In Zukunft

Der Kern des DKIM-Protokolls wurde vor weniger als einem Jahr veröffentlicht, doch schon verwenden viele MTAs der großen Provider das Protokoll, und andere haben angekündigt, es zu übernehmen. Für einige ist das besonders einfach, weil sie bereits den Vorgänger DomainKeys unterstützt hatten. Nötig ist allerdings eine weitere, kontinuierliche Ausweitung der Unterstützung, damit schnell eine kritische Masse erreicht wird, die es dem Empfänger ermöglicht, nicht authentifizierte Mail als Ausnahme gesondert zu behandeln. Dieser Prozess hat bereits eingesetzt, indem Provider wie Yahoo, AOL oder Gmail DKIM unterstützen und andere bald folgen wollen. Außerdem gibt es schon eine Übereinkunft zwischen Yahoo und beispielsweise Ebay oder Paypal, derzufolge sie unauthentifizierte Mails, die vorgeben aus diesen Domains zu stammen, nur noch mit extremer Vorsicht behandeln.

Freilich ist auch das vorerst nur ein kleiner Schritt. In der Zukunft wird eine noch breitere Unterstützung für DKIM im gesamten Internet nötig sein. Dazu kommt ein zweiter Bestandteil von DKIM, der sich noch in Entwicklung befindet: die Sender Signing Pratices (SSP) [10]. Die SSP sollen regeln, wie ein Mailversender seine Signier-Policies veröffentlichen kann (zum Beispiel, dass er jede Mail signiert), damit der Empfänger in der Lage ist, sich darauf einzustellen (und zum Beispiel nicht signierten Mails aus dieser Domain prinzipiell misstraut). Obwohl das Protokoll dafür im Vergleich zum DKIM-Core sehr einfach ist, sorgen die Details der Beziehung zwischen Sender und Empfänger derzeit noch für Diskussionsstoff im Standardisierungsgremium.

Ein Schritt nach dem anderen

E-Mail-Authentifizierung schafft eine Möglichkeit, ist alleine aber noch nicht die Lösung. Sie ist ein erster Schritt der Industrie, auf den weitere folgen müssen, um die Verantwortung des Absenders für den Inhalt seiner Mails durchzusetzen. Das braucht sicher Jahre. Aber nach Meinung des Autors wäre die folgende Entwicklung wünschenswert und möglich:

Im Endeffekt wären die allermeisten E-Mails signiert und man könnte in jedem Fall den Verantwortlichen ausfindig machen. Justizbhörden wie die Federal Trade Commission (FTC) in den USA haben bereits klargestellt, dass sie zum Handeln bereit sind, sobald ein zuverlässiges Authentifizierungssystem existiert [12, 13]. Der Autor meint, andere Behörden überall in der Welt werden folgen: E-Mail-Authentifizierung muss dafür zuverlässig funktionieren und weit verbreitet sein – dann können auch weitere Schritte folgen. (jcb/ofr)

Infos

[1] DomainKeys Identified Mail (DKIM) Signatures:http://www.ietf.org/rfc/rfc4871.txt

[2] Privacy Enhancement for Internet ElectronicMail: http://www.ietf.org/rfc/rfc1421.txt

[3] Secure/Multipurpose Internet Mail Extensions:http://www.ietf.org/rfc/rfc3851.txt

[4] OpenPGP Message Format:http://www.ietf.org/rfc/rfc2440.txt

[5] Internet Message Format:http://www.ietf.org/rfc/rfc2822.txt

[6] Domain-Based Email Authentication Using Public Keys Advertised in the DNS (DomainKeys):http://www.ietf.org/rfc/rfc4870.txt

[7] SMTP anti-forgery protocol: http://www.danisch.de/work/security/antispam.html

[8] Sender Policy Framework:http://www.ietf.org/rfc/rfc4408.txt

[9] Sender ID Authenticating E-Mail:http://www.ietf.org/rfc/rfc4406.txt

[10] Requirements for a DomainKeys Identified Mail(DKIM) Signing Practices Protocol:http://www.ietf.org/rfc/rfc5016.txt

[11] Messaging Anti-Abuse Working Group:http://www.maawg.org

[12] New System to Verify Origins of E-Mail MustEmerge Before Do Not Spam List Can Be Implemented, FTC Tells Congress: http://www.ftc.­gov/opa/2004/06/canspam2.shtm

[13] FTC, NIST to host E-Mail Authentication Summit: http://www.ftc.gov/opa/2004/09/emailauth.shtm

[14] Simple Mail Transfer Protocol: http://www.ietf.org/rfc/rfc2821.txt

Der Autor

Mark Delany istChef-Architekt beiYahoo. Er arbeitetezwischen 2001 und2005 maßgeblichan der Entwicklungvon Yahoo Mail undschuf in dieser Zeitden DKIM-VorläuferDomainKeys, den erspäter in Zusammenarbeit mit der Industrieund der IETF zu DKIMweiterentwickelte.Mark ist Autor des RFC4870 (DomainKeys)und Koautor des RFC4871 (DKIM). Vor seinerTätigkeit für Yahoobekleidete Mark führende Entwicklungspositionen bei Sendmail.com, NBC Internet undbei verschiedenenregionalen InternetService Providern. DassMark kein Mann derGlaubenskriege ist,zeigt sich an seinenBeiträgen zu Open-Source-Projekten wieQmail, Sendmail undPostfix.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

E-Mail-Kommunikation absichern

Die E-Mail ist das Steinzeit-Kommunikationsmedium des Internets. Trotz der Existenz modernerer Protokolle und Anwendungen ist sie aus der beruflichen wie privaten Kommunikation nicht wegzudenken. Zur Absicherung und zum Schutz vor Spam und Phishing gibt es mit SPF und DKIM effektive Methoden. DMARC vereint diese Maßnahmen und erlaubt die gezielte Konfiguration entsprechend der Richtlinien Ihres Unternehmens. Der Security-Tipp in diesem Monat zeigt, wie Sie Ihren Mailserver damit absichern.
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023