1. Foren
  2. Kommentare
  3. Sonstiges
  4. Alle Kommentare zum Artikel
  5. › DKIM: Mit Sicherheit gefälschte…

DKIM und Co. bieten keine wirkliche Sicherheit

  1. Thema

Neues Thema Ansicht wechseln


  1. DKIM und Co. bieten keine wirkliche Sicherheit

    Autor: heutger 02.01.20 - 23:58

    Es wird stets verkauft, daß diese Lösung Sicherheit für den Empfänger bieten würden, tun sie aber nicht und werden sie vermutlich auch nie tun.

    Es gibt so viele Designprobleme bereits bei SPF (Stichwort Weiterleitungen, Mailinglisten usw. und ja, SRS versucht(!) das in den Griff zu bekommen, aber halt nicht vollständig). Mein Proof of (Mis-)Concept beinhaltet auch eine Softfail-Konfiguration, ich sehe das auch nicht als fehlerhaft an sondern möchte damit sicherstellen, dass eben just jene oben erwähnten Mails bspw. trotzdem ankommen und nicht von rigorosen Zielservern verworfen werden. Man kann halt leider nicht darauf vertrauen, daß SPF grundsätzlich funktionieren wird, noch komplizierter wird es, wenn weitere Parteien wie Antispam-, Antivirus- usw. -Services involviert sind.

    DKIM genau das gleiche, wie schon im Artikel zu sehen, gibt es hier einige Designfehler, aber insbesondere das Schlüsselmaterial (auf Grund von Restriktionen in meiner Testumgebung ist auch meines nicht das beste) ist doch sehr anfällig. Es gibt keine Erzwingung von sinnvollen Schlüssellängen (vielmehr kommt man hier sogar in Restriktionen mit dem zugehörigen DNS-Record, zumindest beim Einsatz von RSA-Schlüsseln) geschweige denn von einem erforderlichen Rekeying in regelmäßigen Abständen. Auch die Weiterleitungsproblematik stößt hier erneut auf, man sollte meinen, es wäre aus SPF gelernt worden.

    DMARC letztendlich hält damit auf Grund der Probleme der darunterlegenden Technologien nicht das, was es verspricht, viel mehr dient es eher einem anderen Zweck. Es gibt (datenschutzrechtlich sind hier jedoch einige Fallstricke zu beachten) lediglich den Vorteil für den Versender(!), daß der Betreiber einer Domain sich Informationen liefern lassen kann, wer in Verletzung der DMARC-Policy Mails in seinem Namen versendet, um entsprechende Gegenmaßnahmen zu ergreifen.

    Möchte bzw. kann man mit den Einschränkungen von SPF und DKIM leben und sieht die Lösung weniger als Schutz des Empfängers als Schutz des Absenders gibt es (in Hoffnung auf Lösung der o.g. Probleme) eine tatsächlich sinnvolle "Killeranwendung", sollte diese entsprechende Verbreitung finden. Statt einem grünen Haken besteht die Möglichkeit für Unternehmen mit einer Marke, diese über BIMI bei den versandten Mails anzeigen zu lassen, geprüft wird dies über das klassische PKI-Modell. Damit sind für legitime, nicht weitergeleitete Mails, bei denen das Schlüsselmaterial hoffentlich optimal verwaltet wird, eine hervorhebende Darstellung möglich, auf die womöglich der Empfänger auch zukünftig achtet bzw. geschult werden kann, darauf zu achten.

    BTW, derzeit sind die meisten Mails, die eben sauber SPF-konform und DKIM-signiert gemäß DMARC-Policy mein Postfach erreichen die diversen Listen, die man so kaufen kann, die Gewinne und Gelder, die man abholen kann oder die osteuropäischen Frauen, die man kennen lernen kann, alles brav über u.a. Google Mailserver versandt, 100% konform und 100% Spam.

  2. Re: DKIM und Co. bieten keine wirkliche Sicherheit

    Autor: ikhaya 03.01.20 - 07:57

    Wenn Ich eine Mail die ich bekommen habe weiterleite werde ich dann nicht der neue Absender , mein Server signiert neu und damit passt es wieder?

    Spam der konform ist, ist zwar doof aber es erlaubt doch bessere Zuordnung der Quelle. Da kann man dann nachschärfen.



    2 mal bearbeitet, zuletzt am 03.01.20 08:00 durch ikhaya.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Landeshauptstadt Stuttgart, Stuttgart
  2. Hays AG, Vilsbiburg
  3. CITTI Handelsgesellschaft mbH & Co. KG, Kiel
  4. ITEOS, Karlsruhe, Reutlingen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 3.499€ (Vergleichspreise ab 4.399€)
  2. (u. a. Battlefleet Gothic: Armada 2 für 11,99€, Star Trek Bridge Crew für 6,66€, Rage 2 für...
  3. (Huawei Matebook D 14 Zoll, Full HD + Freebuds 3 für 699€ und Huawei Matebook D 15 Zoll, Full...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Workflows: Wenn Digitalisierung aus 2 Papierseiten 20 macht
Workflows
Wenn Digitalisierung aus 2 Papierseiten 20 macht

Die Digitalisierung von Prozessen scheitert selten an der Technik. Oft ist es Unwissenheit über wichtige Grundregeln, die Projekte nach hinten losgehen lässt - ein wichtiges Change-Modell hilft dagegen.
Ein Erfahrungsbericht von Markus Kammermeier

  1. Digitalisierung Aber das Faxgerät muss bleiben!
  2. Arbeitswelt SAP-Chef kritisiert fehlende Digitalisierung und Angst
  3. Deutscher Städte- und Gemeindebund "Raus aus der analogen Komfortzone"

Grünheide: Umweltbewegung agiert bei Tesla-Fabrik unglücklich
Grünheide
Umweltbewegung agiert bei Tesla-Fabrik unglücklich

Es gibt gute Gründe, die Elektromobilität nicht nur unkritisch zu bejubeln. Einige Umweltverbände und Klimaaktivisten machen im Fall der Tesla-Fabrik in Grünheide dabei aber keine besonders gute Figur.
Ein IMHO von Hanno Böck

  1. Gigafactory Berlin Der "Tesla-Wald" ist fast gefällt
  2. Grünheide Tesla darf Wald weiter roden
  3. Gigafactory Grüne kritisieren Grüne Liga wegen Baumfällstopp für Tesla

Login-Dienste: Wer von der Klarnamenpflicht profitieren könnte
Login-Dienste
Wer von der Klarnamenpflicht profitieren könnte

Immer wieder bringen Politiker einen Klarnamenzwang oder eine Identifizierungspflicht für Nutzer im Internet ins Spiel. Doch welche Anbieter könnten von dieser Pflicht am ehesten einen Vorteil erzielen?
Eine Analyse von Friedhelm Greis

  1. Europäische Netzpolitik Die Rückkehr des Axel Voss
  2. Mitgliederentscheid Netzpolitikerin Esken wird SPD-Chefin
  3. Nach schwerer Krankheit FDP-Netzpolitiker Jimmy Schulz gestorben

  1. Entwicklertagung: Microsoft, Epic Games und Unity nehmen nicht an GDC teil
    Entwicklertagung
    Microsoft, Epic Games und Unity nehmen nicht an GDC teil

    GDC 2020 Nach Facebook und Sony nehmen nun auch Microsoft, Epic Games und Unity nicht an der Game Developers Conference 2020 teil - wegen des Coronavirus. Bereits zuvor hatten eine Reihe kleinerer Teams wie Pubg Corp und Kojima Productions ihre Reisepläne gestoppt.

  2. Bastelcomputer: 2-GB-Raspberry-Pi 4 dauerhaft im Preis gesenkt
    Bastelcomputer
    2-GB-Raspberry-Pi 4 dauerhaft im Preis gesenkt

    Die 2-GB-Variante des Raspberry Pi kostet mit einem Preis von 35 US-Dollar dauerhaft 10 US-Dollar weniger. Die Preise der 1-GB- und 4-GB-Varianten bleiben zwar gleich, doch es gibt noch weitere gute Nachrichten für die Raspberry-Pi-Community.

  3. Mobilfunkausrüstung: Huawei baut Fabrik in Frankreich
    Mobilfunkausrüstung
    Huawei baut Fabrik in Frankreich

    Huawei wird wie angekündigt Telekommunikationsausrüstung in Europa fertigen. Es sollen 500 Arbeitsplätze entstehen.


  1. 19:41

  2. 18:47

  3. 17:20

  4. 17:02

  5. 16:54

  6. 16:15

  7. 14:24

  8. 14:02