Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
de:services:it_security:email_security:start [2020/07/24 07:49] – [Krimineller Missbrauch von E-Mail] totto | de:services:it_security:email_security:start [2021/08/19 01:12] (aktuell) – [Sender Policy Framework] jfahren1 | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
+ | ====== E-Mails und Sicherheit ====== | ||
+ | Bei der Nutzung von E-Mails tauchen Fragen der Informationssicherheit (und des Datenschutzes) an verschiedenen Stellen auf: | ||
+ | |||
+ | ===== Sicherheit von E-Mail-Kommunikation allgemein ===== | ||
+ | |||
+ | * Wer über E-Mails kommuniziert, | ||
+ | * Optional kann Vertraulichkeit durch **E-Mail-Verschlüsselung** erreicht werden. Die GWDG stellt dazu Dienste bereit. Allerdings setzt eine E-Mail-Verschlüsselung vor allem eine entsprechende Infrastruktur beim Empfänger voraus. Der Kommunikationspartner muss also auch aktiv werden. | ||
+ | * Bei E-Mails gibt es zunächst keine Sicherheit über die **Identität eines Absenders**. Das Fälschen einer Absender-Angabe ist bei E-Mails genauso leicht möglich wie bei Briefen und Postkarten, wo ja auch jeder jeden beliebigen Absender auf das Kuvert oder die Karte schreiben kann. | ||
+ | * Auch zur Überprüfbarkeit von Absendern gibt es optionale Komponenten, | ||
+ | * Neben den technischen Aspekten der E-Mail-Sicherheit sollte auch geprüft werden, ob eine **Informationsweitergabe** an bestimmte Empfänger überhaupt zulässig ist: Hier muss geprüft werden, ob **vertrauliche Inhalte** oder **personenbezogene Daten** dem Empfänger überhaupt übermittelt werden sollen oder dürfen und ob, soweit das bejaht wird, die Informationsweitergabe über das nur bedingt vertrauenswürdige Medium E-Mail ein geeigneter Kommunikationsweg ist. | ||
+ | |||
+ | ===== Krimineller Missbrauch von E-Mail | ||
+ | |||
+ | Ein großes Sicherheitsproblem bei der E-Mail-Nutzung ist der Missbrauch durch Kriminelle. Diese benutzen E-Mails, | ||
+ | * um Schadsoftware (Viren, Trojaner, u. ä.) zu verteilen (**Viren-E-Mails**), | ||
+ | * zur Preisgabe vertraulicher Informationen zu überreden (**Phishing-E-Mails**) oder | ||
+ | * zu schädlichen Aktionen, z. B. Überweisung von Geld oder Kauf und Weitergabe von Gutscheinen zu veranlassen (**Betrugs-E-Mails**). | ||
+ | |||
+ | Beim Umgang mit E-Mails muss diese Gefahr immer berücksichtigt werden. Eine Anleitung hierzu finden sie unter [[de: | ||
+ | |||
+ | ===== Sender Policy Framework | ||
+ | Im Internetstandard RFC 7208 wird eine “Sender Policy Framework“ (SPF) genannte Methode definiert, mit der bestimmte Formen von Absenderfälschungen bei der Übermittlung von Nachrichten erkannt werden können. | ||
+ | |||
+ | Das SPF nutzt das Domain Name System (DNS), um allen Betreibern von E-Mail-Systemen Informationen bereit-zustellen, | ||
+ | |||
+ | In den SPF-Einträgen wird zusätzlich hinterlegt, wie empfangende E-Mails-Server reagieren sollten, wenn diese E-Mails aus der betreffenden E-Mail-Domäne erhalten, die nicht von den angegebenen E-Mail-Servern gesendet wurden. Der Standard sieht hier drei Varianten vor: Neutral, Softfail und Fail, symbolisiert durch die abschließen-de Angaben „?all“, „~all“ und „-all“ nach der Liste der erlaubten Adressen. | ||
+ | * Mit Fail: („-all“) wird den empfangenden Servern mitgeteilt, dass E-Mails, die nicht von im SPF autorisierten IP-Adressen erhalten werden, abgelehnt werden sollen. | ||
+ | * Mit Softfail („~all“) wird den empfangenden Servern mitgeteilt, dass E-Mails, die nicht von im SPF autorisierten IP-Adressen erhalten werden, zwar nicht allein auf Basis dieser Angabe abgelehnt werden sollen, dieses Ergebnis als negatives Indiz gewertet werden soll (z.B. im Rahmen von Bewertungen eines Spam-Filters). | ||
+ | * Neutral („? | ||
+ | Die GWDG verwendet für die auf den GWDG-Servern verwalteten E-Mail-Domänen bisher ein nur Softfail („~all“), | ||
+ | |||
+ | Die Anweisung an alle E-Mail-Dienste würde damit lauten: Wenn ihr E-Mail von gwdg.de (und anderen E-Mail-Domänen des GWDG-Email-Service) erhaltet, die nicht über die angegebenen E-Mail-Server verschickt wurden, dann lehnt die diese E-Mails ab. | ||