E-Mail-Authentifizierung und -Verschlüsselung

  • Aktualisiert

Versender können von verschiedenen Arten von Online-Missbrauch betroffen sein. Dazu gehören die Manipulation von Absender-Domains oder E-Mail-Inhalten sowie das Versenden von Spam-Nachrichten im deren Namen. Um dies zu verhindern, wendet Optimizely eine Reihe von E-Mail-Authentifizierungs- und Verschlüsselungstechniken an.

E-Mail-Authentifizierung

Ein wesentlicher Aspekt der E-Mail-Zustellung ist die E-Mail-Authentifizierung. ISPs und die meisten E-Mail-Server entscheiden im Allgemeinen anhand eigener Sicherheitsrichtlinien über die Glaubwürdigkeit und Authentizität Ihrer E-Mails. Darüber hinaus ist die E-Mail-Authentifizierung eine technische Methode zur Identifikation von Spam und um herauszufinden, ob eine E-Mail tatsächlich vom Absender gesendet wird. ISPs, Firmen und Organisationen verwenden diese technischen Standards, um schädliche E-Mails wie Phishing und Spam zu blockieren.

IP-basierte Authentifizierung

Optimizely stellt die Einhaltung aller wichtigen technischen E-Mail-Standards sicher, um die bestmögliche Zustellung Ihrer E-Mails gewährleisten zu können. Dazu gehört zum einen die Authentifizierung unserer Versand-Infrastruktur. Sie schafft Sicherheit und Vertrauen beim E-Mail-Versand mittels Simple Mail Transfer Protocol (SMTP).

Reverse DNS (rDNS bzw. PTR)

Der Reverse-DNS-Eintrag, auch PTR-Eintrag genannt, gibt einer Versand-IP-Adresse einen Host- und Domainnamen. Neben der einfacheren Lesbarkeit führt dies vor allem zu einer besseren Rückverfolgbarkeit und Glaubwürdigkeit eines ausgehenden E-Mail-Servers. Gibt eine Reverse-DNS-Abfrage die Meldung No domain associated zurück, wird die E-Mail wahrscheinlich vom empfangenden ISP gefiltert, gebounced oder gelöscht.

Reverse-DNS-Einträge sind standardmäßig gesetzt.Es sind keine weiteren Maßnahmen von Ihrer Seite erforderlich.

Domain-basierte Authentifizierung

Um eine optimale Zustellbarkeit gewährleisten zu können, muss Optimizely für den Versand von verifizierten E-Mails im Namen der von Ihnen ausgewählten Versand-Domain konfiguriert sein. Dies wird mithilfe von DNS-Einträgen auf Ihrer Domain umgesetzt, welche von Ihrem IT-Administrator verwaltet wird.

Informationen zur Domain-Delegation und Einrichtung von Versand-Domains einschließlich der erforderlichen DNS-Einträge finden Sie auf Optimizely World.

Sender Policy Framework (SPF)

Der SPF-Eintrag ermöglicht das Erkennen von E-Mail Spoofing und schützt Sie damit vor Spam-Angriffen durch Missbrauch Ihrer Versand-Domains. Die im Include-Datensatz veröffentlichte Domain beinhaltet alle Optimizely Versand-IP-Ranges, für welche Sie damit den Versand von Ihrer Versand-Domain authorisieren. Der SPF-Eintrag verifiziert die IP-Adressen des Absenders und ermöglicht es dem Domain-Administrator zu bestimmen, welche IP-Netzwerke E-Mails im Namen der angegebenen Domain versenden dürfen.

Der SPF-Eintrag wird als TXT-Eintrag auf der Returnpath-Domain wie t.example.com gesetzt.

Pflichtmäßiger Optimizely SPF-Eintrag

Type: TXTValue: v=spf1 include:spf.srv2.de -all

DomainKeys Identified Mail (DKIM)

DKIM arbeitet mit Informationen, die vom Domaininhaber in den DNS-Einstellungen der jeweiligen Domain gesetzt wurden. Mithilfe dieser Informationen kann der Empfangsserver überprüfen, ob eine E-Mail vom Inhaber der Domain gesendet wurde. Mithilfe einer digitalen Signatur überprüft der Empfänger außerdem, ob die Nachricht während der Übertragung verändert wurde.

Für die digitale Signatur einer Nachricht sind zwei Schlüssel erforderlich - ein privater Schlüssel, der in unserer Infrastruktur gespeichert ist und ausgehende Nachrichten signiert, und ein öffentlicher Schlüssel, der in den DNS-Einstellungen einer zu verwendenden Versand-Domain veröffentlicht wird. Die Domain des Optimizely DKIM-Eintrags enthält diesen öffentlichen Schlüssel.

Der DKIM-Eintrag wird als CNAME sowohl auf der technischen Returnpath-Domain wie t.example.com als auch auf der sichtbaren Versand-Domain wie example.com eingerichtet.

Pflichtmäßiger Optimizely DKIM-Eintrag

Type: CNAMEValue: dkim.srv2.de

Domain-Based Message Authentication Reporting and Conformance (DMARC)

Weitere Informationen zur DMARC-Implementierung finden Sie unter DMARC-Implementierung.

Der DMARC-Eintrag teilt dem Empfangsserver mit, welche E-Mail-Authentifizierungsmethoden vom Absender verwendet wurden und was ein ISP mit einer Nachricht tun soll, wenn diese Authentifizierungsmethoden fehlschlagen.

Mögliche DMARC-Policies:

  • p=reject weist den Empfänger an, eine E-Mail abzulehnen, die sich nicht mit SPF und DKIM authentifizieren kann (empfohlen)
  • p=quarantine weist den Empfänger an, eine E-Mail zu filtern, die sich nicht mit SPF und DKIM authentifizieren kann
  • p=none weist den Empfänger an, keine spezielle Policy auf eine E-Mail anzuwenden, die sich nicht mit SPF und DKIM authentifizieren kann

Mit der Reject-Policy werden E-Mails, die ein nicht autorisierter Dritter im Rahmen eines Spam-Angriffs in Ihrem Namen zu senden versucht, einfach vom ISP blockiert. Darüber hinaus ermöglicht DMARC einem Absender, ein Reporting einzurichten. Auf diese Weise werden Sie benachrichtigt, wenn ein Authentifizierungsfehler und somit ein potenzieller Missbrauch Ihrer Domain auftritt.

Der DMARC-Record wird als TXT-Eintrag mit dem Präfix _dmarc zu der Domain angelegt, für welche DMARC Anwendung finden soll.

Pflichtmäßiger Optimizely DMARC-Eintrag

Domain: _dmarc.example.comType: TXTValue: v=DMARC1; p=reject; rua=mailto:dmarc@example.com;

Brand Indicators for Message Identification (BIMI)

Um BIMI zu verwenden, wenden Sie sich an die Kundenbetreuung.

BIMI verwendet einen auf Ihrem DNS-Server gesetzten Text-Eintrag und gibt durch sein Zusammenspiel mit dem DMARC-Eintrag den teilnehmenden E-Mail-Clients zu erkennen, dass Sie der wahre Absender sind. Der Unterschied zwischen BIMI und anderen Authentifizierungsmethoden besteht darin, dass hier eine Frontend-Visualisierung verwendet wird, indem der Mailbox-Provider Ihr Markenlogo im Posteingang des Benutzers anzeigt. Wenn eine Nachricht gesendet wird, sucht der ISP des Empfängers nach der BIMI-Textdatei. Wenn der ISP die Datei zur Überprüfung erfolgreich gefunden hat, wird das Logo Ihres Unternehmens im Posteingang des Empfängers angezeigt. Derzeit teilnehmende Postfachanbieter sind Google Mail, Comcast und Verizon (Yahoo, AOL usw.).

Für das BIMI-Setup gelten derzeit die folgenden Anforderungen:

  • DMARC-Eintrag mit Reject- oder Quarantine-Policy
  • Logo im SVG-Dateiformat (skalierbare Vektorgrafik)

Der BIMI-Record wird als TXT-Eintrag mit dem Präfix _bimi zu der Domain angelegt, für welche BIMI Anwendung finden soll. Darüber hinaus beginnt die Domain mit dem BIMI-Selektor, der derzeit auf den Wert default beschränkt ist.

Beispieldomain: default._bimi.example.com

Beispiel BIMI-Eintrag: v=BIMI1; l=https//www.example.com/logo.svg; a=;

E-Mail-Verschlüsselung

Verschlüsselung ist ein Sicherheitsmechanismus mittels Konvertierung von Informationen in Code, um den Zugriff auf diese Informationen durch nicht autorisierte Dritte zu verhindern. Sie wird auch zum Schutz von Daten während einer Übertragung verwendet. Zum Schutz werden die Informationen selbst und / oder der Transport in einen verschlüsselten Text umgewandelt, und nur autorisierte Parteien können sie wieder in einfache, lesbare Informationen übersetzen. So funktioniert auch die E-Mail-Verschlüsselung.

Transport Layer Security (TLS)

TLS ist das Upgrade von Secure Sockets Layer (SSL), einem Protokoll, mittels welchem sicher über Computernetzwerke kommuniziert wird. Das TLS Protocol gewährleistet die Verbindungssicherheit. Mittels TLS Handshake authentifiziert das Protokoll sowohl sendende als auch empfangende Server. Dies verhindert das sogenannte Snooping (Schnüffeln) während der Nachrichtenübertragung und schützt den Inhalt vor dem Lesen durch nicht autorisierte Dritte.

Basierend auf dem TLS-Protokoll wird der STARTTLS-Befehl verwendet, der dem Empfangsserver mitteilt, dass für die Übertragung der E-Mail eine vorhandene unsichere Verbindung in eine sichere Verbindung umgewandelt werden soll.

Bei dem von Optimizely verwendeten opportunistischen TLS-Mechanismus wird der Empfängerserver während der Übertragung gefragt, ob er TLS-verschlüsselte Nachrichten verarbeiten kann. Lautet die Antwort ja, wird die E-Mail mithilfe der TLS-Verschlüsselung gesendet. Wenn dies nicht möglich ist, wird die E-Mail ohne Verschlüsselung gesendet. Optimizely verwendet standardmäßig TLS Version 1.2, da diese die stärkste und gleichzeitig meist akzeptierte Verschlüsselung bietet, es sei denn, eine niedrigere Version ist nötig.

TLS-Verschlüsselung ist standardmäßig aktiviert.Es sind keine weiteren Maßnahmen von Ihrer Seite erforderlich.

Digitale Signatur

Mit DKIM verfügen Sie bereits über einen Mechanismus für digitale Signaturen. DKIM-Signaturen werden von Optimizelys Versandserver angewendet und von den Empfangsservern der ISPs überprüft. Sie garantieren die Authentizität Ihrer Versand-Domain.

Darüber hinaus können Sie auch E-Mails signieren, um den tatsächlichen Absender und nicht nur die Domain zu authentifizieren. Dazu können Sie ein S/MIME-Zertifikat einrichten, das dann für Ihre Empfänger sichtbar ist und von diesen überprüft wird.

Secure/Multipurpose Internet Mail Extensions (S/MIME)

S/MIME ist ein E-Mail-Signatur-Protokoll, mit dem die E-Mail-Signatur verbessert wird, indem Sie den tatsächlichen Absender einer E-Mail durch eine zeitgestempelte digitale Signatur nachweisen und den Inhalt ihrer E-Mails verschlüsseln und entschlüsseln können. S/MIME stellt sicher, dass Dateien beim Senden zwischen Netzwerken authentisch und geschützt bleiben.

Digitale Signaturen gewährleisten nur die Datenintegrität und beziehen sich nicht auf die Vertraulichkeit. Mit einer digitalen Signatur geschützte E-Mails werden weiterhin als einfacher Text gesendet. Die Nachrichtenverschlüsselung des S/MIME-Standards wird nicht unterstützt.

Siehe S/MIME-signierte E-Mails versenden.

S/MIME-Verschlüsselung ist eine optionale Funktion.Um S/MIME zu verwenden, wenden Sie sich an die Kundenbetreuung.