Wie man Domains schützt, die keine E-Mails versenden

Die Erstellung dieser spezifischen DNS-Einträge hilft, Domains, die keine E-Mails versenden, vor Domain-Spoofing-Angriffen zu schützen.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Erfahren, welche DNS-Einträge zum Schutz von Domains beitragen können, die keine E-Mails versenden
  • Beschreiben, wie diese Arten von DNS-Einträgen funktionieren
  • Die wichtigsten Komponenten dieser Arten von DNS-Einträgen verstehen

Link zum Artikel kopieren

So schützen Sie Domains, die keine E-Mails versenden

Domains, die keine E-Mails versenden, können immer noch für E-Mail-Spoofing- oder Phishing-Angriffe verwendet werden, aber es gibt bestimmte Arten von DNS-Text (TXT)-Einträgen, mit denen sich Angreifer abwehren lassen. Jeder dieser Einträge legt Regeln fest, wie nicht autorisierte E-Mails von Mail-Servern behandelt werden sollen, sodass es für Angreifer schwieriger wird, diese Domains zu manipulieren.

Ein DNS-TXT-Eintrag ermöglicht es Domain-Administratoren, Text in das Domain Name System (DNS) einzugeben. DNS-TXT-Einträge werden für Prozesse wie E-Mail-Authentifizierung verwendet, da sie wichtige Informationen speichern können, anhand derer Server bestätigen, ob eine Domain einen E-Mail-Absender autorisiert hat, Nachrichten in ihrem Namen zu versenden oder nicht.

Beispiele für Domains, die keine E-Mails versenden, sind Domains, die zum Schutz eines Markennamens oder für ein zukünftiges Unternehmen gekauft wurden. Auch veraltete Domains haben keinen Grund, E-Mails zu versenden, und könnten von dieser Art von Einträgen profitieren.

Welche verschiedenen Arten von DNS-TXT-Einträgen werden für E-Mail-Authentifizierung verwendet?

Es gibt drei Haupttypen von DNS-TXT-Einträgen, die für E-Mail-Authentifizierung verwendet werden. Jeder von ihnen unterscheidet sich leicht in seiner Funktionsweise:

  • In den SPF-Einträgen (Sender Policy Framework) sind alle IP-Adressen und Domainnamen aufgeführt, die berechtigt sind, im Namen der Domain E-Mails zu versenden.
  • DKIM-Einträge (DomainKeys Identified Mail) bieten eine digitale Signatur, um zu authentifizieren, ob der Absender die E-Mail tatsächlich autorisiert hat oder nicht. Diese digitale Signatur hilft auch dabei, On-Path-Angriffe zu verhindern. Bei diesen Angriffen fangen Angreifer die Kommunikation ab und verändern die Nachrichten für böswillige Zwecke.
  • Die DMARC-Einträge (Domain-based Message Authentication, Reporting and Conformance) enthalten die DMARC-Richtlinien einer Domain. DMARC ist ein System zur Authentifizierung von E-Mails durch Überprüfung der SPF- und DKIM-Einträge einer Domain. Die DMARC-Richtlinie legt fest, ob E-Mails, die die SPF- oder DKIM-Prüfung nicht bestehen, als Spam markiert, blockiert oder durchgelassen werden sollen.

Wie sehen diese DNS-Einträge aus?

Da diese DNS-Einträge alle etwas anders funktionieren, ist jede ihrer Komponenten einzigartig.

SPF

SPF-Einträge können so formatiert werden, dass Domains vor versuchten Phishing-Angriffen geschützt werden, indem alle von der Domain gesendeten E-Mails zurückgewiesen werden. Zu diesem Zweck muss ein SPF-Eintrag das folgende Format verwenden:

v=spf1 -all

*Beachten Sie, dass SPF-Einträge direkt auf der Domain selbst eingestellt werden, d. h. sie benötigen keine spezielle Subdomain.

Hier sehen Sie, was die einzelnen Komponenten dieses Eintrags

  • v=spf1 teilt dem Server mit, dass der Eintrag eine SPF-Richtlinie enthält. Alle SPF-Einträge müssen mit dieser Komponente beginnen.
  • Der Indikator -all teilt dem Server mit, was er mit nicht konformen E-Mails oder Absendern, die nicht explizit im SPF-Eintrag aufgeführt sind, tun soll. Bei dieser Art von SPF-Eintrag sind keine IP-Adressen oder Domains erlaubt, sodass -all besagt, dass alle nicht konformen E-Mails zurückgewiesen werden. Bei dieser Art von Eintrag werden alle E-Mails als nicht konform betrachtet, da es keine akzeptierten IP-Adressen oder Domains gibt.

DKIM

DKIM-Einträge schützen Domains, indem sie sicherstellen, dass E-Mails tatsächlich vom Absender mit einem öffentlichen und einem privaten Schlüssel autorisiert wurden. DKIM-Einträge speichern den öffentlichen Schlüssel, den der E-Mail-Server dann verwendet, um zu authentifizieren, dass die E-Mail-Signatur vom Absender autorisiert wurde. Für Domains, die keine E-Mails versenden, sollte der DKIM-Eintrag ohne einen zugehörigen öffentlichen Schlüssel konfiguriert werden. Unten sehen Sie ein Beispiel:

Name Typ Inhalt
*._domainkey.example.com TXT v=DKIM1; p=

 

  • *._domainkey.example.com ist der spezielle Name für den DKIM-Eintrag (wobei „example.com“ durch Ihre Domain ersetzt werden sollte). In diesem Beispiel wird das Sternchen (Wildcard genannt) als Selektor verwendet. Dabei handelt es sich um einen speziellen Wert, den der Provider des E-Mail-Dienstes generiert und für die Domain verwendet. Der Selektor ist Teil des DKIM-Headers und der E-Mail-Server verwendet ihn, um die DKIM-Suche im DNS durchzuführen. Der Platzhalter deckt alle möglichen Werte für den Selektor ab.
  • TXT gibt den Typ des DNS-Eintrags an.
  • v=DKIM1 legt die Versionsnummer fest und teilt dem Server mit, dass dieser Eintrag auf eine DKIM-Richtlinie verweist.
  • Der Wert p hilft bei der Authentifizierung von E-Mails, indem er eine Signatur mit ihrem öffentlichen Schlüssel verknüpft. In diesem DKIM-Eintrag sollte der Wert p leer bleiben, da es keine Signatur/keinen öffentlichen Schlüssel gibt, auf den zurückgegriffen werden kann.
  • DMARC

    DMARC-Richtlinien können auch zum Schutz von Domains beitragen, die keine E-Mails versenden, indem sie alle E-Mails zurückweisen, die SPF und DKIM nicht bestehen. In diesem Fall würden alle E-Mails, die von einer nicht für den E-Mail-Versand konfigurierten Domain gesendet werden, die SPF- und DKIM-Prüfungen nicht bestehen. Nachfolgend finden Sie ein Beispiel dafür, wie Sie eine Richtlinie auf diese Weise formatieren können:

    Name Typ Inhalt
    _dmarc.example.com TXT v=DMARC1;p=reject;sp=reject;adkim=s;aspf=s

     

    • Das Namensfeld stellt sicher, dass der Eintrag auf der Subdomain mit dem Namen _dmarc.example.com angelegt wird, die für DMARC-Richtlinien erforderlich ist.
    • TXT gibt den Typ des DNS-Eintrags an.
    • v=DMARC1 teilt dem Server mit, dass dieser DNS-Eintrag eine DMARC-Richtlinie enthält.
    • p=reject gibt an, dass E-Mail-Server E-Mails zurückweisen sollen, die DKIM- und SPF-Prüfungen nicht bestehen.
    • adkim=s steht für einen so genannten Ausrichtungsmodus. In diesem Fall ist der Ausrichtungsmodus auf „s“ für strict eingestellt. Ein strikter Ausrichtungsmodus bedeutet, dass der Server der E-Mail-Domain, die den DMARC-Eintrag enthält, genau mit der Domain in der Von-Kopfzeile der E-Mail übereinstimmen muss. Wenn dies nicht der Fall ist, schlägt die DKIM-Prüfung fehl.
    • aspf=s dient dem gleichen Zweck wie adkim=s, jedoch für die SPF-Ausrichtung.
    • Mit dem DNS-Assistenten von Cloudflare Email Security können Sie ganz einfach die korrekten DNS-TXT-Einträge einrichten und Spammer von der Nutzung einer Domain abhalten. Lesen Sie hier mehr über den Assistenten.