Blog: Herausforderungen bei der Authentisierung von E-Mails bleiben bestehen

28.01.2016

Studie unter Mitarbeit von Google zeigt Herausforderungen in Bezug auf E-Mail-Authentisierung.

Über die Studie der Universitäten von Illinois und Michigan zu E-Mail-Sicherheit in Zusammenarbeit mit Google habe ich bereits vor kurzem einen Blog-Artikel geschrieben. Die Untersuchung zeigt, dass die Nutzung von E-Mail immer sicherer wird – insbesondere durch die höhere Verbreitung von Verschlüsselungsverfahren wie TLS.

Allerdings ist Verschlüsselung nur ein Aspekt von E-Mail-Sicherheit, den die Studie beleuchtet. Sie befasst sich ausserdem mit der Authentisierung von Nachrichten und kommt zum Schluss, dass – obwohl sich Authentisierungsmechanismen immer mehr verbreiten – noch einiges zu tun bleibt.

Erweiterungen von SMTP notwendig

Ausgangspunkt der Untersuchung ist die Tatsache, dass E-Mail keine starke Authentisierung bietet. Das Simple-Mail-Transfer-Protokoll (SMTP), das E-Mails in Netzwerken überträgt, ist nicht für Authentisierung geeignet, genauso wenig wie für Verschlüsselung. Denn Sicherheitsaspekte waren bei der Entwicklung des Protokolls damals nicht massgebend.

Deswegen gibt es Erweiterungen des Protokolls, mit denen Nutzer die Authentizität einer Nachricht ermitteln und sich vor dem sogenannten Spoofing – bei dem der Absender eine andere Identität vortäuscht – schützen können. Mit der Erweiterung DKIM (DomainKeys Identified Mail) können SMTP-Server ermitteln, ob eine erhaltene Nachricht während der Übertragung Änderungen oder Spoofing zum Opfer gefallen ist. Mit SPF (Sender Policy Framework) gibt ein Unternehmen bekannt, welche Hosts autorisiert sind, für seine Unternehmensdomain E-Mails zu versenden.

Eine dritte Erweiterung, DMARC (Domain-based Message Authentication, Reporting, and Conformance), erlaubt die Festlegung von Richtlinien, die besagen, wie mit eingehenden E-Mails umgegangen wird. DMARC baut dabei auf die kombinierten Ergebnisse von SPF und DKIM auf und ist daher eine Ergänzung dieser beiden Erweiterungen.

Im Hinblick auf die Verbreitung der Protokollerweiterungen ergibt sich ein geteiltes Bild. So konnte Gmail zwar 94 Prozent aller eingehenden Nachrichten im April 2015 durch eine Kombination von SPF (83 Prozent) und DKIM (83 Prozent) validieren. Aber nur 47 Prozent aller Alexa-Top-Millionen Mail-Server nutzen SPF-Richtlinien, wovon fast ein Drittel (29 Prozent) viel zu weit gefasst ist und somit zehntausende Adressen umfasst. In Bezug auf DMARC ist das Bild noch frappierender, nur ein Prozent setzt eine DMARC-Richtlinie ein.

Bedrohung durch gefälschte Informationen

Das Hauptproblem nicht-authentisierter E-Mails ist, dass Nutzer anfällig für Angriffe wie MX-Fälschung bzw. DNS-Hijacking sind. Das bedeutet, dass böswillige Akteure E-Mails abfangen können, und diese entweder gar nicht an den intendierten Empfänger weiterleiten oder erst nachdem sie die Nachricht verändert und/oder ihr Malware hinzugefügt haben.

In der Google-Studie wurden bösartige DNS-Server gefunden, die betrügerische Routing-Informationen an Mail-Server übermitteln, die auf der Suche nach der richtigen Adresse von Gmail-Servern sind. Diese kriminellen Server funktionieren wie ein Telefonbuch – aber anstatt die richtige Nummer bekannt zu geben, veröffentlichen sie vorsätzlich falsche Telefonnummern für einen bestimmten Teilnehmer – in diesem Fall Gmail.

Der Web-Riese resümiert, dass diese Art von Angriff zwar selten sei, dafür aber „sehr beunruhigend, da er Angreifern die Zensur oder Fälschung von Nachrichten ermöglichen könnte, bevor diese an den E-Mail-Empfänger übertragen werden“.

Die Untersuchung ergab, dass 178,439 (2,01 Prozent) von insgesamt 8.860.639 öffentlich zugänglichen DNS-Servern falsche IPs für Domains wie gmail.com, yahoo.com, outlook.com, qq.com und mail.ru veröffentlichten. Nachdem Hosts ausgeschlossen wurden, die offenbar nicht richtig konfiguriert waren, blieben 14.600, die ungültige Angaben für Mail-Server machen und auf insgesamt 1.150 einzelne gefälschte Mail-Server hinweisen.

Die Verfasser der Untersuchung können keine valide Aussage darüber treffen, wie viele der übertragenen Nachrichten abgefangen wurden. Sie können allerdings die Menge der bei Gmail eingehenden Nachrichten schätzen, die von gefälschten Mail-Servern versandt wurden. Ein Ländervergleich zeigt, dass die Slowakei das am stärksten von DNS-Fälschungen betroffene Land ist. 0,08 Prozent der von dort bei Gmail eingehenden E-Mails kommen von IP-Adressen, auf die durch falsche Gmail-DNS-Einträge gezeigt wird.

Anstrengungen müssen fortgesetzt werden

In Anbetracht von Herausforderungen wie DNS-Hijacking und STARTTLS-Stripping hat Google Warnungen an die Gmail-Nutzer angekündigt, für die Fälle, dass eine Nachricht über eine unverschlüsselte Verbindung übertragen wurde.

Das ist ein guter Schritt, um das Bewusstsein der Nutzer für diese Probleme zu schärfen. Allerdings ist die Ankündigung von Google aus meiner Sicht etwas unpräzise, da nur von nicht-verschlüsselten Verbindungen die Rede ist, nicht aber von unzureichend authentisierten E-Mails. Ich vermute, das liegt daran dass der Durchschnittsnutzer über die Details und den Unterschied nicht unbedingt informiert ist.

Ich bin gespannt zu sehen, wie die Warnungen von Google dann wirklich aussehen werden und ob vielleicht doch zwischen mangelnder Verschlüsselung und mangelnder Authentisierung unterschieden wird.

Vielleicht ist der Grund für diesen einseitigen Fokus auf Verschlüsselung auch, dass sich bei der Authentisierung mit insgesamt drei Erweiterungen, die sich teilweise überschneiden, noch ein wesentlich weniger klares Bild ergibt als beim Thema Verschlüsselung mit der mittlerweile etablierten Erweiterung STARTTLS.

In jedem Fall haben Google und die beiden Universitäten einen wichtigen Schritt getan, indem sie Aufmerksamkeit auf die Herausforderungen für sichere E-Mails gerichtet haben. Dadurch hoffen die Verfasser der Studie, weitere Forschungen voranzutreiben, damit E-Mail-Sicherheit auch in den kommenden Jahren oberste Priorität hat.


von Marcel Mock, CTO, totemo ag