Hoher E-Mail-Sicherheitsstandard durch SPF, DKIM und DMARC

Hoher E-Mail-Sicherheitsstandard durch SPF, DKIM und DMARC

Hornetsecurity bietet einen sicheren Schutz gegen Späh- und Schadsoftware in der E-Mail-Authentifizierung durch standardisierte Absenderreputationsverfahren

E-Mails gelten immer noch als das meistgenutzte Medium zur Übertragung von elektronischen Nachrichten. Sie sind kostengünstig, uneingeschränkt in der Verbreitung und bieten die Möglichkeit, Texte und Dateianhänge in Echtzeit zu verschicken bzw. zu empfangen. Doch genau diese Eigenschaften machen die E-Mail-Kommunikation so angreifbar. Cyber-Kriminelle erweitern stetig ihr Angriffs-Spektrum und entwickeln neue Strategien, um Verteidigungsmechanismen zu überwinden. Die Autorisierung erlaubter Domains mittels eines entsprechenden SPF-Records in der DNS-Zone reicht also längst nicht mehr aus, um den ankommenden E-Mail-Verkehr erfolgreich gegen Phishing und Spam zu schützen.

Aus diesem Grund wurde der E-Mail-Service von Hornetsecurity um weitere, wichtige Absenderreputationsverfahren im Kampf gegen weitverbreitete Angriffsmuster erweitert. Neben SPF werden Verfahren wie DKIM und DMARC gegen Spam,- Spoofing,- Phishing- und Malware-Attacken sowie gezielte CEO-Fraud-Angriffe eingesetzt. Damit folgt Hornetsecurity bereits seit vielen Monaten der aktuellen Empfehlung für die E-Mail-Sicherheit seitens des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie der Empfehlung des Bundesverbandes IT-Sicherheit (TeleTrusT) und bietet somit einen hohen Sicherheitsstandard in der E-Mail-Kommunikation.

Mit SPF, DKIM und DMARC sicher gegen Angriffe

Die Authentifizierungsverfahren SPF, DKIM und DMARC wirken im gemeinsamen Verbund als ein sicheres Instrument gegen Angriffe auf die E-Mail-Kommunikation eines Unternehmens. Im Folgenden werden die eingesetzten Standards für Absender- und Empfängerreputation vorgestellt und ihre Funktionsweisen erläutert.

Sender-Policy-Framework (SPF)[RFC 7208]

SPF ist ein Verfahren, mit welchem nicht autorisierte Absenderadressen von Domains erkannt und die Zustellung ihrer Mails verhindert werden kann. Berechtigte Server, die im Namen einer Domain E-Mails verschicken dürfen, werden im sogenannten SPF-Record der DNS-Zone eingetragen. Bei der Zustellung einer E-Mail entnimmt der empfangene Server die Absender-Domain aus dem Envelope-Sender einer E-Mail und überprüft mit einer DNS-Abfrage, ob die Domain im SPF-Record registriert ist. Ist die Domain nicht eingetragen, so ist der Server nicht autorisiert, E-Mails im Namen der Domain zu versenden. E-Mails von nicht autorisierten Servern können beispielsweise als Spam eingestuft werden. Aufgrund unzureichender kryptografischer Sicherheitsmechanismen, die die Authentizität des Senders sicherstellen könnten, sollte SPF nicht per se als Spam- oder Phishingschutz eingesetzt werden. Denn trotz einer erfolgreichen SPF-Authentifizierung kann die Absenderadresse des Envelop-Senders im Feld Body-From verändert und somit die Absenderadresse leicht manipuliert werden.

Sender-Policy-Framework (SPF)

Domain-Keys-Identified-Mail (DKIM)[RFC 6376]

Für einen umfangreicheren E-Mail-Schutz kann SPF mit DKIM sinnvoll ergänzt werden. Hierbei soll vor allem verhindert werden, dass Spoofer an sensible Daten herankommen. Als besonderes Merkmal zur E-Mail-Authentifizierung fügt DKIM eine digitale Signatur mit einer kryptografischen Verschlüsselung (SHA-256) zum Header der E-Mail hinzu. Die Signatur fungiert als eine Art
Fingerabdruck und muss beim Entschlüsseln den selben Hash-Wert in der Prüfsumme ergeben, wie vor dem Versand errechnet. Jede noch so kleine Änderung der Daten würde den Hash-Wert verändern und somit auf ein Eingreifen in die Nachricht während des Transports hindeuten.

Für das Entschlüsseln der Signatur sollte bereits ein Schlüsselpaar vorliegen, welches aus einem öffentlichen (public key) und einem geheimen Schlüssel (private key) besteht und zur erfolgreichen Autorisierung des sendenden Servers benötigt wird. Der öffentliche Schlüssel wird analog zum SPF-Eintrag in der DNS-Zone als TXT-Record eingetragen. Der geheime Schlüssel verbleibt ausschließlich auf dem Server, der beim Versand von E-Mails autorisiert wird.

Domain-Keys-Identified-Mail (DKIM)

Beim Autorisierungsverfahren ermittelt der empfangende Server zunächst die Absender-Domain der E-Mail und schaut anschließend nach dem Namen, unter welchem der passende öffentliche Schlüssel in der DNS-Zone der Absender-Domain zu finden ist. Bei einer erfolgreichen Signatur-Prüfung wird sichergestellt, dass der dekodierte Hashwert der ursprünglichen Prüfsumme vor dem Versand entspricht und somit die E-Mail auf dem Transportweg nicht verändert wurde.

Domain-based Message-Authentification, Reporting and Conformance (DMARC)[RFC 7489]

 

Eine konsistente Überprüfung der Authentizität von E-Mails kann allein mittels SPF und DKIM nicht sichergestellt werden. Diese Lücke schließt das Prüfverfahren DMARC, welches die Verfahren SPF und DKIM in ihrem gemeinsamen Auftreten zu einem sicheren Prüfprozedere zur Absenderreputation vervollständigt. DMARC stellt sicher, dass die Envelope-Sender-Adresse mit der Body-From-Adresse übereinstimmt. Diese Prüfung ist wichtig, da traditionelle E-Mail-Programme lediglich die Body-From-Informationen einer E-Mail anzeigen und die tatsächlichen Absenderinformationen verborgen bleiben.

 

Weiterhin stellt DMARC gewisse Richtlinien für die Verfahren SPF und DKIM auf, die im TXT-Record einer DNS-Zone in Form von Anforderungen hinterlegt werden. Diese Richtlinien sind maßgebend für die Anweisungen zum weiteren Verfahren mit empfangenen E-Mails. So muss z. B. für SPF die Überprüfung positiv ausfallen und die Envelope-Sender-Adresse der Domain mit der im SPF-Record hinterlegten Adresse übereinstimmen. Für DKIM wird gefordert, dass die Signatur gültig ist und die genannte Domäne mit der Body-From-Adresse der Mail übereinstimmt.

Domain Based Authentification Reporting and Conformance (DMARC)

 

Werden eine oder mehrere Forderungen nicht erfüllt, so schlägt die Überprüfung negativ aus und die E-Mail kann je nach Entscheidungsmatrix in die Quarantäne verlagert (quarantine) oder abgewiesen werden (reject).

 

Weiterhin bietet DMARC die Möglichkeit, Berichte* in Formen „Aggregated Reports“ und „Failure Reports“ zu verschicken. Die Berichte können den Domain-Administrator dabei unterstützen, den eigenen E-Mail-Verkehr im Überblick zu behalten und die DNS-Einträge auf syntaktische Korrektheit zu überprüfen. Weiterhin können die Ergebnisse dazu eingesetzt werden, um weitere Systeme zu unterstützen. So kann beispielweise die ZIP-Datei eines zweifelsfrei identifizierten Absenders ohne Weiteres zugestellt werden, während diese bei nicht identifizierten Absendern in Quarantäne wandert oder abgelehnt wird. Auf diese Weise unterstützt Hornetsecurity z. B. das eigene Produkt Content Filter für eine schnelle und sichere Zustellung von E-Mails mit Anhängen.

 

*Die Übermittlung der Berichte darf nur unter Beachtung des Bundesdatenschutzgesetztes im Rahmen der Erkennung und Eingrenzung von Spam und Phishing sowie zum Schutz der Telekommunikationsanlagen und unter Wahrung des Verhältnismäßigkeitsgrundsatzes übermittelt werden. Hierbei ist ein Authentifizierungs- und Verifizierungssystem einzusetzen, um einen Missbrauch zu vermeiden.

Weitere Technologien und Verschlüsselungsverfahren im Überblick

 

Für die Verbindung mit den Servern ist das sogenannte Domain Name System (DNS) verantwortlich, mit dessen Hilfe sich Hostnamen in IP-Adressen auflösen lassen. Das Senden und Empfangen von Nachrichten an einen oder mehrere Empfänger wird mit dem User Datagram Protocol (UDP) ermöglicht. Eine Verbindung zwischen Absender und Empfänger wird dabei nicht aufgebaut und die Daten werden ohne weitere Kontrollmechanismen an den Empfänger geliefert. Folglich hat auch der Absender keine Möglichkeit festzustellen, ob seine Nachricht erfolgreich angekommen ist. Um das Sicherheitsproblem des veralteten DNS zu beheben, werden unterschiedliche Sicherheitstechniken wie TLS, DNSSEC sowie DANE eingesetzt. Im Bereich der „sicheren E-Mail-Kommunikation“ konnte sich allerdings bis jetzt kein Standard durchsetzen. Der neuste Standard heißt MTA-STS und verspricht E-Mails auf dem Transportweg vor Lauschangriffen und Manipulationen erfolgreich zu schützen.

Transport Layer Security (TLS)[RFC 5246 ]

TLS ist ein weit verbreitetes Verschlüsselungsprotokoll, welches auf Basis des Secure Sockets Layer (SSL) weiterentwickelt und standardisiert wurde. Das TLS-Protokoll dient der Sicherstellung von Vertraulichkeit, Authentizität und Integrität bei der Übertragung von Daten in unsicheren Netzwerken. Das in zwei Ebenen unterteilte TLS-Protokoll ist ein hybrides Verschlüsselungsverfahren, welches sowohl symmetrische als auch asymmetrische Algorithmen nutzt. Das TLS Record Protocol verschlüsselt eine Ende-zu-Ende Verbindung mittels symmetrischer Algorithmen. Das TLS Handshake Protocol baut auf dem TLS Record Protokoll auf und hat die Aufgabe, Sicherheitsparameter zwischen Sender und Empfänger auszuhandeln. Verbindungen zu E-Mail-Servern können über STARTTLS eingeleitet und verschlüsselt werden. TLS wird heutzutage in vielen Anwendungen eingesetzt, in denen Daten, insbesondere Zugangsdaten, PINs und Passwörter sicher übertragen werden können. Hierzu gehören beispielsweise Anwendungen wie E-Commerce, Homebanking und E-Government.

DNSSEC (Domain Name System Security Extensions)

[RFC 4035 ]

DNSSEC ist eine Erweiterung von DNS. Diese prüft die in der DNS-Zone hinterlegten Informationen auf Echtheit und stellt sicher, dass ein Angreifer die DNS-Antworten nicht zu seinen Gunsten manipulieren kann. Mit zwei verschiedenen Schlüsseln und einer entsprechenden Signatur werden die Daten des DNS geschützt. Der Empfänger kann den Absender anhand der verwendeten Signaturen genau verifizieren. Ist die Signatur nicht gültig, blockiert der DNS-Server des Providers die Antwort. DNSSEC lässt sich nicht für jede Domain auflösen und ist deshalb weltweit nur wenig verbreitet.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

DNS-based Authentification of Named Entities (DANE)[RFC 6698]

Das Protokoll DANE ist eine weitere Technik, die auf DNSSEC basiert. Diese Technik erweitert den Grundschutz von TLS-Verbindungen um eine kryptografische Verknüpfung von Zertifikaten mit DNS-Namen. Dadurch soll geprüft werden, ob ein E-Mail-Server verschlüsselte Verbindungen aufbauen und authentifizieren kann. Eine Man-in-the-middle-Attacke, bei der die Nachricht zunächst auf den Server eines Angreifers gelangt, soll damit verhindert werden. Der DANE-Eintrag wird in der DNS-Zone unter einem TLSA-Record abgelegt, in welchem unterschiedliche Merkmale der jeweiligen TLS-Verbindung enthalten sind. Diese Merkmale spezifizieren das Zertifikat, welches ein Server erwarten muss, wenn dieser sich mit dem E-Mail-Dienst des jeweiligen E-Mail-Servers verbindet. Für viele Domain-Administratoren ist DANE jedoch nicht implementierbar, da nicht jede Domain per DNSSEC auflösbar ist.

SMTP MTA Strict Transport Security (MTA-STS) [RFC 8461 ]

Die Verbindungen zwischen den Servern sind bislang weitgehend ungeschützt. Damit fehlt ein wichtiger Baustein für eine sichere Transportverschlüsselung. Dieses Problem erkannten offensichtlich auch große Mailhoster wie Google, Microsoft und Verizon Media Company (Yahoo, AOL) sowie 1&1, welche sich an der Entwicklung des neuen MTA-STS -Standards beteiligen. MTA-STS soll das oft nicht realisierbare DANE sowie das weitverbreitete STARTTLS ersetzen, da die Angriffe auf die Verfahren nicht mit absoluter Sicherheit ausgeschlossen werden können. Der neue Standard verspricht einen ähnlich sicheren Standard wie bei DANE, jedoch eine wesentlich leichtere Implementierung als mit DNSSEC. Für die Nutzung des Standards können die Betreiber von E-Mail-Servern eine Policy definieren, die mittels HTTPS [RFC2818] vom sendenden Mail Transfer Agent (MTA) abgerufen werden kann. Die aktuelle Version wird durch einen TXT-Datensatz in der Policy angezeigt. Diese TXT-Datensätze enthalten zusätzlich ein ID-Feld, anhand dessen die sendende MTA die zwischengespeicherte Policy nach Aktualität prüfen kann, ohne dabei eine HTTPS-Verbindung anfordern zu müssen. Um herauszufinden, ob eine Empfängerdomäne MTA-STS implementiert, muss der Sender lediglich einen TXT-Datensatz auflösen und den TXX-Record mit dem Label „_mta-sts“, erkennen (z. B. “_mta-sts.example.com“).  Der wesentliche Unterschied zu DANE und STARTTLS ist, dass die Ergebnisse von DNS-Abfragen in einem Cache gespeichert werden, sodass Manipulationen bei späteren Verbindungsversuchen während der Vorhaltezeit mit sehr hoher Wahrscheinlichkeit aufgedeckt werden.

Fazit – Hornetsecurity bietet höchste E-Mail-Sicherheit

Aktuelle Ereignisse zeigen, dass die weitverbreiteten Sicherheitsprotokolle wie TLS allein keine sicheren Verbindungen zwischen E-Mail-Servern garantieren können. Bisherige Verbesserungen wie DANE und DNSSEC können sich u.a. aufgrund technischer Schwierigkeiten in der Umsetzung weltweit nicht flächendeckend ausdehnen.

Mit den standardisierten Absenderreputationsverfahren wie SPF, DKIM und DMARC bietet der E-Mail-Service von Hornetsecurity einen sicheren Schutz gegen Cyber-Angriffe auf die E-Mail-Kommunikation. Die vom BSI und TeleTrusT empfohlenen Standards zur sicheren E-Mail-Authentifizierung wurden bereits zuvor vollständig implementiert und finden erfolgreich Anwendung in den Hornetsecurity-Produkten wie dem Spam- sowie dem Content-Filter. Für eine sichere E-Mail-Kommunikation ist es sinnvoll auf den zusätzlichen Schutz der Inhaltsverschlüsselung mittels S/MIME (Secure / Multipurpose Internet Mail Extensions) oder PGP (Open Pretty Good Privacy) zu setzen. Die sogenannten PKI-basierten E-Mail-Verschlüsselungen stellen die Vertraulichkeit der übermittelten Nachrichten zwischen Absendern und Empfängern sicher und schützen die transportierten Daten mittels kryptografischer Verschlüsselungsmethoden. Der Hornetsecurity Verschlüsselungsservice bietet diesen Schutz direkt in der Cloud und sichert somit den Transportweg vollständig ab.

Der MTA-STS-Standard ist relativ neu und soll den Transportweg von E-Mails unter Zuhilfenahme bereits bekannter Techniken wie HTTPS besser schützen und Methoden zur Erkennung irregulärer Zugriffe bereitstellen. Die leichte Implementierung sowie die rasche Verbreitung steigern derzeit die Akzeptanz des Standards, dessen Sicherheitspotenzial momentan mehr und mehr Mail-Administratoren begeistert.

Literataur

[1] BSI – Bundesamt für Sicherheit und Technik: “E-Mail-Sicherheit” In: EMPFEHLUNG: INTERNET-DIENSTLEISTER. [online] https://www.allianz-fuer-cybersicherheit.de (abgerufen am 03.12.2018). [2] ECO – Verband der deutschen Internetwirtschaft e. V.: “Gutachten zur Vereinbarkeit von DMARC mit dem deutschen Recht”. [online] https://www.eco.de/wp-content/blogs.dir/26/files/dmarc_rechtsgutachten.pdf (abgerufen am 03.12.2018) [3] Heise Developer: “Internet-Protokolle, Teil 1: TCP/IP, der Grundstein für Anwendungsprotokolle”. [online] https://www.heise.de/developer/artikel/Internet-Protokolle-Teil-1-TCP-IP-der-Grundstein-fuer-Anwendungsprotokolle-2548919.html?seite=all (abgerufen am 03.12.2018) [4] Heise Security: “Kryptographie in der IT – Empfehlungen zu Verschlüsselung und Verfahren”.[online] https://www.heise.de/security/artikel/Kryptographie-in-der-IT-Empfehlungen-zu-Verschluesselung-und-Verfahren-3221002.html?seite=all (abgerufen am 03.12.2018). [5] IEFF – Internet Engineering Task Force: “Sender Policy Framework (SPF) for Authorizing Use of Domains in Email”, [online] https://tools.ietf.org/html/rfc7208 (abgerufen am 03.12.2018) [6] IEFF – Internet Engineering Task Force: “Domain-based Message Authentication, Reporting, and Conformance (DMARC)”. [online] https://tools.ietf.org/html/rfc7489 (abgerufen am 03.12.2018) [7] IEFF – Internet Engineering Task Force: “DomainKeys Identified Mail (DKIM) Signatures”. [online] https://tools.ietf.org/html/rfc6376 (abgerufen am 03.12.2018) [8] IEFF – Internet Engineering Task Force: “SMTP MTA Strict Transport Security (MTA-STS)”. [online] https://tools.ietf.org/html/rfc8461 (abgerufen am 03.12.2018) [9] Stefan Cink | Net at Work GmbH: “SPF, DKIM, DMARC und DANE: E-Mail-Sicherheit durch geschützte
Zustellung”. In: Management und Wissen. [online] https://www.nospamproxy.de/wp-content/uploads/E-Mail-Sicherheit-mit-Absenderreputation-durch-geschuetzte-Zustellung-Stefan-Cink.pdf (abgerufen am 03.12.2018) [10] Sven krohlas | BFK edv-consulting GmbH: “Umverpackung. E-Mails auf dem Transportweg schützen”. [online] https://www.heise.de/select/ix/2018/12/1543727185822371 (abgerufen am 03.12.2018)

Weiterführende Informationen:

fly-tech – Unser Partner rüstet auf

fly-tech – Unser Partner rüstet auf

Hornetsecurity’s Partner fly-tech IT GmbH & Co. KG aus Friedberg steigt auf zum Excellence Partner.

Seit Jahren bauen wir auf unseren wichtigsten Vertriebskanal – unsere Partner. Eine besonders gute und erfolgreiche Zusammenarbeit wird im Rahmen unseres Hornetsecurity-Partnerprogramms honoriert. Auch in diesem Jahr freut es uns, einem weiteren Partner den höchsten Status „Excellence Partner“ verleihen zu dürfen.

Die gute und langjährige Zusammenarbeit zwischen Hornetsecurity und fly-tech zahlte sich nun aus. Am 07.09.2018 haben wir dem tatkräftigen Vertriebspartner im Rahmen des Hornetsecurity Partnerdialogs offiziell die begehrte Auszeichnung „Excellence Partner“ verliehen. Damit reiht sich fly-tech neben den Partnern Portformance GmbH und SYMPLASSON Informationstechnik GmbH, die bereits letztes Jahr ausgezeichnet wurden, in die höchste Partnerstufe ein.

„Ich freue mich sehr der fly-tech in diesem Jahr den höchsten Partnerstatus verleihen zu dürfen und blicke gespannt auf die weitere gute und enge Zusammenarbeit in den nächsten Jahren.“, sagt der betreuende Partnermanager Tassilo Totzeck.

„Hornetsecurity ist für uns ein gesetzter Partner im Bereich E-Mail und Internet-Sicherheit. Wir schätzen die sehr enge und gute Zusammenarbeit sowie die stets freundliche Kommunikation auf Augenhöhe.“, so Özcan Sahin von fly-tech. Mit Fokus auf den Spamfilter- und Archivierungsservice sowie Advanced Threat Protection vertreibt das Systemhaus die Hornetsecurity-Produkte bereits seit 9 Jahren erfolgreich an seine Kunden. „Unsere Kunden und wir schätzen die zuverlässigen, unkomplizierten Services aus einer Hand und das intuitiv leicht zu bedienende Control Panel.“

Auch zukünftig möchte sich der IT-Dienstleister als führender Security-Anbieter im Raum Süd-Deutschland etablieren und ist darauf aus, dass jeder fly-tech Kunde mindestens einen Hornetsecurity-Service nutzt.

Hornetsecurity Excellence Partner

An fly-tech verliehene Excellence Partner Auszeichnung von Hornetsecurity

Tassilo Totzeck - Hornetsecurity

Tassilo Totzeck bei der Verleihung der begehrten Excellence Partner Auszeichnung

CONTENT FILTER 2.0 – Der Sicherheitsbeauftragte für Ihren Datentransfer

CONTENT FILTER 2.0 – Der Sicherheitsbeauftragte für Ihren Datentransfer

Mit dem Update auf die Version 2.0 steht der aktualisierte Content Filter gegen unerwünschte E-Mails mit betrügerischen Attachments für neue Herausforderungen bereit. Damit passt sich der E-Mail Service von Hornetsecurity auf die momentane Bedrohungslage an und bietet neben dem verlässlichen Spam- und Virenfilter zusätzliche Schutzmechanismen für einen sicheren Datentransfer.

Das Landeskriminalamt Niedersachsen warnt aktuell vor vermehrt aufkommenden E-Mails mit betrügerischen Bewerbungsinhalten. Die E-Mails richten sich explizit an Unternehmen mit ausgeschriebenen Stellenangeboten und gefährden insbesondere Personalabteilungen, die in Bewerbungsprozesse involviert sind. Den seriös formulierten E-Mails sind angebliche Bewerbungsunterlagen in Form von Archivdaten angehängt. Werden diese Dateien entpackt, kommen aber keine Bewerbungsunterlagen zum Vorschein, sondern gefährliche Malware, die das System infiziert.

Sicherer Datentransfer mit dem Content Filter von Hornetsecurity

Mit dem Content Filter von Hornetsecurity lassen sich effektive Schutzmaßnahmen gegen unerwünschte Dateianhänge ergreifen. Neben dem generellen Schutz durch den Spam- und Virenfilter können im Content Filter individuelle Einstellungen zu Anhängen von ein- und ausgehenden E-Mails vorgenommen werden. Mit der Aktualisierung des Content Filters auf die Version 2.0 werden nun auch verschachtelte Archive überprüft. Definierte Regeln können wie bisher für die gesamte Domain oder für bestimmte Benutzergruppen angewendet werden. Dadurch lassen sich besonders gefährdete Gruppen im Unternehmen vor aktuellen Angriffen bewusst schützen.

Einfache Einstellung – sicherer Datentransfer

Der Content Filter bietet eine unkomplizierte Handhabung für das Management von E-Mail-Anhängen. Unerwünschte Dateiformate, wie beispielsweise ausführbare Dateien sind unter dem Sammelbegriff .executable zusammengefasst und können bei der erstmaligen Einrichtung aus einer vordefinierten Liste mit nur wenigen Klicks ausgewählt werden. Zusätzliche Dateiformate, die nicht unter einen der Sammelbegriffe fallen, können bei Bedarf ergänzt werden. Zudem ist es möglich die maximal zulässige Größe für betroffene E-Mail-Anhänge individuell zu konfigurieren.

Hornetsecuity Content Filter 2.0

Abb. 1: Einstellungen im Content Filter für ein- ausgehende E-Mails

Für den Anwendungsfall lassen sich zwei Aktionen zum Umgang mit den betroffenen E-Mails einstellen: E-Mail blockieren oder Attachment abschneiden. Zusätzlich können verschlüsselte Anhänge (encrypted Attachments), welche in gängigen Formaten wie PDF, ZIP, RAR etc. vermehrt vorkommen, explizit verboten werden (Abb. 1). Archiv-Dateien, die innere Verschachtelungsstrukturen in Form von weiteren Archiven aufweisen, werden bis zur sicherheitsrelevanten Ebene analysiert und bewertet. Weiterhin beinhaltet der Content Filter einen automatisierten Abgleich von Dateiendungen mit dem mitgelieferten MIME-Type, welcher sich bei verdächtigen E-Mail-Attachments von der Dateiendung signifikant unterscheiden kann.

Greift der Content Filter ein und entfernt einen verdächtigen Anhang, so verändert er damit den Ursprungszustand der Nachricht. Bei signierten E-Mails führt das aktive Eingreifen des Content Filters dazu, dass die Signatur beschädigt wird. Sollte dieser Fall eintreten, informiert der Content Filter den Empfänger und gibt an, ob die Signatur vor der Veränderung gültig war (Abb. 2). Liegt das Zertifikat der signierten E-Mail jedoch auf unseren Systemen vor, so wird die E-Mail, deren Signatur durch das Abschneiden des Dateianhangs gebrochen wurde, wieder neu signiert und behält damit ihre Gültigkeit.

Abb. 2: Gültige Signatur nach dem Abschneiden des Anhangs

Der Content Filter kann für alle Partner und Kunden von Hornetsecurity zusätzlich zum Spam und Virenfilter aktiviert werden.

ATP – das interoperable Komplement für einen umfangreichen Schutz

Die aktuelle Bedrohungslandschaft vorkommender Malware reicht von Ransomware bis hin zum Cryptominern und verändert sich stetig weiter. Spam,- Viren-, und Content Filter liefern eine solide Basis gegen Cyberattacken. Bei gezielten und besonders ausgeklügelten Angriffen auf Unternehmen bieten diese Filter keinen hundertprozentigen Schutz. Es werden weitere Schutzmechanismen benötigt, die sich auf die stetig wandelnden Angriffsarten und Malware-Typen anpassen. Durch die Kombination aus interoperablen Filtern von Hornetsecurity kann der Schutz gegen spezifische Cyber-Angriffe in vollem Umfang erzielt und für die Unternehmen nachhaltig gesichert werden.

Als Ergänzung zum Spam- und Virenfilter bietet Advanced Threat Protection (ATP) von Hornetsecurity einen zuverlässigen Schutz vor aktuellen Malware-Attacken. ATP integriert sich nahtlos in die bestehenden Filter aus der Hornetsecurity-E-Mail-Services und verfügt, im Vergleich zum Content Filter, über tiefgreifende Verhaltensanalysen von Dateiinhalten. Dank der integrierten ATP Engines wie der Sandbox, dem URL Rewriting und dem URL Scanning werden Angriffe, wie Targeted oder Blended Attacks, frühzeitig erkannt und notwendige Schutzmaßnahmen in Echtzeit eingeleitet. Als Beispiel können verdeckte, in Dateien infiltrierte Verlinkungen in einer isolierten Umgebung rekursiv verfolgt und die darin verborgenen Inhalte forensischen Analysen unterzogen werden. Bei Inhaltsmustern, die auf bösartige Absichten hindeuten wird das IT Sicherheitsteam des Unternehmens in Echtzeit benachrichtigt, um sofortige Schutzmaßnahmen vornehmen zu können.

Erpresser machen Kasse – und das ganz ohne Malware

Erpresser machen Kasse – und das ganz ohne Malware

Ihre Kreativität beweisen Online-Erpresser immer wieder aufs Neue. Mit einer aktuellen Spam-Welle setzen sie sogar noch einen drauf: Kriminelle versenden derzeit E-Mails, die ein echtes Passwort des Empfängers enthalten und bitten zur Kasse.

Erste Meldungen zu dieser Spam-Welle erschienen bereits Ende Juli. Heise Online stellt hier die äußerst erfolgreiche Masche vor:

In den E-Mails gibt der Erpresser an, im Besitz von angeblich existierenden Webcam-Aufnahmen des Empfängers zu sein, während dieser Seiten mit pornographischen Inhalten im Internet besucht hat. Um der Erpressung Nachdruck zu verleihen, gibt der Erpresser zudem an, das Passwort des Empfängers zu kennen.

Diese Masche ist zugegebenermaßen sehr schockierend und wird einige Empfänger zur Zahlung der geforderten Summe bewegt haben. Denn genau hier ist der Knackpunkt: Es handelt sich tatsächlich um ein echtes Passwort. Innerhalb der ersten Woche sollen schon über 50.000 US-Dollar über diese Spam-Welle eingegangen sein. Mittlerweile ist damit zu rechnen, dass die Erpresser weitaus mehr eingenommen haben.

Die E-Mail ist nach folgendem Muster aufgebaut:

„It appears that, (XX), is your password. May very well not know me and you are most likely wondering why you’re getting this e-mail, right?

In fact, I setup a viruses over the adult vids (adult porn) website and guess what, you visited this website to have fun (you really know what What i’m saying is). Whilst you were watching videos, your internet browser started out operating like a RDP (Remote Access) which provided me accessibility of your screen and webcam. after that, my software programs obtained all of your contacts from your Messenger, Outlook, FB, along with emails.

What did I do?

I produced a double-screen video clip. First part shows the video you’re watching (you have a good taste haha . . .), and Second part shows the recording of your webcam.

Exactly what should you do?

Well, I think, $1500 is really a reasonable price for our little secret. You will make the payment by Bitcoin (if you don’t know this, search “how to buy bitcoin” search engines like google). 

Bitcoin Address: 1MUCyUuh3YuqkdNbVPtTXNfJzahajctRou

(It’s case sensitive, so copy and paste it) 

Very important:

You’ve 1 day in order to make the payment. (I’ve a unique pixel in this e mail, and at this moment I am aware that you have read through this email message). If I don’t get the BitCoins, I will certainly send your video recording to all of your contacts including relatives, co-workers, and so forth. Having said that, if I get the payment, I’ll destroy the recording immidiately. If you need evidence, reply with “Yes!” and i’ll undoubtedly send your videos to your 6 contacts. It is a non-negotiable offer, that being said don’t waste my personal time and yours by answering this message.“

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Woher kennen Erpresser mein Passwort?

Die Passwörter stammen aller Wahrscheinlichkeit nach von früheren Phishing-Attacken. Als gehackte Websites gibt heise zum Beispiel Online-Dienste wie Yahoo, LinkedIn, eBay oder YouPorn an. Auch nach unseren Informationen lässt sich vor allem LinkedIn als Passwort-Quelle bestätigen.

In den meisten Fällen handelt es sich jedoch um alte Passwörter, die von dem Empfänger nicht mehr in Gebrauch sind.

Mit hoher Wahrscheinlichkeit stammen die Passwörter aus früheren Raubzügen diverser Webdienste, die vor zwei Jahren öffentlich im Netz zugänglich waren.

Entwarnung gibt es auch zur Webcam-Aufnahme: es existiert kein Video!

Wie schütze ich mich?

Wir raten Ihnen dringend davon ab, die geforderte Zahlung zu tätigen. Ratsam ist es auch, kein Passwort mehrmals zu verwenden. Oft gelangen vertrauliche Nutzerdaten wie E-Mail-Adressen und Passwörter in die Hände Krimineller, aufgrund geringer Schutzmaßnahmen seitens der Webdienste. Verwenden Sie ein Passwort gleich für mehrere Dienste, erhalten die Erpresser damit einen Freifahrtschein für Ihre Accounts. Weiterhin sollten Sie in regelmäßigen Abständen Ihre Passwörter ändern.

Weiterführende Informationen:

Schneller als das BSI – Hornetsecurity ist State of the Art in Sachen E-Mail-Sicherheit

Schneller als das BSI – Hornetsecurity ist State of the Art in Sachen E-Mail-Sicherheit

Mit den Hornetsecurity Services können die Forderungen des Bundesamtes für Sicherheit und Informationstechnik (BSI) effektiv und ohne großen Aufwand umgesetzt werden, damit Ihr Unternehmen vor Spam, Viren und Malware sowie gezielten, personalisierten Attacken geschützt ist.

Das BSI hat am 11.07.2018 die zweite Version der Handlungsempfehlungen zur E-Mail-Sicherheit für Internet-Service-Provider veröffentlicht. Laut der Veröffentlichung des BSI sind E-Mails auch heute noch das meistgenutzte Medium zur Übertragung von elektronischen Nachrichten. Dadurch werden E-Mails häufig aber auch zur Verbreitung von Schadsoftware verwendet. Das Wissenschaftliche Institut für Infrastruktur und Kommunikationsdienste (wik) hat in einer Studie festgestellt, dass jedes zweite kleine oder mittelständische Unternehmen bereits mit Problemen durch Virenangriffe zu kämpfen hatte. Das zeigt, dass es im Bereich der Abwehr von Cyberkriminalität noch immer viel Verbesserungspotenzial für Unternehmen gibt. Oftmals übersteigen die Kosten für den entstandenen Schaden die Investition in den Schutz um ein Vielfaches.

Um der Cyberkriminalität entgegenzuwirken, hat das BSI zahlreiche Handlungsempfehlungen für Internet-Service-Provider veröffentlicht. Von diesen Maßnahmen müssen nicht alle strikt umgesetzt, sondern an die jeweilige Situation und das Unternehmen angepasst werden. Ziel aller eingesetzten Maßnahmen ist jedoch immer, die E-Mail-Sicherheit von ein- und ausgehenden E-Mails zu gewährleisten und einen wirksamen Spam- und Virenschutz zu aktivieren und aufrechtzuerhalten. Hornetsecurity setzt das vom BSI geforderte Prinzip des „Baukastens“ bereits um und hat verschiedene Schutzmechanismen entwickelt, die sich individuell miteinander kombinieren lassen. Mit der Kombination der Mechanismen gewährleistet Hornetsecurity einen hoch wirksamen Schutz gegen Cyberkriminalität.

Besonderer Schutz mit Advanced Threat Protection (ATP) von Hornetsecurity

Angriffe auf Unternehmen durch E-Mails werden raffinierter und finden Lücken, die durch eine einfache Spam- und Virenfilterung nicht abgedeckt werden. Der bestehende Spam- und Virenfilter von Hornetsecurity filtert E-Mails mit einem mehrstufigen Filtersystem und erkennt 99,9 Prozent aller eintreffenden Spammails und 99,99 Prozent der eintreffenden Viren. Wenn aber eine gezielte Attacke auf einen Mitarbeiter durchgeführt wird oder verschiedene Angriffsmethoden miteinander kombiniert werden, greift der Spam- und Virenfilter nicht mehr und es müssen zusätzliche Schutzmaßnahmen ergriffen werden. Der finanzielle Schaden für Unternehmen durch solche Targeted oder Blended Attacks kann im schlimmsten Fall immens sein.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Mit ATP hat Hornetsecurity einen Service entwickelt, der speziell vor diesen Angriffen schützt und sich nahtlos in den bestehenden Spam- und Virenfilter integriert. So werden auch Dateien in Anhängen und nachgeladene Inhalte in der Sandbox überprüft. Zum Schutz vor Blended Attacks werden die Mechanismen URL Rewriting und URL Scanning verwendet. ATP übererfüllt damit sogar bei weitem die Forderung des BSI, E-Mails mit einem Virenschutzprogramm zu scannen.

Ergänzend empfiehlt das BSI, dass Kunden über Maßnahmen informiert werden müssen, die mit ihrer E-Mail durchgeführt worden sind. ATP informiert Kunden in Echtzeit über eingegangene Bedrohungen, sodass sie sofort Gegenmaßnahmen ergreifen können. Die Ex-Post-Alarmierung geht noch einen Schritt weiter und informiert das IT-Sicherheitsteam des Unternehmens, wenn eine zugestellte Nachricht nachträglich als schädlich eingestuft wurde.

E-Mail-Authentifizierung mit SPF, DKIM und DMARC

Das BSI gibt zudem Hinweise zur E-Mail-Authentifizierung und empfiehlt die Umsetzung von SPF, DKIM und DMARC. Zusätzlich zum schon seit langem implementierten SPF hat Hornetsecurity nun auch DKIM und DMARC eingeführt, um die E-Mail-Authentifizierung zu verbessern. Mit der Kombination aller drei Verfahren kann Hornetsecurity auch diese Forderung des BSI umsetzen.

Mit den Services von Hornetsecurity werden alle Forderungen des BSI erfüllt

Angriffe durch E-Mails werden komplexer, doch die kombinierten Services von Hornetsecurity bieten die Möglichkeit, die Forderungen des BSI sehr wirksam und einfach umzusetzen und Unternehmen vor hohem finanziellen Schaden oder dem Diebstahl von geheimen, unternehmensinternen Daten zu bewahren.

E-Mail-Verschlüsselung – Unser Leitfaden für die Umsetzung im Unternehmen

E-Mail-Verschlüsselung – Unser Leitfaden für die Umsetzung im Unternehmen

Zertifikate, signierte E-Mails, symmetrische- und asymmetrische Verschlüsselung, S/MIME, TLS und PGP – für viele, die sich nicht regelmäßig mit dem Thema E-Mail-Verschlüsselung beschäftigen, sind diese Begriffe lediglich böhmische Dörfer. Spätestens mit der neuen Datenschutzgrundverordnung (DSGVO) steht dieser Punkt allerdings ganz oben auf der To-do-Liste vieler Unternehmen. Insbesondere bei kleinen und mittelständischen Betrieben fehlt jedoch das nötige Wissen, um mit der Verschlüsselung ihrer E-Mail-Kommunikation die neuen Vorgaben umsetzen zu können. Hornetsecurity geht in diesem Beitrag auf einige grundlegende Begrifflichkeiten und Technologien rund um die E-Mail-Verschlüsselung ein.

Asymmetrische- und symmetrische E-Mail-Verschlüsselung – wo liegen die Unterschiede?

Betrachtet man die asymmetrische und symmetrische E-Mail-Verschlüsselung genauer, wird man sehr schnell feststellen, dass diese grundlegend verschieden sind. Im Wesentlichen unterscheiden sie sich durch die Anzahl und die Art der eingesetzten Schlüssel.

Bei der symmetrischen E-Mail-Verschlüsselung wird derselbe Schlüssel sowohl zum Ver- als auch zum Entschlüsseln der Mail genutzt. Das bedeutet, dass Absender und Empfänger einer E-Mail denselben Schlüssel besitzen und diesen gemeinsam verwenden. Somit ist dieses Verfahren zwar sehr einfach, aber seine Sicherheit ist essentiell an die Geheimhaltung der Schlüssel gebunden – gerät der Schlüssel in die Hände eines Dritten, kann dieser die gesamte Kommunikation entschlüsseln.

Bei der asymmetrischen E-Mail-Verschlüsselung kommen insgesamt vier Schlüssel zum Einsatz, jeweils ein Schlüsselpaar – ein öffentlicher und ein privater Schlüssel – pro Kommunikationspartner. Der öffentliche Schlüssel ist für jeden Kommunikationswilligen zugänglich und wird mit dem Zertifikatsaustausch übertragen. Er wird für die Verschlüsselung der Daten, in unserem Fall E-Mails, verwendet.

Um die verschlüsselten Daten wieder zu entschlüsseln, wird der zum öffentlichen Schlüssel zugehörige private Schlüssel benötigt. Das Schlüsselpaar steht zwar in einer mathematischen Abhängigkeit zueinander, praktisch ist es allerdings nahezu ausgeschlossen, sie zu errechnen.

S/MIME, PGP und TLS– was steckt hinter den Abkürzungen?

Bei PGP und S/MIME handelt es sich um asymmetrische Verschlüsselungsverfahren. Beide Verfahren haben einen entscheidenden Vor- und Nachteil. Der Vorteil ist, dass auch der E-Mail-Provider des Absenders und Empfängers keinen Einblick in die E-Mail hat. Der Nachteil hingegen ist, dass nur die Nachricht verschlüsselt wird. Absender und Empfänger sowie der Betreff lassen sich trotzdem auslesen.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Untereinander unterscheiden sich die E-Mail-Verschlüsselung mit S/MIME und PGP im Wesentlichen in der Ausstellung der Zertifikate. Während PGP (auch als OpenPGP bezeichnet) eine Open-Source-Lösung darstellt, bei der sich im Prinzip jeder seine eigenen Zertifikate erstellen kann, erfolgt die Zertifizierung bei S/MIME über offizielle Zertifizierungsstellen, die sogenannten Certificate Authorities (CA).

TLS unterscheidet sich nochmals grundlegend von der E-Mail-Verschlüsselung mit S/MIME oder PGP. Hier wird nicht die E-Mail selbst verschlüsselt, sondern lediglich die Verbindung zwischen den zwei kommunizierenden Servern. Auf dem Transportweg kann die E-Mail somit nicht abgegriffen werden, doch auf den jeweiligen Mailservern liegt sie unverschlüsselt vor.

E-Mail-Verschlüsselung umsetzen – es gibt nicht „den einen“ Weg

Alle Wege führen nach Rom – doch welche führen zu einer gesetzeskonformen E-Mail-Verschlüsselung? Tatsächlich bestehen für Unternehmen mehrere Möglichkeiten, diese umzusetzen. Die prominentesten sind so genannte On-Premise- sowie Cloud-Lösungen.

Bei den On-Premise-Lösungen erfolgt die Verschlüsselung der E-Mails direkt vor Ort, also bei den Unternehmen selbst. Dabei kann die E-Mail-Verschlüsselungssoftware von einem externen Anbieter zugekauft, angemietet oder auch ganz in Eigenregie betrieben werden. Dieses Verfahren bietet dem Unternehmen zwar eine hohe Transparenz und Entscheidungsfreiheit, zieht aber einen nicht zu unterschätzenden Verwaltungs- und Administrationsaufwand mit sich. Auch die Kosten für Wartung und Betrieb sind nicht unerheblich.. On-Premise-Lösungen gelten heutzutage als Auslaufmodell und werden zunehmend durch das moderne Cloud-Computing verdrängt.

E-Mail-Verschlüsselung bei Hornetsecurity

Grafik: E-Mail-Verschlüsselung mittels Cloud Computing (klicken zum Vergrößern)

Bei der Cloud-Computing-Alternative, auch „SaaS“-Lösung (Software as a Service) genannt, nimmt der Security-Provider dem Unternehmen sämtlichen Aufwand, wie etwa die Administration, die Verwaltung und den Betrieb, ab. Der gesamte E-Mail-Verkehr des Unternehmens wird dann über die Server des Security-Providers abgewickelt, so auch beim E-Mail-Verschlüsselungsservice von Hornetsecurity. Der Weg zwischen Mailserver des Kunden und dem Service-Provider ist per TLS geschützt. Diese Lösung zeichnet sich insbesondere durch den wegfallenden Verwaltungs- und Administrationsaufwand für ein Unternehmen aus. Um letztendlich eine vollständig abgesicherte E-Mail-Kommunikation zu gewährleisten, können und sollten TLS und S/MIME allerdings gleichzeitig verwendet werden. Nur so ist die E-Mail selbst, als auch ihr Transportweg verschlüsselt.

Weiterführende Informationen: