print logo

Nicht lange grübeln – E-Mails korrekt authentifizieren

Wenn Ihre Werbemails als Phishing-Mails angesehen werden, wird Ihr Adressat sie nie zu Gesicht bekommen. Die Lösung heißt E-Mail-Authentifizierung.
Jan Niggemann | 11.08.2014

Selbst wenn Sie denken, kein Phishing Problem zu haben oder wenn Sie noch nie durch Spoofing betroffen waren. Wenn Ihre (legitimen) Werbemails fälschlicherweise als Phishing-Mails angesehen werden, wird Ihr Adressat sie aller Wahrscheinlichkeit nie zu Gesicht bekommen. Denn anders als bei normalen Spam-Mails, die vom Mailbox Provider in einen speziellen Junk- oder Spam-Ordner einsortiert werden und aus denen Adressaten erwünschte Mails „retten“ können (die dazugehörige Kennzahl nennt sich TINS = This Is Not Spam), werden Phishing-Mails unter Quarantäne gesetzt und nicht ausgeliefert. Und auch wenn der Filter eines Mailbox Providers nur den Verdacht hegt, bei Ihrer Mail könnte es sich um Phishing handeln, wird er die Mail zwar ausliefern, in der Regel aber mit einer Warnung, es könnte sich um Phishing handeln, ergänzen. So oder so, für Ihren Brand sieht das nicht gut aus.

Die beste Lösung für das Problem heißt E-Mail Authentifizierung. Sie können Tipps für das Erstellen von SPF- und DKIM-Einträgen auf unserem Blog nachlesen. Und zum Thema DMARC gibt es sogar ein aktuelles eBook zum kostenlosen Download, das beschreibt, weshalb dieser neue Standard so wichtig ist (und wie man bei der Einführung Schritt für Schritt vorgehen sollte).

DMARC kann Ihnen helfen, bei der Authentifizierung den nächsten Schritt zu gehen, indem Sie Mailbox Provider anweisen können, alle nicht korrekt authentifizierten Mails (E-Mails also, die nur vorgeben von Ihnen zu stammen) nicht zuzustellen. Auch die Verfügbarkeit von Berichten über diese nicht zugestellten Mails ist Teil von DMARC. Heute können bereits über 60 Prozent aller Posteingangsfächer weltweit mittels DMARC geschützt werden und auch in Europa beläuft sich der Prozentsatz bereits auf etwa 55 Prozent.

Das Wie und das Warum hätten wir also bereits geklärt und ich möchte hier nicht alten Wein in neuen Schläuchen liefern; vielmehr möchte ich Ihnen erläutern, warum was vor nicht allzu langer Zeit eine Empfehlung war so schnell zur Notwendigkeit wurde.

Natürlich ist die Verwendung von E-Mail-Authentifizierung keine Pflicht in dem Sinne, dass es ein Gesetz gäbe, das sie vorschriebe. Dennoch setzt sich Authentifizierung immer mehr als Standard-Vorgehensweise der legitimen E-Mail Versender durch. Zwei Mailbox Provider entschlossen sich erst kürzlich zu einem Schritt, der vor nicht allzu langer Zeit noch undenkbar gewesen wäre. Sowohl Yahoo! als auch AOL entschieden sich, ihren DMARC Eintrag auf P=Reject zu ändern (hier können Sie die Meldung zu Yahoo! nachlesen und hier ist der Blog Artikel, der kurz darauf über die AOL Richtlinienänderung berichtete). Für beide Mailbox Provider überwogen die Vorteile dieses Schrittes die damit zusammenhängenden Kosten. Natürlich können Sie auch ohne DMARC (oder Authentifizierung) zu nutzen weiterhin Werbemails an Yahoo! und AOL schicken; doch ich stelle mir die Frage, ob sich das nicht schon bald ändern könnte... Vermutlich nicht in unmittelbarer Zukunft, doch man sollte einen Moment darüber nachdenken!

Wenn Sie als Unternehmen Ihre Kunden im E-Mail Kanal vor der missbräuchlichen Verwendung Ihres Brands durch Cyberkriminelle Phisher und Spammer schützen wollen kommen Sie nicht umher, sich mit der Authentifizierung Ihrer legitimen E-Mails auseinander zu setzen. Denn auch wenn ISP Filter den Anspruch haben, allen echten Spam und alle Phishing-Mails auszufiltern – so klappt das doch nicht durchgängig. Wir sehen regelmäßig, dass selbst „schlecht gemachte“ Phishing-Mails die Filter der ISPs unbeschadet überstehen. In einem Beispiel wurden gar nur 7 Prozent der Phishing-Mail durch die ISP Filterung abgefangen – d.h. 93 Prozent der versendeten Phishing-Nachrichten wurden an die (gutgläubigen) Adressaten zugestellt. Wenn also ein Cyberkrimineller im Namen Ihres Brands eine Phishing-E-Mail verschickt ist die Wahrscheinlichkeit groß, dass diese Mail an den Posteingang Ihrer Kunden zugestellt und dort gelesen und schlimmer noch geklickt wird (da Ihr Kunde Ihrem Brand ja vertraut). Authentifizierung ist in dem Sinn Ihre erste Verteidigungslinie gegen diese gemeinen Angriffe auf das Vertrauen Ihrer Kunden in Ihre Marke!

Bevor ich zum Schluss komme, lassen Sie mich noch kurz in einem Exkurs das Thema aus Sicht der Mailbox Provider beleuchten. Die Anti-Spam Filterung der Mailbox Provider funktioniert auf Basis der Prämisse, dass keiner Mail vertraut werden sollte. Also im übertragenen Sinne „schuldig, bis die Unschuld bewiesen ist“. Indem Sie Ihre Mails authentifizieren geben Sie den Mailbox Providern Gründe, ihrer Mail zu vertrauen. Wenn Sie also wissen, dass es sich bei Ihnen um einen legitimen E-Mail Versender handelt müssen sie Ihre Mails nicht den gleichen strikten Tests unterziehen, die alle anderen Mails durchlaufen. Natürlich werden die Filter nicht völlig wegfallen (das ist nur im Falle eines Whitelistings wie beispielsweise durch das Return Path Zertifizierungsprogramm möglich), doch wird durch eine Authentifizierung der Mail die Anti-Spam Infrastruktur der Mailbox Provider weniger belastet und der Fokus kann auf der regulären Spamfilterung mittels Inhaltsanalyse und Bayesscher-Filterung liegen. Denn eins ins klar: Je mehr Vertrauen Mailbox Provider in Ihre E-Mails haben, umso wahrscheinlicher ist es, dass sie zugestellt werden.

Das Beispiel eines Versenders, der Opfer einer Spoofing Attacke war ist mir immer noch sehr präsent. Dieser Versender, der typischerweise hohe Posteingangsraten verzeichnen konnte und dessen IP-Reputation außerordentlich gut war musste im Monat nach der Spoofing Attacke einen Einbruch der Posteingangsrate auf 32 Prozent verzeichnen, was sich auf sein Online Business verheerend auswirkte, nicht nur was Neugeschäft betraf, sondern auch Bestellbestätigungen, Versandinfos und Rechnungen kamen nicht mehr an, wodurch die Call Center Anrufe (und Kosten) in den Himmel stiegen.

Also, warum die Rechnung bezahlen für die kriminellen Aktivitäten anderer? Authentifizieren Sie Ihre E-Mails – es wird sich bezahlt machen!