1. Foren
  2. Kommentare
  3. Sonstiges
  4. Alle Kommentare zum Artikel
  5. › DKIM: Mit Sicherheit gefälschte…

DKIM und Co. bieten keine wirkliche Sicherheit

  1. Thema

Neues Thema Ansicht wechseln


  1. DKIM und Co. bieten keine wirkliche Sicherheit

    Autor: heutger 02.01.20 - 23:58

    Es wird stets verkauft, daß diese Lösung Sicherheit für den Empfänger bieten würden, tun sie aber nicht und werden sie vermutlich auch nie tun.

    Es gibt so viele Designprobleme bereits bei SPF (Stichwort Weiterleitungen, Mailinglisten usw. und ja, SRS versucht(!) das in den Griff zu bekommen, aber halt nicht vollständig). Mein Proof of (Mis-)Concept beinhaltet auch eine Softfail-Konfiguration, ich sehe das auch nicht als fehlerhaft an sondern möchte damit sicherstellen, dass eben just jene oben erwähnten Mails bspw. trotzdem ankommen und nicht von rigorosen Zielservern verworfen werden. Man kann halt leider nicht darauf vertrauen, daß SPF grundsätzlich funktionieren wird, noch komplizierter wird es, wenn weitere Parteien wie Antispam-, Antivirus- usw. -Services involviert sind.

    DKIM genau das gleiche, wie schon im Artikel zu sehen, gibt es hier einige Designfehler, aber insbesondere das Schlüsselmaterial (auf Grund von Restriktionen in meiner Testumgebung ist auch meines nicht das beste) ist doch sehr anfällig. Es gibt keine Erzwingung von sinnvollen Schlüssellängen (vielmehr kommt man hier sogar in Restriktionen mit dem zugehörigen DNS-Record, zumindest beim Einsatz von RSA-Schlüsseln) geschweige denn von einem erforderlichen Rekeying in regelmäßigen Abständen. Auch die Weiterleitungsproblematik stößt hier erneut auf, man sollte meinen, es wäre aus SPF gelernt worden.

    DMARC letztendlich hält damit auf Grund der Probleme der darunterlegenden Technologien nicht das, was es verspricht, viel mehr dient es eher einem anderen Zweck. Es gibt (datenschutzrechtlich sind hier jedoch einige Fallstricke zu beachten) lediglich den Vorteil für den Versender(!), daß der Betreiber einer Domain sich Informationen liefern lassen kann, wer in Verletzung der DMARC-Policy Mails in seinem Namen versendet, um entsprechende Gegenmaßnahmen zu ergreifen.

    Möchte bzw. kann man mit den Einschränkungen von SPF und DKIM leben und sieht die Lösung weniger als Schutz des Empfängers als Schutz des Absenders gibt es (in Hoffnung auf Lösung der o.g. Probleme) eine tatsächlich sinnvolle "Killeranwendung", sollte diese entsprechende Verbreitung finden. Statt einem grünen Haken besteht die Möglichkeit für Unternehmen mit einer Marke, diese über BIMI bei den versandten Mails anzeigen zu lassen, geprüft wird dies über das klassische PKI-Modell. Damit sind für legitime, nicht weitergeleitete Mails, bei denen das Schlüsselmaterial hoffentlich optimal verwaltet wird, eine hervorhebende Darstellung möglich, auf die womöglich der Empfänger auch zukünftig achtet bzw. geschult werden kann, darauf zu achten.

    BTW, derzeit sind die meisten Mails, die eben sauber SPF-konform und DKIM-signiert gemäß DMARC-Policy mein Postfach erreichen die diversen Listen, die man so kaufen kann, die Gewinne und Gelder, die man abholen kann oder die osteuropäischen Frauen, die man kennen lernen kann, alles brav über u.a. Google Mailserver versandt, 100% konform und 100% Spam.

  2. Re: DKIM und Co. bieten keine wirkliche Sicherheit

    Autor: ikhaya 03.01.20 - 07:57

    Wenn Ich eine Mail die ich bekommen habe weiterleite werde ich dann nicht der neue Absender , mein Server signiert neu und damit passt es wieder?

    Spam der konform ist, ist zwar doof aber es erlaubt doch bessere Zuordnung der Quelle. Da kann man dann nachschärfen.



    2 mal bearbeitet, zuletzt am 03.01.20 08:00 durch ikhaya.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Senior Consultant Digitale Transformation (m/w/d)
    Mediaan Deutschland GmbH, Düsseldorf
  2. (Junior) IT-Anforderungsmanager (m/w/x) Warenwirtschaftssysteme / Filialhandel - International
    ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr
  3. Technischer Redakteur (m/w/d)
    tangro software components GmbH, Heidelberg
  4. IT Netzwerk-Ingenieurin (m/w/d)
    Techniker Krankenkasse, Hamburg

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 29,99€ + 2,95€ oder versandkostenfrei mit OTTO UP (Vergleichspreis über 40€)
  2. 549,99€ (Vergleichspreis ca. 650€)
  3. 278,98€ + 30€ Cashback bei Kauf bis 31.07. (Vergleichspreis 309€)
  4. 89,90€ + 5,99€ Versand bei Vorkasse (Vergleichspreis ca. 130€)


Haben wir etwas übersehen?

E-Mail an news@golem.de