DMARC für mehr E-Mail-Sicherheit

E-Mail ist der am häufigsten verwendete Angriffsvektor für Phishing und Betrug im Internet. Damit Internetnutzende der Gefahr nicht schutzlos ausgeliefert sind, müssen technische Schutzmassnahmen her. Die gibt es zwar, doch deren Einführung ist nicht trivial.

Text: Michael Hausding, publiziert am 04.01.2022

Jedes Jahr im Dezember steigt die Anzahl ausgelieferter Pakete mit Geschenken und Einkäufen für die Weihnachtszeit. Die Post versendet zu Spitzenzeiten bis zu einer Million Pakete pro Tag. Um ein Vielfaches höher ist die Anzahl der Phishing E-Mails, die in diesen Tagen in unseren elektronischen Briefkästen landet. Typischerweise wird man darin aufgefordert, eine niedrige Gebühr für ein vermeintlich beim Zoll oder Transportunternehmen festsitzendes Paket zu bezahlen. Die Wahrscheinlichkeit ist hoch, dass jemand auf ein Paket wartet und die Gebühr aus Unachtsamkeit bezahlt. Dabei werden nicht nur Geld, sondern auch die Kreditkartendaten inklusive der CVV-Nummer an die Täter gesendet.

Die Täter sind erfolgreich, weshalb die Phishing-Flut nicht aufhört. Mehr als die Hälfte der beim Nationalen Zentrum für Cybersicherheit (NCSC) gemeldeten Fälle betreffen Phishing oder Betrug. E-Mail ist der meistgenutzte Angriffsvektor. Das Problem ist seit Jahren bekannt, die Abwehrmassnahmen scheinen nur begrenzt zu funktionieren.

Täuschung der Nutzenden

Wieso ist es für Internetnutzende so schwer, Phishing zu erkennen? Der Absender einer E-Mail wird im E-Mail-Programm oder Webmail im Von- oder From-Feld angezeigt. Die Identität des Absenders lässt sich also feststellen. Aus Gründen der Bequemlichkeit programmieren Entwickler die E-Mail-Clients so, dass dieses Feld fast ausschliesslich den «Display Name» anzeigt. Dieser bereits in RFC 822 im Jahr 1982 eingeführte Standard erlaubt es, im From-Feld neben der E-Mail-Adresse einen frei spezifizierbaren Namen anzugeben. Und die meisten E-Mail-Clients zeigen ausschliesslich diesen Namen ohne E-Mail-Adresse an. Dies führt dazu, dass Empfängerinnen und Empfänger von Phishingmails beispielsweise «Post» oder «Schweizer Zoll» als Absender sehen, auch wenn die E-Mail-Adresse dahinter eindeutig als verdächtig zu erkennen wäre.

Kampf gegen Domain-Missbrauch

Doch nicht immer lassen sich Phishingmails oder Betrugsversuche an einer nicht passenden Absender-Domain erkennen. Es landen auch viele Phishingmails von Domain-Namen wie schweiz-zoll.ch oder ezv-admin.ch im Posteingang. Doch wie ist das möglich, und gibt es dagegen keine Abwehrmassnahmen? Wieso stellt SWITCH als Registrierungsstelle diese Domain-Namen nicht einfach ab, wenn sie vom NCSC eine Meldung erhält? 

SWITCH bekämpft Missbrauch mit .ch- und .li-Domain-Namen aktiv und deaktiviert in Zusammenarbeit mit den Behörden Domain-Namen wie «paket-wartet.ch», wenn sie für Phishing-Zwecke missbraucht werden. Nach dem Deaktivieren sind die Domain-Namen nicht mehr erreichbar.

Registrierung schützt vor Missbrauch

Wenn ein Domain-Name jedoch nur genutzt wird, um einer E-Mail mehr Autorität zu verleihen, nützt es nichts, ihn abzuschalten. Im Gegenteil, er kann sogar noch mehr Schaden anrichten. Ein Beispiel ist «schweiz-zoll.ch», zu dem die Registrierungsstelle massenweise Meldungen bekommt. Auch die Eidgenössische Zollverwaltung (EZV) hat Anfang des Jahres davor gewarnt. Die Sicherheitsexperten von SWITCH konnten schnell feststellen, dass der Domain-Name gar nicht registriert war und nur als Absender für Phishingmails missbraucht wurde. Leider filtern nicht alle E-Mail-Anbieter automatisch E-Mails von ungültigen Domain-Namen. Der Domain-Name wurde im weiteren Verlauf des Angriffs von einem Schweizer Anbieter von Anti-Spam Lösungen registriert und mit einer DMARC Policy veröffentlicht. DMARC hilft E-Mails zu authentisieren und erlaubt empfangenden E-Mail Servern, nicht authentisierte E-Mails abzulehnen. Leider nutzen zu wenige E-Mail-Anbieter DMARC. Und so erhalten die Registrierungsstelle und der Domain-Namen-Halter weitere Aufforderungen, diesen abzuschalten.

Einige Schweizer E-Mail-Anbieter sowie Gmail und Microsoft beachten beim Empfang einer E-Mail die veröffentliche DMARC Policy. Seit einiger Zeit missbrauchen Angreifer auch die Domain-Namen «ezv-admin.ch» oder «douane.ch» die noch keine DMARC Policy veröffentlicht haben.

Bewusstsein bei Markeninhabern

Auf Seiten der Markeninhaber ist das Bewusstsein für technische Schutzmassnahmen ihrer Marke vor Phishing nur begrenzt vorhanden. Momentan haben erst 12% der Top 1000 .ch-Domain-Namen eine DMARC Policy veröffentlicht. Sehr häufig missbrauchen Täter aber nicht den primären Domain-Namen. Sie weichen lieber auf Ungenutzte aus, die als «defensive registrations» dem Markenschutz dienen.

Vorbildlich hat unter anderen die Credit-Suisse gehandelt. Sie hat bei der Einführung von DMARC nicht nur credit-suisse.com, sondern auch andere Domain-Namen wie credit-suisse.ch mit einer DMARC Policy versehen. 

Gemeinsam für mehr Sicherheit im Internet

E-Mails bleiben ein primärer Angriffsvektor auf Unternehmen und Internetnutzende. Deshalb ist es im Rahmen der digitalen Transformation der Schweiz unerlässlich, diesen Kommunikationskanal mit den vorhandenen Mitteln abzusichern. Diese Aufgabe lässt sich nur gemeinsam erfüllen, da E-Mail ein verteiltes System ist. Betreiber der E-Mail-Infrastruktur, Markenrechteinhaber, Behörden und Verbände müssen vorhandene technische und kommunikative Mittel koordinieren und einsetzen. Dabei haben es Schweizer E-Mail-Betreiber nicht leicht. Eine E-Mail-Adresse ist meist eine Gratisleistung, die sie zusammen mit einem Webhosting oder Internetzugang anbieten. Da gibt es für sie wenig Spielraum, in die Sicherheit zu investieren. Als Registrierungsstelle für .ch-Domain-Namen setzt SWITCH hier im Auftrag des Bundesamtes für Kommunikation in Zukunft einen finanziellen Anreiz. Registrare werden für .ch- und .li- Domain-Namen unterschiedliche Preise bezahlen, je nachdem, ob sie offene Sicherheitsstandards wie DNSSEC und DMARC anbieten oder nicht. Tun sie dies, partizipieren sie zudem anteilmässig an den erzielten Mehreinnahmen.

Aber auch die Internetnutzenden stehen in der Pflicht: Sie müssen nicht nur jede empfangene E-Mail mit einem gesunden Mass an Misstrauen lesen, sondern auch einen E-Mail-Provider wählen, der angemessene Schutzmassnahmen bietet, aktuelle Sicherheitsstandards verwendet und Phishingmails filtert.

Die Schweizer E-Mail Hoster haben das Problem erkannt und verbessern ihre Schutzmassnahmen laufend. Am Swiss Web Security Day 2021 wurde das Thema in einem Panel mit Vertreterinnen und Vertretern der Hoster, Behörden und juristischen Fachpersonen für E-Mail-Sicherheit und -Bewusstseinsförderung diskutiert.

Links

Warnung der Eidgenössischen Zollverwaltung vor Betrugsnachrichten:
https://www.ezv.admin.ch/ezv/de/home/teaser-startseite/brennpunkt-teaser/warnung-vor-betrugs-nachrichten.html 

Dashboard des .ch-Resilienz-Reports:
https://www.hardenize.com/dashboards/ch-resilience/ 

Panel am Swiss Web Security Day 2021:
https://tube.switch.ch/videos/R8VaHHvnVC

Über den Autor
Michael   Hausding

Michael Hausding

Michael Hausding studierte Informatik an der TU Darmstadt und MTEC an der ETH Zürich. Seit 2008 arbeitet er als Sicherheitsexperte im Team von SWITCH-CERT und ist auf DNS- und Domain-Missbrauch spezialisiert.

E-Mail

#Security

Dieser Artikel wurde erstmals bei inside-it.ch und inside-channels.ch im Rahmen der #Security-Kolumne von SWITCH publiziert. Die Kolumne erscheint sechs Mal jährlich. Security-Experten von SWITCH äussern unabhängig ihre Meinung zu Themen rund um Politik, Technik und Awareness der IT-Sicherheit.

Weitere Beiträge