S/MIME, BIMI, VMC, SPF, DKIM, DMARC, TLS
Home / Media / S/MIME, BIMI, VMC, SPF, DKIM, DMARC, TLS; Sehen Sie vor lauter Bäumen den Wald nicht mehr?

S/MIME, BIMI, VMC, SPF, DKIM, DMARC, TLS
17 Dec ‘21

Intro:

E-Mail-Schutz ist wichtig, da sind wir uns alle einig. Um den Zugang zu E-Mails zu schützen, wird ein Nutzername mit Passwort verwendet oder vorzugsweise die Multifaktorauthentifizierung (MFA), bei der die Verbindung über Transport Layer Security (TLS) mittels eines SSL-Zertifikats verläuft. Auch für den Versand von E-Mails zwischen Mailservern wird TLS verwendet.

Aber wie weiß das empfangende Netzwerk, und noch wichtiger die empfangende Person, nun sicher, dass die empfangene E-Mail von der Person versandt wurde, von der man annimmt, dass diese sie verschickt hat?  Hierfür gibt es verschiedene Standards, die sich ergänzen und jeweils ihren eigenen spezifischen Nutzen haben.

Secure Multipurpose Internet Mail Extensions (S/MIME) gibt es seit 2002 und ist ein De-facto-Standard für Ende-zu-Ende gesicherte/verifizierbare E-Mails.

Obwohl Sender Policy Framework (SPF), DomainKeys Identified Email (DKIM) und Domain-based Message Authentication, Reporting & Conformance (DMARC) bereits einige Jahre existieren, werden sie erst seit 2018 in großem Umfang genutzt.

Seit 2021 kommt jetzt ein neuer Standard hinzu: Brand Indicators for Message Identification (BIMI) mit einem dafür benötigten Verified Mark Certificate (VMC)

Was dient wozu:

Alle genannten Standards haben ihren eigenen spezifischen Nutzen und ihre Anwendung, wodurch sie sich auch nicht ersetzen oder ausschließen:

S/MIME Erfordert je E-Mail-Adresse ein S/MIME-Zertifikat, das meistens auf dem Gerät eines Nutzers installiert wird. Dies sorgt dafür, dass:

  • Der Empfänger sicher weiß, wer die E-Mail gesendet hat
  • Der Empfänger sicher weiß, dass die E-Mail in Bezug auf den Inhalt (Body und Attachments) nicht verändert wurde
  • Für beide oben stehende Optionen nur ein S/MIME-Zertifikat für das Versenden erforderlich ist.
  • Die E-Mail-Nachricht sowohl für Empfänger als auch für Absender auf dem Gerät verschlüsselt ist, auf dem die E-Mail gelesen werden kann. Dies gilt auch während des Versands, sodass lediglich der Absender und Empfänger die Nachricht lesen können.
TLS Erfordert je E-Mail-Umgebung ein oder mehrere SSL-Zertifikate seitens des Netzwerks. Dies sorgt dafür, dass:

  • Die E-Mail ab dem Moment des Versands vom Mail-Client aus verschlüsselt ist, bis diese den Empfänger erreicht (Verschlüsselung während Transport).
SPF Erfordert nur einen DNS-Record. Dies sorgt dafür, dass:

  • Die E-Mail authentifiziert wird, sodass auf Netzwerkebene validiert werden kann, dass sie von einem identifizierten Mailserver für eine spezifische Domain versandt worden ist.
DKIM Erfordert nur einen DNS-Record. Dies sorgt dafür, dass:

  • Jede versandte E-Mail auf Domainebene (also nicht auf Ebene der E-Mail-Adresse) eine digitale Signatur erhält, um zu beweisen, dass die E-Mail tatsächlich von der Domain des Absenders aus versandt wurde.
DMARC Erfordert nur einen DNS-Record. Dies sorgt dafür, dass:

  • Der empfangende Mailserver weiß, was er mit einer E-Mail tun muss, die nicht der SPF- und DMARC-Validierung entspricht. Zum Beispiel: Stecke die empfangene E-Mail in Quarantäne.
BIMI Erfordert nur einen DNS-Record. Dies sorgt dafür, dass:

  • Empfangene E-Mails von dem empfangenden E-Mail-Provider mit einem vorzeigbaren und geprüften Logo ausgestattet werden können, das zum Unternehmen gehört, welches die E-Mail versandt hat.
VMC Erfordert ein nachweisbar geschütztes Logo, wobei 1 Verified Mark Certificate je Logo angeschafft werden muss (1 Jahr gültig). Dies sorgt dafür, dass:

  • Falls BIMI eingestellt ist, dieses auf ein Logo verweisen kann.
  • Falls der empfangende E-Mail-Provider BIMI unterstützt, das Logo vom Absender bei einer empfangenen E-Mail wiedergegeben wird.

Häufig vorkommende Missverständnisse

 Jetzt, wo die verschiedenen Standards erklärt worden sind, ist es einfach, häufig gestellte Fragen zu beantworten:

  •  Wenn ich DKIM verwende, dann brauche ich doch kein S/MIME für digitale Signaturen?

DKIM sorgt für eine digitale Signatur auf E-Mail-Ebene, die nur für den Mail-Provider des Empfängers verwendet wird und sichtbar ist. Diese DKIM digitale Signatur ist für den tatsächlichen Empfänger nicht sichtbar oder brauchbar.

Eine S/MIME basierte Signatur ist wohl sichtbar für den wirklichen Empfänger. Der Mail-Client gibt durch diese S/MIME basierte digitale Signatur direkt einen Hinweis, ob eine E-Mail in Bezug auf Body und Attachment verändert worden ist, nachdem diese versandt wurde UND versetzt den Empfänger in die Lage, zu prüfen, wer die E-Mail tatsächlich gesendet hat.

  • Wenn ich doch schon E-Mails verschlüsselt über TLS versende, dann brauche ich doch keine S/MIME E-Mailverschlüsselung?

TLS sorgt dafür, dass die E-Mail ab dem Zeitpunkt verschlüsselt ist, zu dem im Mail-Client auf “Versenden” gedrückt wird, bis die E-Mail beim Empfänger ankommt. Kurzum Verschlüsselung von Daten in Bewegung, oder auch Punkt-zu-Punkt-Verschlüsselung genannt.

S/MIME sorgt dafür, dass die versandte E-Mail seitens des Absenders sowie seitens des Empfängers im Ruhezustand verschlüsselt ist. Auch Ende-zu-Ende-Verschlüsselung genannt.

Niemand kann die Anlagen und den E-Mail-Bodytext lesen, außer wenn er über den privaten Schlüssel des Empfängers verfügt.

Jemand, der sich illegal in ein E-Mail-Konto einloggen kann, kann also nicht die E-Mails lesen.

Aber auch der E-Mail-Provider kann den Inhalt der E-Mails nicht scannen, zum Beispiel für das Anzeigen spezifischer Werbeanzeigen.

  • BIMI und VMC sorgen als Standard doch weltweit für zusätzlichen E-Mail-Schutz?

BIMI und VMC sorgen für Logoerkennung und sind damit vor allem für Marketingzwecke gedacht.

Dabei werden BIMI und VMC auf globaler Ebene zum Zeitpunkt des Verfassens dieses Artikels nur von GMail und Yahoo! Mail unterstützt. Mail

Microsoft unterstützt BIMI und VMC zurzeit nicht und beabsichtigt dies laut eigenen Angaben auch in Zukunft nicht.

Online BIMI/VMC und DMARK/DKIM/SPF kontrollieren

Möchten Sie kontrollieren, ob ein Unternehmen für seine Domain DMARK, DKIM, SPF, BIMI und VMC (gut) eingestellt hat? Dies ist einfach möglich über: https://bimigroup.org/bimi-generator/

Möchten Sie mehr Informationen? bitte kontaktieren Sie uns.

Das KeyTalk-Team