top of page

Spamschutz für GMAIL oder wie erhöhe ich die Sicherheit bei der eMail-Kommunikation

Aktualisiert: 11. Feb.

1971 wurde das erste eMail versendet. Seither sind Billionen gefolgt und einen Großteil davon bekommen wir user gar nicht zu Gesicht, denn sie landen in den Untiefen der Spam- und Viren-Quarantäne-Datenbanken. Werden dort analysiert, unschädlich gemacht und irgendwann entfernt. Immer stärkere Maschinen sorgen so für die Reinheit unserer MX-Postfächer.


Der Kampf gegen den Missbrauch des Email-Dienstes bleibt jedoch ein schwieriges Unterfangen. Denn die Täter finden immer neue Möglichkeiten, die Schutzmechanismen zu umgehen. Zudem wird die Rechnerleistung der eingesetzten Systeme immer besser. Daher rutschen dennoch immer wieder ungewollte eMails in unsere Inbox. Einer der Gründe ist, dass die wichtigsten Technologien zum Schutz nur sporadisch auf den Server installiert sind. Bevor ich auf das eigentliche Thema eingehe, daher kurz vorab eine BasisInfo zu den 3 wichtigsten Waffen im Kampf gegen Spam:


  1. SPF (Sender Policy Framework) dient dazu, die Mail anhand der IP Adresse des sendenden Mailservers zu validieren. Dazu wird ein DNS-Eintrag in der Zone der Email-Domäne erstellt, der die Systeme auflistet, welche berechtigt sind, in deren Namen Nachrichten zu versenden. Man muss sich, das ganze wie ein Postamt, welches Briefe für verschiedene Unternehmen und Organisationen versendet. Jedes Unternehmen hat seine eigene "Domäne", die als Adressierung auf den Umschlägen steht. Das Sender Policy Framework (SPF) ist wie eine Liste von Genehmigungen, die im Postamt hinterlegt sind, um sicherzustellen, dass nur autorisierte Absender Mails im Namen eines Unternehmens verschicken können. Zusammenfassend: SPF-Einträge schützen die eigene Domain davor, als Absender von Spam genutzt zu werden.

  2. DKIM (Domain Keys Identified Mail) ist eine zweite Variante. Ähnlich wie SPF wird die Email-Domäne der «mail from:» Adresse gepfüft. Allerdings wird nicht die IP Adresse des sendenden Servers verglichen, sondern die Nachricht und der Mail-Header werden digital signiert. Dafür benutzt das sendende System den privaten Teil eines asymmetrischen Schlüsselpaares. Das öffentliche Gegenstück wird mit einem DNS-Record in der Email-Domäne zugänglich gemacht. Somit kann jede Gegenstelle die Signatur und damit die Herkunft der Nachrichten überprüfen. Übertragen auf das obige Beispiel mit dem Postamt, kann man sich DKIM wie einen ganz speziellen Stempel vorstellen, den das Postamt auf jeden Brief setzt, bevor er verschickt wird. Dieser Stempel ist einzigartig für jedes Unternehmen oder jede Organisation und dient als digitale Signatur, die sicherstellt, dass der Brief tatsächlich von dem angegebenen Absender stammt und unterwegs nicht manipuliert wurde. Zusammenfassend: Die DKIM-Signierung sichert den Inhalt einer E-Mails durch Verschlüsselung.

  3. DMARC (Domain-based Message Authentication, Reporting and Conformance) baut auf den Techniken SPF und DKIM auf. Als leidgeprüfte Phishing-Empfänger wissen wir jedoch, dass die angezeigte eMail-Adresse und des tatsächliche Absender nicht übereinstimmen müssen. SPF und DKIM prüfen die Absender-Domäne im «Mail From» des eMail, jedoch nicht die Domäne, die dem Benutzer angezeigt wird. Hier kommt nun DMARC zum Einsatz und definiert eine Richtlinie über DNS, die mehr oder weniger zwingend voraussetzt, dass einer der beiden Checks die gleiche Domäne betrifft, wie die die der Empfänger im «From»-Feld sieht. Wenn ich nun wieder unser Postamt verwende, dann ist DMARC ein detaillierter Leitfaden für ein Postamt, der sicherstellt, dass Briefe ordnungsgemäß überprüft und zugestellt werden, und der dem Postamt ermöglicht, über Verstöße zu berichten und seine Prozesse zu verbessern. Zusammenfassend: Mit der DMARC-Authentifizierung kann man Nachrichten verwalten, die durch SPF und DKIM geprüft werden.


Soweit mal zur technischen Grundlage. Brauchen tut man das ganze, damit die eignen eMails bei einem Empfänger nicht im SPAM-Ordner landen. Das geschieht vor allem bei Newsletter, wo ja nicht nur eine eMail sondern gleichzeitig tausende versendet werden. Damit das nicht geschieht muss man also in der Domain (beim Postamt) ein paar Einträge machen. Zu kontaktieren gilt es in jedem Fall jene Person, die die Domain verwaltet. Wenn man das selber ist, dann ist der Weg natürlich ein sehr kurzer. Wenn man nicht weis, wer das ist, dann könnte man mal hier eine Abfrage machen: https://lookup.icann.org

Jedenfalls muss sich diese Person dann in der Domain-Verwaltung anmelden und dort gibt es für jede einzelne Domain Einträge zum Thema "DNS Verwaltung" oder "DNS Management". Und dort gibt es dann die Möglichkeit TXT-Zeilen zu einer Domain hinzuzufügen. Genau jene TXT-Einträge benötigt man, um jetzt die eigene Domain als "ECHTER" Absender zu hinterlegen!


Die Einträge können dann zum Beispiel so aussehen:

  • SPF >> v=spf1 a mx include:mail.hostingww.com ~all

  • DKIM >> hse1._domainkey.microgast.at

  • DMARC >> v=DMARC1; p=quarantine; rua=mailto:e020d1df@mxtoolbox.dmarc-report.com,mailto:dmarc@microgast.at; ruf=mailto:e020d1df@forensics.dmarc-report.com,mailto:dmarc@microgast.at; fo=1


Was genau wo eingetragen werden soll, bekommt man vom Anbieter des Newsletter-Systems oder auch von Google oder Microsoft! Vor allem Google ist inzwischen "scharf" geworden und möchte sich von Spam entlasten. Dazu muss man die eigene Domain jetzt quasi bei Google bekannt geben. Das passiert über 3 Varianten:


  1. Man öffnet den Google POSTMASTER (https://postmaster.google.com), trägt dort seine Domain ein und kopiert bzw. verifiziert den individuell erzeugten TXT-Eintrag.

  2. Um die Google Mail-Server zu authorisieren, benötigt man folgenden SPF-Eintrag: v=spf1 include:_spf.google.com ~all

  3. DKIM ist bei Google nur notwendig, wenn man mit der Google Admin-Konsole (Workspace) arbeitet.

Vor allem der SPF-Eintrag sollte für alle wichtigen "als Spammer gefährdeten" Domains als TXT hinterlegt werden:

  1. v=spf1 include:_spf.outlook.com ~all

  2. v=spf1 include:_spf.hotmail.com ~all

  3. v=spf1 include:_spf.yahoo.de ~all

  4. v=spf1 include:_spf.icloud.com ~all

  5. usw.


Und wenn man wen NICHT haben möchte, dann wäre die Syntax:

  1. v=spf1 exclude:_spf.donaldtrump.com ~all


P.S.: Um die MX-Einstellungen zu prüfen gibt es übrigens mehrere Plattformen die das kostenlos anbieten. Gerne verweise ich an dieser Stelle auf https://mxtoolbox.com

P.P.S.: Wer mehr über die Postmaster Tools von Google wissen möchte, sollte hier mal nachlesen. https://www.theseventhsense.com/blog/google-postmaster-tools-the-ultimate-guide

24 Ansichten0 Kommentare

Aktuelle Beiträge

Alle ansehen
bottom of page