E-Mails und Sicherheit

Bei der Nutzung von E-Mails tauchen Fragen der Informationssicherheit (und des Datenschutzes) an verschiedenen Stellen auf:

• Wer über E-Mails kommuniziert, sollte sich zunächst klarmachen, dass die Vertraulichkeit einer E-Mail im Normalfall der einer Postkarte entspricht.
• Optional kann Vertraulichkeit durch E-Mail-Verschlüsselung erreicht werden. Die GWDG stellt dazu Dienste bereit. Allerdings setzt eine E-Mail-Verschlüsselung vor allem eine entsprechende Infrastruktur beim Empfänger voraus. Der Kommunikationspartner muss also auch aktiv werden.
• Bei E-Mails gibt es zunächst keine Sicherheit über die Identität eines Absenders. Das Fälschen einer Absender-Angabe ist bei E-Mails genauso leicht möglich wie bei Briefen und Postkarten, wo ja auch jeder jeden beliebigen Absender auf das Kuvert oder die Karte schreiben kann.
• Auch zur Überprüfbarkeit von Absendern gibt es optionale Komponenten, die mit Verschlüsselungstechnologie zusammenhängen. Die Authentizität eines Absenders kann mit sogenannten kryptographischen Signaturen bewiesen werden, d. h., es kann geprüft werden, ob eine E-Mail tatsächlich von dem Besitzer eines bestimmten E-Mail-Kontos versandt wurde.
• Neben den technischen Aspekten der E-Mail-Sicherheit sollte auch geprüft werden, ob eine Informationsweitergabe an bestimmte Empfänger überhaupt zulässig ist: Hier muss geprüft werden, ob vertrauliche Inhalte oder personenbezogene Daten dem Empfänger überhaupt übermittelt werden sollen oder dürfen und ob, soweit das bejaht wird, die Informationsweitergabe über das nur bedingt vertrauenswürdige Medium E-Mail ein geeigneter Kommunikationsweg ist.

Ein großes Sicherheitsproblem bei der E-Mail-Nutzung ist der Missbrauch durch Kriminelle. Diese benutzen E-Mails,

• um Schadsoftware (Viren, Trojaner, u. ä.) zu verteilen (Viren-E-Mails),
• zur Preisgabe vertraulicher Informationen zu überreden (Phishing-E-Mails) oder
• zu schädlichen Aktionen, z. B. Überweisung von Geld oder Kauf und Weitergabe von Gutscheinen zu veranlassen (Betrugs-E-Mails).

Beim Umgang mit E-Mails muss diese Gefahr immer berücksichtigt werden. Eine Anleitung hierzu finden sie unter Prüfung von E-Mails auf Gefährlichkeit und bösartige Inhalte.

Im Internetstandard RFC 7208 wird eine “Sender Policy Framework“ (SPF) genannte Methode definiert, mit der bestimmte Formen von Absenderfälschungen bei der Übermittlung von Nachrichten erkannt werden können.

Das SPF nutzt das Domain Name System (DNS), um allen Betreibern von E-Mail-Systemen Informationen bereit-zustellen, von welchen E-Mail-Servern (durch Angabe der IP-Adressen der Server) E-Mails einer E-Mail-Domäne verschickt werden dürfen. Für die E-Mail-Domäne gwdg.de und andere E-Mail-Domänen im E-Mails-Service der GWDG ist z.B. hinterlegt, dass E-Mails dieser Domäne nur über die IP-Adressbereiche 134.76.10.0/23, 134.76.26.0/24 und 134.76.9.0/24 verschickt.

In den SPF-Einträgen wird zusätzlich hinterlegt, wie empfangende E-Mails-Server reagieren sollten, wenn diese E-Mails aus der betreffenden E-Mail-Domäne erhalten, die nicht von den angegebenen E-Mail-Servern gesendet wurden. Der Standard sieht hier drei Varianten vor: Neutral, Softfail und Fail, symbolisiert durch die abschließen-de Angaben „?all“, „~all“ und „-all“ nach der Liste der erlaubten Adressen.

• Mit Fail: („-all“) wird den empfangenden Servern mitgeteilt, dass E-Mails, die nicht von im SPF autorisierten IP-Adressen erhalten werden, abgelehnt werden sollen.
• Mit Softfail („~all“) wird den empfangenden Servern mitgeteilt, dass E-Mails, die nicht von im SPF autorisierten IP-Adressen erhalten werden, zwar nicht allein auf Basis dieser Angabe abgelehnt werden sollen, dieses Ergebnis als negatives Indiz gewertet werden soll (z.B. im Rahmen von Bewertungen eines Spam-Filters).
• Neutral („?all“) soll gar nicht ausgewertet werden. Dies Option ist eher für Testzwecke gedacht.

Die GWDG verwendet für die auf den GWDG-Servern verwalteten E-Mail-Domänen bisher ein nur Softfail („~all“), wird ihre SPF-Angaben aber zukünftig auf Fail („-all“) umstellen.

Die Anweisung an alle E-Mail-Dienste würde damit lauten: Wenn ihr E-Mail von gwdg.de (und anderen E-Mail-Domänen des GWDG-Email-Service) erhaltet, die nicht über die angegebenen E-Mail-Server verschickt wurden, dann lehnt die diese E-Mails ab.