Ein Jahr nach dem UPS-Vorfall: Warum Unternehmen immer noch ihre SPF-Konfigurationen vernachlässigen
Trotz der schwerwiegenden Konsequenzen des Sicherheitsvorfalls bei UPS vor über einem Jahr gibt es weiterhin Unternehmen, die ihre SPF-Konfigurationen nicht ausreichend sichern. Der Vorfall zeigte eindrücklich, wie gefährlich es sein kann, wenn SPF-Records zu weitreichend konfiguriert werden. Betrüger konnten durch eine übermäßig großzügige SPF-Konfiguration gefälschte E-Mails mit dem blauen Verifizierungshäkchen in Gmail als legitim erscheinen lassen. Diese E-Mails wurden vom System nicht nur akzeptiert, sondern sogar als authentisch gekennzeichnet.
Was genau ist passiert?
Im Fall von UPS nutzten Angreifer eine Schwachstelle im SPF-Record des Unternehmens, der einen ganzen IP-Bereich des E-Mail-Providers autorisierte. Dies ermöglichte es den Betrügern, gefälschte E-Mails durch den SPF-Check zu schleusen und sie als legitime UPS-Nachrichten erscheinen zu lassen. Der Hosting-Anbieter, der die E-Mails für die Domain ups.com verwaltete, setzte die DMARC-Richtlinien von UPS nicht strikt durch, was zur Weiterleitung der gefälschten Nachrichten an Gmail führte, wo sie dann das blaue Verifizierungshäkchen erhielten (Valimail –) (Digital Information World).
Google’s Reaktion und die Einführung von DKIM
In Reaktion auf diesen Vorfall verschärfte Google vor etwa einem halben Jahr seine Sicherheitsanforderungen. Nun müssen E-Mails sowohl SPF als auch DKIM bestehen, um das blaue Verifizierungshäkchen zu erhalten. Diese Maßnahme zielt darauf ab, die Sicherheit von E-Mails weiter zu erhöhen und die Risiken zu minimieren, die mit einer alleinigen Abhängigkeit von SPF verbunden sind (Enterprise Technology News and Analysis) (Valimail – How an SPF Upgrade Attack Spoofed an Email and Received Google’s Blue Checkmark – Valimail).
Best Practices für die SPF-Konfiguration
Um ähnliche Sicherheitslücken zu vermeiden, sollten Unternehmen folgende Best Practices beachten:
- Verwendung dedizierter IP-Adressen: Es ist wichtig, dass in SPF-Records nur spezifische IP-Adressen veröffentlicht werden, die direkt kontrolliert werden können. Dies reduziert das Risiko, dass andere Entitäten dieselben IP-Bereiche für böswillige Zwecke nutzen (AutoSPF).
- Vermeidung breiter Include-Statements: Vermeiden Sie die Verwendung von Include-Statements, die ganze IP-Bereiche oder Provider-Netzwerke autorisieren. Verwenden Sie stattdessen spezifische, begrenzte IP-Adressen, die für Ihre Operationen erforderlich sind (Warmy).
- Kombination von SPF, DKIM und DMARC: Eine Kombination dieser Techniken bietet die höchste Sicherheit. Während SPF und DKIM für die Authentifizierung sorgen, ermöglicht DMARC eine klare Durchsetzung von Richtlinien und schützt so vor Phishing-Angriffen.
- Regelmäßige Audits und Updates: Es ist entscheidend, dass SPF-Records regelmäßig überprüft und aktualisiert werden, um veraltete oder unnötige Einträge zu entfernen. So bleibt Ihre Konfiguration aktuell und sicher (DuoCircle).
Fazit
Der UPS-Vorfall ist ein klares Beispiel dafür, wie gefährlich eine zu weitreichende SPF-Konfiguration sein kann. Unternehmen müssen sicherstellen, dass ihre SPF-Records restriktiv konfiguriert sind und dass nur notwendige IP-Adressen autorisiert werden. Darüber hinaus sollte immer eine Kombination aus SPF, DKIM und DMARC verwendet werden, um die größtmögliche Sicherheit ihrer E-Mail-Kommunikation zu gewährleisten. Nur so können Unternehmen den immer raffinierter werdenden Methoden von Betrügern entgegenwirken und ihre digitalen Kommunikationskanäle schützen.
Weitere Links
DMARC-Generator
DKIM-Generator
Wissenswertes über DKIM, SPF & DMARC