschrittene Maßnahmen für robusteren Schutz.

TLS-Verbindungen absichern

Das Protokoll DANE (DNS-based Authentication of Named Entities) erhöht die Sicherheit von E-Mail, indem es sicherstellt, dass Verbindungen zwischen Mail-Servern per TLS (Transport Layer Security) erfolgen. DANE nutzt DNSSEC (DNS Security Extensions), um die Echtheit von TLS-Zertifikaten zu prüfen und Angriffe mit gefälschten Servern zu erschweren.

Vorteile von DANE:

  • Schutz vor Man-in-the-Middle (MitM)-Angriffen.
  • Stärkere Authentifizierung der Sicherheitszertifikate.

Nachteile:

  • DNSSEC und DANE erfordern eine fortgeschrittene DNS-Konfiguration.
  • Nicht alle Mail-Provider unterstützen DANE, was die Verbreitung begrenzt.

Ein weiteres wichtiges Protokoll für sichere Server-zu-Server-Verbindungen ist MTA-STS (Mail Transfer Agent Strict Transport Security). Es erzwingt TLS in SMTP-Kommunikation und verhindert unverschlüsselten Versand.

Vorteile:

  • Verhindert Downgrade-Angriffe, bei denen Angreifer unverschlüsselte Verbindungen erzwingen wollen.
  • Sichert zu, dass Mails zwischen Servern möglichst verschlüsselt übertragen werden.

Zu beachten:

  • MTA-STS ist relativ einfach umzusetzen, erfordert aber korrekt konfiguriertes DNS und TLS auf dem Server.
  • Im Gegensatz zu DANE ist keine DNSSEC-Abhängigkeit nötig – die Konfiguration vereinfacht sich.

Der TLSA-Record zusammen mit DANE hilft Administratoren, vertrauenswürdige Zertifikate für TLS-Verbindungen zu validieren. So lassen sich Abfangversuche mit gefälschten Zertifikaten erschweren.

Vorteile:

  • Verifizierung des vom Mail-Server genutzten Zertifikats.
  • Zusätzliche Authentifizierungsebene für TLS-Verbindungen.

BIMI: Authentizität und Branding in E-Mail

BIMI (Brand Indicators for Message Identification) verbessert nicht nur die Sicherheit, sondern auch den Markenwert: Authentische Mails können das Markenlogo im Mail-Client anzeigen. Das Protokoll stärkt visuelle Vertrauenswürdigkeit und hilft, Phishing zu erschweren.

Wichtig:

  • Mehr Vertrauen durch ein verifiziertes Logo in der Mailbox.
  • Besseres Branding und höhere Sichtbarkeit der Marke.
  • BIMI setzt korrekt implementiertes DMARC voraus; fehlerhafte SPF- oder DKIM-Konfiguration beeinträchtigt die Funktion.

Greylisting: temporärer Filter gegen Spam

Greylisting verzögert die Zustellung von Mails unbekannter Absender kurzzeitig. Legitime Systeme versuchen die Zustellung erneut; viele Spam-Bots tun das nicht – dadurch wird ein Großteil automatisierten Spams blockiert.

Zwei-Faktor-Authentifizierung (2FA)

2FA schützt auch Mail-Sessions vor unbefugtem Zugriff – selbst wenn Zugangsdaten kompromittiert wurden.

DANE, MTA-STS, BIMI und andere fortgeschrittene Maßnahmen ergänzen die im ersten Teil genannten Protokolle (SPF, DKIM, Mail Gateway). In Kombination entsteht ein ganzheitlicher Ansatz für das Gleichgewicht zwischen Sicherheit und Usability.

E-Mail-Sicherheit entwickelt sich ständig weiter. Während SPF, DKIM und Antispam-Filter unverzichtbar sind, fügen DANE, MTA-STS und BIMI zusätzliche Schutz- und Sichtbarkeitsebenen hinzu. Administratoren sollten kontinuierlich prüfen und Konfigurationen an neue Angriffstaktiken anpassen. Nur ein integrierter Ansatz aus bewährten und neuen Verfahren gewährleistet robusten Schutz für geschäftliche E-Mail.

Das Gleichgewicht zwischen Sicherheit, Authentizität und Benutzerfreundlichkeit ist entscheidend für eine gute Nutzererfahrung und die Integrität digitaler Kommunikation.

Mehr dazu in unserem Blog und in den kommenden Beiträgen!