Zero Trust für E‑Mails : Die Zeit für eine echte E‑Mail-Firewall ist gekommen

Von Stefan Cink, Net at Work GmbH

Niemand bei Verstand würde ein Firmennetzwerk ohne eine effiziente Firewall mit dem Internet verbinden. Eine Firewall regelt den generellen Zugang zum internen Netz. Jeder Administrator, der seinen Job vernünftig macht, hat am Ende seines Regelwerks für die Firewall die berühmte „Any-Any-Drop-Regel“. Sie besagt im Kern, dass alles, was vorher nicht explizit zugelassen wurde, abgewiesen wird.

Die gängige Praxis in der E‑Mail-Kommunikation sieht dagegen oftmals leider anders aus. Aus Angst, eine wichtige E‑Mail fälschlicherweise abzulehnen, werden E‑Mails erst einmal großzügig angenommen, um dann mit viel Aufwand herauszufinden, ob sie schädlich sein könnten. Dass dieses Vorgehen im Wettlauf von Mail-Security-Lösungen gegen Cyberkriminelle regelmäßig schiefgehen kann, liegt auf der Hand, und die vielen erfolgreichen Angriffe sind ein Beleg des Scheiterns für diesen Ansatz.

Hand auf Herz, wie wahrscheinlich ist es, dass ein unbekannter Absender von einer Domain mit zweifelhaftem Ruf eine für den Mitarbeiter wichtige E‑Mail mit einem potenziell gefährlichen Anhang schickt? Wohl eher unwahrscheinlich. Daher drehen wir den Spieß im Sinne eines Zero-Trust-Ansatzes doch einfach einmal um: Alle E‑Mails mit Anhängen, die nicht explizit zugelassen sind, werden abgelehnt. Moderne E‑Mail-Security-Gateways können – analog zu Firewalls – genau das leisten: ungewollten Traffic ablehnen, bevor er die E‑Mailserver des Unternehmens erreicht.

Absenderreputation als entscheidendes Kriterium

Dreh- und Angelpunkt für dieses Konzept ist die richtige Einschätzung der Reputation des Absenders und natürlich der Anhangstyp. Die gute Nachricht ist, dass es technisch bereits alle notwendigen Mechanismen zur Prüfung der Echtheit des Absenders gibt. Die schlechte, dass sie immer noch zu selten eingesetzt werden. Bewährte Verfahren zur Einschätzung der Absenderreputation existieren seit geraumer Zeit und bieten eine wirkungsvolle Möglichkeit, gefälschte Absenderdomänen zu erkennen und so die tatsächliche Absenderreputation zweifelsfrei einschätzen.

SPF, DKIM, DMARC, ARC und DANE – diese fünf technischen Mechanismen greifen bei der Prüfung der Absender- und Empfängerreputation ineinander und sollen hier nur kurz erläutert werden. SPF ermöglicht es dem empfangenden Server einer E‑Mail, eindeutig festzustellen, ob der einliefernde Server autorisiert ist, im Namen der absendenden Domäne E‑Mails zuzustellen. DKIM bestätigt, dass eine E‑Mail authentisch und auf dem Übertragungsweg unverändert geblieben ist sowie die Echtheit des im Header-From angegebenen Absenders. DMARC baut technisch auf diesen beiden Verfahren auf und definiert, wie der Empfänger die Authentifizierung vornehmen und was im Fall einer fehlgeschlagenen Überprüfung passieren soll. Durch ARC verfügt der Empfänger über Informationen zu den Ergebnissen der SPF-, DKIM- und DMARC-Prüfungen, die durch den ersten Teilnehmer der ARC-Kette vorgenommen wurden – auch, wenn die E‑Mail durch Weiterleitungen verändert wurde. DANE schließlich dient zur Sicherstellung der Authentizität von Zertifikaten bei der TLS-Verschlüsselung.

Diese einfache und ohne teure Werkzeuge umsetzbare Kette an Prüfungen stellt zweifelsfrei sicher, dass die betroffene E‑Mail vom angegebenen Absender stammt und unverändert eingetroffen ist – oder anders ausgedrückt, dass sie ist, was sie vorgibt zu sein. Typische Phishing- Kampagnen oder Social Engineering-Angriffe unter Vortäuschung falscher Identitäten lassen sich damit sicher erkennen und abwehren.

Prüfmechanismen zur Absenderreputation erklärt

Eine ausführliche Erläuterung von SPF, DKIM, DMARC, ARC und DANE sowie ihrer Nutzung finden Sie in einer Blogartikel-Reihe auf der No-SpamProxy-Website www.nospamproxy.de/de/blog

Individuelle Bewertung der Vertrauenswürdigkeit

Ist die Authentizität der E‑Mail zweifelsfrei bestätigt, kann die Reputation weiter bewertet werden: Unterschiedliche Top-Level-Domains haben unterschiedliche Wahrscheinlichkeiten, problematische Inhalte zu verbreiten. Intelligente Anti-Malware-Services wie 32Guards führen übergreifend Metadaten von E‑Mails zusammen und erkennen damit neue Malware-Trends, neuartige Spam-Attacken und weitere Cyberbedrohungen aller Art in kürzester Zeit. Diese Services liefern weitere wichtige Anhaltspunkte zur Reputation des Absenders und zur Schädlichkeit von Anhängen oder Links.

Ein gutes E‑Mail-Security-Gateway weiß zudem, ob mit dem Absender bereits E‑Mail-Kontakt besteht oder nicht. Dieses Wissen muss konsequent und intelligent genutzt werden.

Verzahnung mit anderen Technologien

Die konkrete Bewertung der Reputation eines einzelnen Absenders erlaubt einen gestaffelten Umgang mit eintreffenden E‑Mails. Beispielsweise wird eine E‑Mail mit einem Word-Dokument von einem unbekannten Absender von einer zweifelhaften Domain abgelehnt. Wahlweise kann sie auch zugestellt, das Word Attachment jedoch mittels Content Disarm & Reconstruction (CDR) zu einem harmlosen PDF umgewandelt werden. Nur wenn die E‑Mail von einem bekannten Absender mit hoher Reputation kommt, wird sie mit dem originalen Word-Anhang zugestellt – wobei natürlich der Anhang vorher auch auf Malware oder schädliche Links hin untersucht wird.

Diese abgestufte Reaktion kennen wir doch auch bei der physischen Sicherheit: Das Sicherheitspersonal kennt langjährige Mitarbeitende per Augenschein und lässt sie passieren, während unbekannte Besucher sich ausweisen, registrieren und ihr Handy abgeben müssen.

Ein weiterer, enormer Fortschritt für die Sicherheit der E‑Mail-Kommunikation ließe sich erzielen, wenn endlich alle Akteure zumindest im B2B-Umfeld ausschließlich verschlüsselte E‑Mails versenden würden. Standardmäßig signierte und verschlüsselte E‑Mails bieten ein deutlich geringeres Potenzial für Missbrauch. Für Unternehmen, öffentliche Einrichtungen und andere Organisationen ist E‑Mail-Verschlüsselung mit dem richtigen E‑Mail-Security-Gateway ohne großen Aufwand praxisgerecht umsetzbar, kostet ein paar Euro pro User und ist allein schon aus Datenschutzgründen zwingend. Nicht umsonst empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) E‑Mail-Verschlüsselung im Rahmen des IT-Grundschutzes.

Zero Trust in der E‑Mail-Kommunikation zahlt sich aus

Die Umkehr der Beweislast – der Sender muss nachweisen, dass er vertrauenswürdig ist und nicht der Empfänger, dass dies nicht der Fall ist – ist der Schlüssel zu mehr Sicherheit in der E‑Mail-Kommunikation. Wenn alle rechtschaffenden Akteure ihre eigene Reputation pflegen und es üblich wird, die Reputation des Senders beim Empfang gewissenhaft zu prüfen, wird es Cyberkriminellen deutlich schwerer gemacht. Gute, gewollte E‑Mails werden ankommen, zweifelhafte abgelehnt.

Als angenehmer Nebeneffekt werden Quarantäne-Ordner überflüssig, weil zweifelhafte E‑Mails nicht angenommen werden, sondern der Absender über die Nichtzustellung informiert wird. So wird nicht nur erheblicher Aufwand bei Nutzern und Administratoren eingespart, sondern auch Rechtssicherheit geschaffen.

Dabei ist dieser Ansatz keineswegs Zukunftsmusik. Mit dem Produkt NoSpamProxy lässt er sich vollständig umsetzen. Das findet auch das BSI so überzeugend, dass NoSpamProxy die weltweit einzige Mail-Security-Software ist, die vom BSI nach BSZ zertifiziert ist.

NoSpamProxy Highlights auf der it-sa 2024

• Vorstellung der weltweit einzigen Mail-Security-Software zertifiziert vom BSI nach BSZ
• Schutz vor Malware, Ransomware und Spam – aus der Cloud oder auf dem Server
• praxistaugliche E‑Mail-Verschlüsselung
• Vortrag „Vom User gefeiert, vom BSI zertifiziert“ im Knowledge Forum C, Di 16.30 – 16.45, Mi 15.15 – 15.30

Halle 7, Stand 7-429