1. Foren
  2. Kommentare
  3. Sonstiges
  4. Alle Kommentare zum Artikel
  5. › DKIM: Mit Sicherheit gefälschte…

DKIM und Co. bieten keine wirkliche Sicherheit

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. DKIM und Co. bieten keine wirkliche Sicherheit

    Autor: heutger 02.01.20 - 23:58

    Es wird stets verkauft, daß diese Lösung Sicherheit für den Empfänger bieten würden, tun sie aber nicht und werden sie vermutlich auch nie tun.

    Es gibt so viele Designprobleme bereits bei SPF (Stichwort Weiterleitungen, Mailinglisten usw. und ja, SRS versucht(!) das in den Griff zu bekommen, aber halt nicht vollständig). Mein Proof of (Mis-)Concept beinhaltet auch eine Softfail-Konfiguration, ich sehe das auch nicht als fehlerhaft an sondern möchte damit sicherstellen, dass eben just jene oben erwähnten Mails bspw. trotzdem ankommen und nicht von rigorosen Zielservern verworfen werden. Man kann halt leider nicht darauf vertrauen, daß SPF grundsätzlich funktionieren wird, noch komplizierter wird es, wenn weitere Parteien wie Antispam-, Antivirus- usw. -Services involviert sind.

    DKIM genau das gleiche, wie schon im Artikel zu sehen, gibt es hier einige Designfehler, aber insbesondere das Schlüsselmaterial (auf Grund von Restriktionen in meiner Testumgebung ist auch meines nicht das beste) ist doch sehr anfällig. Es gibt keine Erzwingung von sinnvollen Schlüssellängen (vielmehr kommt man hier sogar in Restriktionen mit dem zugehörigen DNS-Record, zumindest beim Einsatz von RSA-Schlüsseln) geschweige denn von einem erforderlichen Rekeying in regelmäßigen Abständen. Auch die Weiterleitungsproblematik stößt hier erneut auf, man sollte meinen, es wäre aus SPF gelernt worden.

    DMARC letztendlich hält damit auf Grund der Probleme der darunterlegenden Technologien nicht das, was es verspricht, viel mehr dient es eher einem anderen Zweck. Es gibt (datenschutzrechtlich sind hier jedoch einige Fallstricke zu beachten) lediglich den Vorteil für den Versender(!), daß der Betreiber einer Domain sich Informationen liefern lassen kann, wer in Verletzung der DMARC-Policy Mails in seinem Namen versendet, um entsprechende Gegenmaßnahmen zu ergreifen.

    Möchte bzw. kann man mit den Einschränkungen von SPF und DKIM leben und sieht die Lösung weniger als Schutz des Empfängers als Schutz des Absenders gibt es (in Hoffnung auf Lösung der o.g. Probleme) eine tatsächlich sinnvolle "Killeranwendung", sollte diese entsprechende Verbreitung finden. Statt einem grünen Haken besteht die Möglichkeit für Unternehmen mit einer Marke, diese über BIMI bei den versandten Mails anzeigen zu lassen, geprüft wird dies über das klassische PKI-Modell. Damit sind für legitime, nicht weitergeleitete Mails, bei denen das Schlüsselmaterial hoffentlich optimal verwaltet wird, eine hervorhebende Darstellung möglich, auf die womöglich der Empfänger auch zukünftig achtet bzw. geschult werden kann, darauf zu achten.

    BTW, derzeit sind die meisten Mails, die eben sauber SPF-konform und DKIM-signiert gemäß DMARC-Policy mein Postfach erreichen die diversen Listen, die man so kaufen kann, die Gewinne und Gelder, die man abholen kann oder die osteuropäischen Frauen, die man kennen lernen kann, alles brav über u.a. Google Mailserver versandt, 100% konform und 100% Spam.

  2. Re: DKIM und Co. bieten keine wirkliche Sicherheit

    Autor: ikhaya 03.01.20 - 07:57

    Wenn Ich eine Mail die ich bekommen habe weiterleite werde ich dann nicht der neue Absender , mein Server signiert neu und damit passt es wieder?

    Spam der konform ist, ist zwar doof aber es erlaubt doch bessere Zuordnung der Quelle. Da kann man dann nachschärfen.



    2 mal bearbeitet, zuletzt am 03.01.20 08:00 durch ikhaya.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Embedded C++ Software Entwickler (m/w/d)
    RMG Messtechnik GmbH, Beindersheim (Raum Mannheim)
  2. Softwareentwickler (m/w/d)
    Hutter & Unger GmbH Werbeagentur, Wertingen bei Augsburg
  3. Programmierer / Softwareentwickler (w/m/d)
    Haux-Life-Support GmbH, Karlsbad
  4. SAP HCM Senior Berater (m/w/x)
    über duerenhoff GmbH, Haßfurt

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Creative Sound Blaster Z SE für 64,99€ + 6,99€ Versand und Kingston KC2500 2 TB für...
  2. 71,39€ inkl. Abzug (Vergleichspreis 83,99€)
  3. 211,65€ inkl. Abzug (Vergleichspreis 232,94€)
  4. 99,90€ + 5,99€ Versand bei Vorkasse (Vergleichspreis 128,90€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Raumfahrt: Braucht es Kernkraft für den Flug zum Mars?
Raumfahrt
Braucht es Kernkraft für den Flug zum Mars?

In den USA werden wieder nukleare Raketentriebwerke für Mars-Reisen entwickelt. Aber wie funktionieren sie und wird Kernkraft dafür überhaupt benötigt?
Von Frank Wunderlich-Pfeiffer

  1. Astronomie Flüssiges Wasser auf dem Mars war wieder ein Irrtum
  2. Raumfahrt Rocketlab baut zwei Marssonden für die Nasa
  3. Raumfahrt Mars-Hubschrauber Ingenuity gerät ins Trudeln

Corona und IT: Arbeiten ganz ohne Geschäftsreisen
Corona und IT
Arbeiten ganz ohne Geschäftsreisen

Für manche in der IT mag er ein Segen sein, für andere ist er projektgefährdend: der coronabedingte Wegfall von Geschäftsreisen.
Ein Erfahrungsbericht von Boris Mayer


    Direct Air Capture: Orca filtert CO2 aus der Atmosphäre
    Direct Air Capture
    Orca filtert CO2 aus der Atmosphäre

    Die größte Direct-Air-Capture-Anlage geht in Island in Betrieb. Die Technik wird wohl gebraucht, steht aber vor großen Herausforderungen.
    Ein Bericht von Hanno Böck

    1. Klimakrise Staatenallianz will Ende von Öl- und Gasförderung
    2. Klimaschutzgesetz Bereits 2045 soll Deutschland klimaneutral werden