Warum mag Google meine Mails nicht

In Zeiten von SARS-CoV-2, in denen viele von uns zu Hause arbeiten, sind wir froh um jede erfreuliche Nachricht von aussen. Sei’s die Ankündigung eines Paketes durch die Post, Informationen vom Internet-Provider über die gratis vergrösserte Bandbreite oder das neueste Angebot des Lieblings-Streaming-Anbieters. Doch beinhalten diese Mails auch wirklich immer nur gute News? Auch die Versender von Phishing-Mails haben natürlich gemerkt, dass wir zu Hause Ablenkung suchen oder eventuell im Home-Office nicht so gut vor Angriffen geschützt sind wie im Büro.

Das Thema heute soll also Phishing sein und wie wir dies erkennen können.

Die wichtigste Massnahme gegen Phishing ist noch immer eine Schulung der Benutzer. Dazu gibt es verschiedenste gute Informationen im Netz. Doch soll es hier primär um die technischen Aspekte gehen. In früheren Artikeln habe ich bereits darüber geschrieben, was die Mail-Authentisierungsverfahren SPF, DKIM und DMARC sind und was es für Fallstricke bei der Implementierung zu beachten gilt (www.tec-bite.ch/warum-mag-google-meine-mails-nicht/).

Bei den technischen Erkennungsversuchen von Phishing gibt es zwei Aspekte.

    • Zum einen wollen wir verhindern, dass sich ein Unberechtigter als mich (Post, Rechnungssteller, Dienstleister) ausgibt und meinen guten Ruf dazu ausnutzt, den Empfänger dazu zu bringen, etwas Unüberlegtes zu tun.
    • Zum anderen wollen wir eingehende Mails von Dritten als authentisch erkennen, bzw. gefälschte Mails blockieren.

Die sauberste Variante dazu ist die elektronische Signatur aller Mails mittels S/MIME (oder auch OpenPGP). Dazu gibt es gute Mailverschlüsselungsgateways, welche diese Arbeit übernehmen, ohne dass sich die Benutzer gross damit beschäftigen müssten.

Doch wir wollen uns wieder einmal mit SPF, DKIM und DMARC beschäftigen. Wenn wir diese Mail-Authentisierungsverfahren korrekt umsetzen, so machen wir den Phishern das Leben etwas schwerer, können unsere eigenen Domains schützen und dazu auch noch die Chancen vergrössern, dass unsere Mails von grossen Mailanbietern wie Gmail und Office 365 nicht als Spam aussortiert werden.


A practical guide to implement SPF, DKIM, DMARC

Am Beispiel eines Cisco ESA Mailgateways (ehemals IronPort) will ich zeigen, wie man SPF, DKIM und DMARC für ein- und ausgehende Mails korrekt konfiguriert. Wie die Verfahren im Detail funktionieren, habe ich in älteren Blog Artikeln erläutert.

Aktuell ist dies erst ein grober Überblick, welcher für jedes Mailsystem gültig ist. In den nächsten Wochen werde ich die einzelnen Schritte mit detaillierteren Konfigurationshinweisen für die Cisco ESA ergänzen.

 

Überprüfung eingehender Mails

Übersicht

  1. Überprüfung von SPF, DKIM, DMARC eingehender Mails im Monitoring Mode / Logging
  2. Einrichten von DMARC Feedback
  3. Enforcement von Regeln, Filter aktivieren und ungültige Mails blockieren

 

Konfiguration ESA
(Weitere Details werden noch folgen)

Überprüfung von SPF, DKIM, DMARC eingehender Mails im Monitoring Mode / Logging

 

SPF

  • Mail Policies => Mail Flow Policy => ACCEPTED und THROTTLED
    • SPF/SIDF Verification: On
    • Conformance Level: SPF
    • Downgrade PRA verification results if ‚Resent-Sender:‘ or ‚Resent
    • From:‘ were used: No
    • HELO Test: On

 

DKIM

  • Mail Policies => Mail Flow Policy => ACCEPTED und THROTTLED
    • DKIM Verification: On
    • DKIM Profile: DEFAULT
  • Mail Policies => Domain Keys Verification Profiles
    • Alles auf default belassen

 

DMARC

  • Mail Policies => Address Lists
    • Add Address List: DMARC_whitelist
    • Domains only oder Full Email Addresses only
  • Mail Policies => DMARC
    • Global Settings
      • Specific senders bypass address list: DMARC_whitelist
      • Bypass verification for messages with headers: List-ID, List-Subscribe
      • Entity generating reports: Der entsprechende Domainname (z.B. avantec.ch)
      • Contact Information for Reports: eine eigene Kontaktadresse angeben
      • Send Copy of All Aggregate Reports to: none
      • Error Reports: aktivieren
    • DMARC Verification Profile DEFAULT
      • Message Action when the Policy in DMARC Record is Reject
        • Testbetrieb: No Action
        • Produktion: Reject
      • Message Action when the Policy in DMARC Record is Quarantine
        • Testbetrieb: No Action
        • Produktion: Quarantine
      • Action for Failures
        • accept
  • System Administration => Return Addresses
    • DMARC Feedback: Absenderaddresse der Feedback Reports angeben
  • Mail Policies => Mail Flow Policy => ACCEPTED und THROTTLED
    • DMARC Verification: On
    • DMARC Profile: DEFAULT
    • Send aggregate feedback reports

Einrichten von SPF, DKIM, DMARC für ausgehende Mails

Übersicht

    1. Erstellen eines Inventars aller benutzter und unbenutzter eigener Domains
    2. Erstellen einer Liste aller autorisierter Mailserver
      • Bei einer mittleren bis grösseren Unternehmung sind dies die Mailgateways, welche üblicherweise sowohl Mails empfangen wie auch verschicken. Also die als MX im DNS publizierten MTA.
      • Weitere eigene Systeme, welche Mails verschicken. Z.B. Webserver, welche ein Kontaktformular verschicken.
      • Extern genutzte Systeme wie Newsletter-Versender, Salesforce, …
      • Maildienstleister wie Office 365 Hosted Exchange oder Gmail.
    3. Publizierung von SPF Records mit offener Policy (mit ?all am Schluss)
    4. Implementierung von DKIM (Cisco ESA, Symantec ESS)
      1. Key generieren
      2. Key im DNS publizieren
      3. Mails mit DKIM signieren
    5. Implementierung von DMARC im Monitoring Mode
      1. Feedback Adresse angeben: ruf/rua
      2. Policy p=none
    6. DMARC Feedback auswerten und eigene Maillogs auswerten (wer schickt von extern Mails mit eigener Domäne)
    7. SPF Einträge ergänzen
    8. Externe legitime Mailversender dazu bringen, Mails korrekt mit dedizierten DKIM Key zu signieren, korrekte Mailadressen zu verwenden, …
    9. Enforcement:
      1. SPF Records mit -all am Schluss
      2. DMARC Policy p=reject oder p=quarantine

 

Konfiguration ESA

Weitere Details folgen.


Links

SPF/DKIM/DMARC oder warum Google meine Mails nicht mag, Teil 1 (SPF): www.tec-bite.ch/warum-mag-google-meine-mails-nicht/

SPF/DKIM/DMARC oder warum Google meine Mails nicht mag, Teil 2 (DKIM): www.tec-bite.ch/warum-mag-google-meine-mails-nicht-teil-2/

SPF/DKIM/DMARC oder warum Google meine Mails nicht mag, Teil 3 (DMARC): www.tec-bite.ch/warum-mag-google-meine-mails-nicht-teil-3/


History

7.5.2020: Erste Version

Der Beitrag A practical guide to implement SPF, DKIM, DMARC on Cisco ESA erschien zuerst auf Tec-Bite.