In einem zweiteiligen Blogbeitrag behandeln wir, welche Aspekte jede Organisation heute berücksichtigen sollte, um die E-Mail-Domänen der Organisation vor Missbrauch zu schützen, wie die Zustellbarkeit ihrer Nachrichten verbessert werden kann und welche Punkte beim Schutz vor Phishing- und Schadsoftware-Nachrichten für eingehende E-Mails zu beachten sind.
In diesem ersten Teil widmen wir uns der Nachrichtenhygiene, d.h. wie wir die E-Mail-Adressen unserer Organisation vor Missbrauch schützen und die Zustellbarkeit unserer Nachrichten verbessern, damit sie nicht als Spam enden oder sogar vollständig beim Empfänger blockiert werden. Im zweiten, später erscheinenden Teil konzentrieren wir uns darauf, wie wir unsere Benutzer bestmöglich vor Phishing- und Schadsoftware-Nachrichten schützen können.
E-Mails werden auf vielfältige Weise genutzt
Jede Organisation nutzt E-Mails für verschiedene Zwecke. Wir kommunizieren beispielsweise damit mit verschiedenen Stakeholdern. Die Marketingabteilung nutzt sie für den Versand von Marketingnachrichten, und in einigen Organisationen ist sie ein wichtiger Bestandteil des ERP-Systems, um als Kommunikationskanal zwischen verschiedenen Systemen zu fungieren. Es gibt noch zahlreiche weitere Anwendungsfälle. Seit jeher war die Verifizierung der Absenderidentität ein Problem bei E-Mails. Praktisch kann auch heute noch jeder in unserem Namen E-Mails versenden, im Guten wie im Schlechten.
Die gängigsten Schutzmechanismen, mit denen wir anderen mitteilen, von welchen Diensten in unserem Namen E-Mails gesendet werden, sind SPF, DKIM und DMARC. DMARC ist der jüngste dieser Mechanismen und fungiert als „verstärkendes Schloss“ für SPF- und DKIM-Einstellungen, die ohne DMARC tatsächlich leicht umgangen werden können. Aus diesem Grund wird seine Verwendung nun zunehmend gefordert, wie es bereits bei Google und Yahoo der Fall ist. Ich persönlich glaube, dass dies erst der Anfang ist und die Anforderungen in Zukunft noch weiter verschärft werden.
Google und Yahoo verschärfen ihre Anforderungen
Google und Yahoo haben im letzten Herbst angekündigt, dass Absender, die mehr als 5000 Nachrichten pro Tag an ihre Dienste senden, DMARC verwenden müssen. Die Regelung trat in ihren Diensten Anfang Februar in Kraft. Die DMARC-Anforderung ist jedoch noch moderat im Berichtsmodus (Policy=none), dessen Implementierung die Zustellbarkeit von Nachrichten für Organisationen nicht gefährdet, selbst wenn nicht alle E-Mail-Schutzmechanismen (wie SPF und DKIM) vollständig in Ordnung sind. Ich habe viele Anfragen zu diesem Thema erhalten, da verschiedene Anbieter über die Anforderungen zur Einführung der DMARC-Richtlinie kommuniziert haben. Meine Antwort ist, dass man sie in diesem Modus bedenkenlos aktivieren kann. Dies reicht jedoch nicht aus, um die E-Mail-Domäne der Organisation vor Missbrauch zu schützen. Es ist jedoch ein guter erster Schritt.
Was sollte bezüglich der Schutzmaßnahmen getan werden?
Wir, die Experten von Above IT, haben mit langjähriger Erfahrung zahlreiche Verbesserungen in der E-Mail-Kommunikation sowohl für kleine als auch für große Organisationen vorgenommen.
Kontaktieren Sie uns! Buchen Sie direkt einen Termin in meinem Kalender am unteren Ende der Seite, dann besprechen wir genauer, wie wir Ihnen in dieser Angelegenheit behilflich sein können.
Sichere Kommunikation wünscht Ihnen,
Mika, Consigliere