Angesichts immer häufiger auftretender Cyberattacken ist die Sicherheit von E-Mails zu einer absoluten Priorität geworden, möglicherweise mehr als je zuvor. Unter den Bedrohungen, die Cybersecurity-Initiativen versuchen zu neutralisieren, ist Spoofing besonders tückisch.

Wer Spoofing betreibt, täuscht (spoof) die Identität legitimer Absender vor und nutzt deren Identität, um betrügerische Mitteilungen zu versenden.

Personen, die diese Angriffstechnik anwenden, sind für das vorgesehene Opfer zunächst „vertrauenswürdig“, um Zugang zu vertraulichen Informationen und sensiblen Daten zu erhalten, Viren zu verbreiten und finanziellen Betrug vorzunehmen.

Spoofing beeinträchtigt die Sicherheit und das Vertrauen im digitalen Bereich.

Es bedroht die Kommunikation zwischen Personen und Unternehmen.

Um der Herausforderung durch Spoofing die Stirn zu bieten, haben Gmail, Yahoo und andere E-Mail-Anbieter neue Vorgaben für die Absender von E-Mails festgelegt, um die Sicherheit ihrer digitalen Mitteilungen zu verbessern.

Welche Vorgaben gelten für E-Mail Versender?

Nach einer Untersuchung auf Grundlage des Cyber Resilience Reports von Accenture sind Cyberattacken zunehmend raffinierter geworden: Im dritten Quartal des Jahres 2022 waren sie für 88 % der Datenschutzverletzungen verantwortlich.

E-Mail-Angriffe haben sich zum fünfzehnten Mal in Folge als Hauptangriffs-Vektor bestätigt.

Von 1.595 Verletzungen gehen 461 (22 % des Gesamtwerts) auf das Konto von E-Mail-Aktionen wie Spoofing.

Um dem Spoofing entgegenzuwirken und die Sicherheit digitaler Mitteilungen zu verbessern, haben Gmail, Yahoo und andere E-Mail-Anbieter neue Vorgaben für die Absender von E-Mails festgelegt.

Die ab Februar 2024 gültigen Vorgaben sind:

  • SPF– und DKIM-E-Mail-Authentifizierung für die Domain.
  • Sende-Domains oder -IPs mit gültigen direkten und inversen DNS-Records, auch als Pointer-Records (PTR) definiert.
  • In Postmaster Tools aufgeführte Spam-Anteile unter 0,3 %.
  • Nach dem Standard Internet Message Format (RFC 5322) formatierte Mitteilungen.
  • Verbot der Gmail-Personifizierung in der Absenderzeile „Von:“ (nicht von „muster@gmail.com“ senden).
  • ARC-Absenderzeilen bei ausgehenden E-Mails, wenn die E-Mails regulär übertragen werden (auch unter Verwendung der Mailing List oder der Eingangs-Gateway).
  • DMARC-E-Mail-Authentifizierung für die Sende-Domain.
  • Ausrichtung der Domain in der Absenderzeile „Von:“ des Absenders zur SPF-Domain oder DKIM-Domain.
  • Aktivierung der Abmeldeoption mit einem Klick (One-click unsubscribe) mit innerhalb der Mitteilung deutlich sichtbarer Verknüpfung der Abmeldung.
  • TLS-Verbindung für E-Mail-Übertragung.

Unter diesen sind drei Vorgaben besonders zu beachten.

  1. Aktivierung des DMARC-Kriteriums: Dieser Standard der E-Mail-Authentifizierung erkennt E-Mail-Spoofing und beugt diesem vor, um die Domains der Absender gegen betrügerische Nutzungen zu schützen.
  2. Implementierung von E-Mail-Authentifizierungsprotokollen (SPF und DKIM): Es handelt sich dabei um Sicherheitsprotokolle, die verhindern, dass Urheber von Bedrohungen E-Mails durch Nutzung legitimer Domains, die das Vertrauen der Empfänger der Mitteilungen genießen, versenden können.
  3. Einbeziehung der Abmeldung mit einem Klick (One-click unsubscribe): Diese Vorgabe vereinfacht den Prozess der Abmeldung und verbessert das Kundenerlebnis, da sie die Gefahr einer fehlerhaften Klassifizierung der E-Mail als Spam reduziert.

Folgen der Nichteinhaltung: Negative Auswirkungen für Unternehmen

Die Berücksichtigung der neuen Vorgaben ist wesentlich, um die Konformität zu garantieren und digitale Mitteilungen gegen Cyberattacken zu schützen.

Für Absender, die mehr als 5000 Mitteilungen am Tag versenden und für die Kommunikation mit ihren Kunden auf E-Mails vertrauen, wird die Konformität zu einem besonders kritischen Aspekt, der unabdingbar ist, um negative Konsequenzen für ihr Business zu verhindern.

Wird die Implementierung der Vorgaben ignoriert oder verzögert, könnte dies schwerwiegende Folgen nach sich ziehen: Tausende E-Mails könnten nicht wie vorgesehen zugestellt oder von den Gmail-, Yahoo- und Apple-Accounts als Spam gekennzeichnet werden.

Für viele Organisationen würde dies die Wirksamkeit von Marketing- und Kommunikationskampagnen beeinträchtigen; die Unternehmensreputation schädigen und das Vertrauen der Kunden untergraben, mit möglichen langfristigen finanziellen Auswirkungen.

Doxee Platform®: Die Lösung, die Konformität und Sicherheit garantiert

Doxee bietet eine unmittelbare und vollständige Lösung. Dank aller erforderlichen Konfigurationen zur Erfüllung der Vorgaben in puncto E-Mail-Authentifizierung, incl. SPF, DKIM und DMARC, vereinfacht die Doxee Platform® den Prozess der E-Mail-Verwaltung, garantiert Konformität und gewährleistet somit die Wirksamkeit der unternehmerischen Kommunikation.

Doxee bietet somit eine Lösung für Unternehmen, die ihre E-Mail-Sicherheit intern verwalten und dabei Schutz und Zuverlässigkeit ihrer digitalen Kommunikation sicherstellen möchten.