Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=Sender-Checks-details

So funktioniert die Nachrichten-Authentifizierung

Mit der Nachrichten-Authentifizierung wird die Echtheit der Herkunft einer E-Mail überprüft.

Wir beschreiben hier die verschiedenen Nachrichten-Authentifizierungen vor, die Sophos Email Security vornimmt, um Sie vor nicht legitimen E-Mails zu schützen.

Weitere Informationen zur Reihenfolge, in der Prüfungen in verschiedenen Szenarien durchgeführt werden, finden Sie unter Abfolge der Nachrichten-Authentifizierung.

Hinweis

Hier wird kurz erklärt, wie die Nachrichten-Authentifizierung funktioniert. Es wird jedoch nicht detailliert beschrieben, wie DNS-Einträge (DMARC, SPF, DKIM) angelegt werden, da wir uns darauf konzentrieren, was mit den eingehenden E-Mails geschieht.

DMARC

Domain-based Message Authentication, Reporting and Conformance (DMARC) nutzt DKIM und SPF, um die Echtheit einer E-Mail zu überprüfen.

Der Absender legt einen DMARC-Eintrag an, der den Empfänger anweist, DMARC-Überprüfungen vorzunehmen, und Informationen darüber enthält, was zu tun ist, wenn die DMARC-Überprüfung fehlschlägt.

Bei Erhalt einer E-Mail führt Sophos Email Security eine DNS-Überprüfung durch, um den DMARC-Eintrag für die in der Von (Header)-Adresse der E-Mail angegebene Domain zu finden. Der DMARC-Eintrag teilt dem Empfänger (in diesem Fall Sophos Email Security) mit, dass eine DMARC-Überprüfung vorgenommen werden muss, und enthält Hinweise, was zu tun ist, wenn die DMARC-Überprüfung fehlschlägt. Die Standardoption in Sophos Email Security für E-Mails, bei denen die DMARC-Überprüfung fehlgeschlagen ist, lautet Gemäß Absender-Richtlinie. Das bedeutet: Was mit der Nachricht geschieht, hängt davon ab, was in dem DMARC-Eintrag festgelegt ist. Die in der Von-Adresse angegebene Domain wird mit den Daten in den SPF- und DKIM-Einträgen abgeglichen, um zu überprüfen, ob die Domains übereinstimmen. Um eine DMARC-Überprüfung zu bestehen, muss die Nachricht die Validierungs- und Übereinstimmungsüberprüfungen für SPF oder DKIM bestehen:

  • Bei SPF muss die in der MAIL FROM (Envelope)-Adresse angegebene Domäne mit einer der IP-Adressen oder Subnetze übereinstimmen, die im SPF-Eintrag angegeben sind. DMARC gleicht dann die MAIL FROM-Adresse mit der Von-Adresse ab, um sicherzustellen, dass beide übereinstimmen.
  • Bei DKIM muss die Signatur überprüft werden und die in der Von-Adresse angegebene Domain muss mit der Domain übereinstimmen, die für die Erstellung der im DNS-Eintrag angegebenen Signatur verwendet wurde.

Siehe DMARC.

SPF

Mit Sender Policy Framework (SPF) kann überprüft werden, ob eingehende E-Mails von einer IP-Adresse oder einem Host stammen, die von den Administratoren der Absender-Domäne autorisiert wurden.

Der Absender legt einen SPF-Eintrag an, in dem die Hosts, IP-Adressen und Subnetze festgelegt werden, die E-Mails für ihre Domain senden dürfen.

Wenn Sophos Email Security eine E-Mail erhält, vergleicht es die Adresse des sendenden Mailservers mit den autorisierten Absendern im SPF-Datensatz. Stimmen diese nicht überein, schlägt die SPF-Überprüfung fehl.

Unter SPF.

DKIM

DomainKeys Identified Mail (DKIM) wird verwendet, um eine E-Mail durch Überprüfung ihrer digitalen Signatur zu autorisieren; dabei wird ein Domänenname mit der E-Mail verknüpft.

Der Absender entscheidet, welcher Teil der E-Mail signiert werden soll (Header und/oder Nachrichtentext) und konfiguriert dann seinen E-Mail-Server so, dass ein Hash dieser Teile erzeugt wird. Der Hash wird dann mit seinem privaten Schlüssel verschlüsselt. Außerdem wird ein DKIM-Eintrag angelegt, der den öffentlichen Schlüssel für die Entschlüsselung der Signatur enthält.

Wenn Sophos Email Security feststellt, dass eine E-Mail eine DKIM-Signatur hat, wird ein DNS-Abgleich vorgenommen, um den mit der Absender-Domain verknüpften DKIM-Eintrag zu finden. Dabei wird der öffentliche Schlüssel zum Entschlüsseln der digitalen Signatur zurück zum Hash-Wert verwendet. Dann wird auf Grundlage der signierten Elemente der Nachricht ein eigener Hash erzeugt, der mit dem verschlüsselten Hash abgeglichen wird. Stimmen diese nicht überein, schlägt die DKIM-Überprüfung fehl.

Siehe DKIM.