S/MIME, BIMI, VMC, SPF, DKIM, DMARC, TLS 17 Dec ‘21
Intro:
E-Mail-Schutz ist wichtig, da sind wir uns alle einig. Um den Zugang zu E-Mails zu schützen, wird ein Nutzername mit Passwort verwendet oder vorzugsweise die Multifaktorauthentifizierung (MFA), bei der die Verbindung über Transport Layer Security (TLS) mittels eines SSL-Zertifikats verläuft. Auch für den Versand von E-Mails zwischen Mailservern wird TLS verwendet.
Aber wie weiß das empfangende Netzwerk, und noch wichtiger die empfangende Person, nun sicher, dass die empfangene E-Mail von der Person versandt wurde, von der man annimmt, dass diese sie verschickt hat? Hierfür gibt es verschiedene Standards, die sich ergänzen und jeweils ihren eigenen spezifischen Nutzen haben.
Secure Multipurpose Internet Mail Extensions (S/MIME) gibt es seit 2002 und ist ein De-facto-Standard für Ende-zu-Ende gesicherte/verifizierbare E-Mails.
Obwohl Sender Policy Framework (SPF), DomainKeys Identified Email (DKIM) und Domain-based Message Authentication, Reporting & Conformance (DMARC) bereits einige Jahre existieren, werden sie erst seit 2018 in großem Umfang genutzt.
Seit 2021 kommt jetzt ein neuer Standard hinzu: Brand Indicators for Message Identification (BIMI) mit einem dafür benötigten Verified Mark Certificate (VMC)
Was dient wozu:
Alle genannten Standards haben ihren eigenen spezifischen Nutzen und ihre Anwendung, wodurch sie sich auch nicht ersetzen oder ausschließen:
S/MIME | Erfordert je E-Mail-Adresse ein S/MIME-Zertifikat, das meistens auf dem Gerät eines Nutzers installiert wird. Dies sorgt dafür, dass:
|
TLS | Erfordert je E-Mail-Umgebung ein oder mehrere SSL-Zertifikate seitens des Netzwerks. Dies sorgt dafür, dass:
|
SPF | Erfordert nur einen DNS-Record. Dies sorgt dafür, dass:
|
DKIM | Erfordert nur einen DNS-Record. Dies sorgt dafür, dass:
|
DMARC | Erfordert nur einen DNS-Record. Dies sorgt dafür, dass:
|
BIMI | Erfordert nur einen DNS-Record. Dies sorgt dafür, dass:
|
VMC | Erfordert ein nachweisbar geschütztes Logo, wobei 1 Verified Mark Certificate je Logo angeschafft werden muss (1 Jahr gültig). Dies sorgt dafür, dass:
|
Häufig vorkommende Missverständnisse
Jetzt, wo die verschiedenen Standards erklärt worden sind, ist es einfach, häufig gestellte Fragen zu beantworten:
- Wenn ich DKIM verwende, dann brauche ich doch kein S/MIME für digitale Signaturen?
DKIM sorgt für eine digitale Signatur auf E-Mail-Ebene, die nur für den Mail-Provider des Empfängers verwendet wird und sichtbar ist. Diese DKIM digitale Signatur ist für den tatsächlichen Empfänger nicht sichtbar oder brauchbar.
Eine S/MIME basierte Signatur ist wohl sichtbar für den wirklichen Empfänger. Der Mail-Client gibt durch diese S/MIME basierte digitale Signatur direkt einen Hinweis, ob eine E-Mail in Bezug auf Body und Attachment verändert worden ist, nachdem diese versandt wurde UND versetzt den Empfänger in die Lage, zu prüfen, wer die E-Mail tatsächlich gesendet hat.
- Wenn ich doch schon E-Mails verschlüsselt über TLS versende, dann brauche ich doch keine S/MIME E-Mailverschlüsselung?
TLS sorgt dafür, dass die E-Mail ab dem Zeitpunkt verschlüsselt ist, zu dem im Mail-Client auf “Versenden” gedrückt wird, bis die E-Mail beim Empfänger ankommt. Kurzum Verschlüsselung von Daten in Bewegung, oder auch Punkt-zu-Punkt-Verschlüsselung genannt.
S/MIME sorgt dafür, dass die versandte E-Mail seitens des Absenders sowie seitens des Empfängers im Ruhezustand verschlüsselt ist. Auch Ende-zu-Ende-Verschlüsselung genannt.
Niemand kann die Anlagen und den E-Mail-Bodytext lesen, außer wenn er über den privaten Schlüssel des Empfängers verfügt.
Jemand, der sich illegal in ein E-Mail-Konto einloggen kann, kann also nicht die E-Mails lesen.
Aber auch der E-Mail-Provider kann den Inhalt der E-Mails nicht scannen, zum Beispiel für das Anzeigen spezifischer Werbeanzeigen.
- BIMI und VMC sorgen als Standard doch weltweit für zusätzlichen E-Mail-Schutz?
BIMI und VMC sorgen für Logoerkennung und sind damit vor allem für Marketingzwecke gedacht.
Dabei werden BIMI und VMC auf globaler Ebene zum Zeitpunkt des Verfassens dieses Artikels nur von GMail und Yahoo! Mail unterstützt. Mail
Microsoft unterstützt BIMI und VMC zurzeit nicht und beabsichtigt dies laut eigenen Angaben auch in Zukunft nicht.
Online BIMI/VMC und DMARK/DKIM/SPF kontrollieren
Möchten Sie kontrollieren, ob ein Unternehmen für seine Domain DMARK, DKIM, SPF, BIMI und VMC (gut) eingestellt hat? Dies ist einfach möglich über: https://bimigroup.org/bimi-generator/
Möchten Sie mehr Informationen? bitte kontaktieren Sie uns.
Das KeyTalk-Team
