SPF und DKIM

Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) sind Validierungsmethoden, um eingehende E-Mail-Nachrichten von bestimmten Domänen zu überprüfen, die vom Besitzer der jeweiligen Domäne autorisiert wurden. Auf diese Weise werden Empfänger vor gefälschten E-Mail-Nachrichten geschützt. ESET Mail Security verwendet außerdem DMARC (Domain-based Message Authentication, Reporting and Conformance) als Ergänzung zu SPF und DKIM.

SPF

Die SPF-Prüfung ermittelt, ob eine E-Mail von einem legitimen Absender stammt. Eine DNS-Abfrage für SPF-Einträge der Absenderdomäne wird ausgeführt, um eine Liste von IP-Adressen zu erhalten. Falls eine der IP-Adressen aus den SPF-Einträgen mit der tatsächlichen IP-Adresse des Absenders übereinstimmt, gilt die SPF-Prüfung als Bestanden. Wenn die tatsächliche IP-Adresse des Absenders nicht übereinstimmt, wird ein Fehler ausgegeben. Allerdings haben nicht alle Domänen SPF-Einträge im DNS. Falls keine SPF-Einträge im DNS vorhanden sind, lautet das Ergebnis Nicht verfügbar. Bei DNS-Anfragen kann gelegentlich eine Zeitüberschreitung auftreten. In diesem Fall ist das Ergebnis ebenfalls Nicht verfügbar.

DKIM

Organisationen setzen diese Technologie ein, um gefälschte E-Mail-Nachrichten (Spoofing) zu verhindern, indem an die Header ausgehender Nachrichten eine digitale Signatur gemäß des DKIM-Standards angefügt wird. Dieses Verfahren verwendet einen privaten Domänenschlüssel, um die Header in den ausgehenden E-Mails Ihrer Domäne zu verschlüsseln, und fügt eine öffentliche Version des Schlüssels zum DNS-Eintrag der Domäne hinzu. ESET Mail Security kann anschließend den öffentlichen Schlüssel abrufen, um eingehende Header zu entschlüsseln und sicherzustellen, dass die Nachricht tatsächlich von Ihrer Domäne stammt und die Header auf dem Weg nicht verändert wurden.

DMARC

DMARC basiert auf den SPF- und DKIM-Techniken. Sie können Mail-Transport-Schutzregeln verwenden, um das DMARC-Ergebnis und die Aktion DMARC-Policy übernehmen auszuwerten.

ARC

Das ARC-Protokoll (Authenticated Received Chain) bietet eine authentifizierte „Kontrollkette“ für eine Nachricht, mit der jede Entität, die die Nachricht verarbeitet, sehen kann, welche Entitäten sie zuvor verarbeitet haben und wie die Authentifizierung der Nachricht bei jedem Schritt bewertet wurde. ARC löst das Problem, dass zwischengeschaltete Mailserver herkömmliche Authentifizierungsmethoden wie SPF oder DKIM durch Ändern der E-Mail-Nachricht zunichte machen.

Mit ARC können Internet-Mail-Handler Assertions der Authentifizierungsbewertung an einzelne Nachrichten anhängen. Wenn Nachrichten ARC-fähige Internet-Mail-Handler durchlaufen, können zusätzliche ARC-Assertions an Nachrichten angehängt werden, um geordnete Sätze von ARC-Assertions zu bilden, die die Authentifizierungsbewertung bei jedem Schritt der Nachrichtenverarbeitung abbilden.

ARC-fähige Internet-Mail-Handler können Sätze von ARC-Assertions verarbeiten, um Entscheidungen über die Nachrichtenzustellung zu treffen, Internet-Mail-Handler zu identifizieren, die Probleme bei vorhandenen Authentifizierungsmechanismen verursachen können, und ursprüngliche Authentifizierungsbewertungen über Vertrauensgrenzen hinweg zu übermitteln.

Weitere Informationen zu den Anwendungsfällen für ARC und die damit durchgeführte Nachrichtenverarbeitung finden Sie unter ARC-Anwendungsfälle.

ARC-Signatur akzeptieren

Die ARC-Funktion ist standardmäßig aktiviert. Der ESET Mail Security Spam-Schutz wertet ARC-Header im Rahmen definierter Regeln für SPF, DKIM, DMARC und nur in den folgenden Fällen aus:

•SPF-Ergebnis ist gleich FAIL, SOFTFAIL

•DKIM-Ergebnis ist gleich FAIL

•DMARC-Ergebnis ist gleich FAIL

Vertrauenswürdige ARC-Sealer

Es werden nur ARC-Signaturen von vertrauenswürdigen Sealern akzeptiert. Die Liste der standardmäßigen vertrauenswürdigen Sealer lautet wie folgt: google.com, gmail.com, googlegroups.com, messagingengine.com, fastmail.com, fastmail.fm, outlook.com, hotmail.com, office365.com, microsoft.com, yahoo.com, ymail.com, icloud.com, me.com, amazon.com, and aws.amazon.com.

DNS-Server automatisch erkennen

Die automatische Erkennung verwendet die Einstellungen Ihres Netzwerkadapters.

IP-Adresse des DNS-Servers

Falls Sie bestimmte DNS-Server für SPF und DKIM verwenden möchten, können Sie die IP-Adresse (im IPv4- oder IPv6-Format) des gewünschten DNS Servers eingeben.

Zeitüberschreitung für DNS-Abfrage (Sekunden)

Geben Sie eine Zeitüberschreitung für die DNS-Antwort an.

Nachrichten bei fehlgeschlagener SPF-Prüfung automatisch ablehnen

Wenn Ihre SPF-Prüfung sofort einen Fehler ergibt, kann die E-Mail noch vor dem Download verworfen werden.

Helo-Domäne in der SPF-Auswertung verwenden

Diese Funktion verwendet die HELO-Domäne für die SPF-Auswertung. Wenn Sie die HELO-Domäne nicht angeben, wird stattdessen der Hostname des Computers verwendet.

From:-Header verwenden, wenn MAIL FROM leer ist

Der MAIL FROM-Header kann leer sein und lässt sich außerdem leicht fälschen. Wenn diese Option aktiviert ist und MAIL FROM leer ist, wird die Nachricht heruntergeladen und stattdessen der Header From: verwendet.

Greylisting bei bestandener SPF-Prüfung automatisch umgehen

Greylisting bietet keine Vorteile für die Nachricht, wenn die SPF-Prüfung bestanden wurde.

SMTP-Ablehnungsantwort

Sie können Antwortcode, Statuscode und Antwortnachricht an den SMTP-Server für die SMTP vorübergehende Ablehnung einer E-Mail festlegen. Sie können eine Antwortnachricht in folgendem Format eingeben:

˄˅