Der Bundesfinanzhof und seine E-Mail-(Un-)Sicherheit
- "Geschrieben von Matthias Pufke"
Seit Juni diesen Jahres kann man auf der Internetseite des Bundesfinanzhofs (BFH) eine Warnung vor gefälschten E-Mails lesen derselben Behörde lesen. Ist das sinnvoll? Ist das zeitgemäß? NEIN!
Laut dem Bundesfinanzhof versenden unbekannte Täter täuschend echte E-Mails mit schadhaften Anhängen und verwenden die E-Mail-Domain des Bundesfinanzhofs im Absender.
Das ist soweit nichts neues, aber es gibt ein ganz einfaches Mittel gegen dieses Problem: DMARC! Und das beste ist: DMARC ist kostenfrei!
Viel sinnvoller als ein Hinweis auf einer Webseite oder in sozialen Medien ist doch eine direkte Warnung aller beteiligten E-Mail-Firewalls.
DMARC ist eine bestens standardisierte und kostenfrei verfügbare Technik (IETF RFC 7489 – Domain-based Message Authentication, Reporting, and Conformance, 2015).
Mit einem DMARC-Eintrag erklärt ein Domaininhaber den E-Mail-Servern dieser Welt, wie sie mit E-Mails seiner geschützten Domain umgehen sollen. Viel wichtiger ist jedoch: Jeder weiß, welche Server im Netz überhaupt im Namen der angegebenen Domain E-Mails verschicken dürfen.
Auch die meisten Online-Dienste haben die Notwendigkeit eines solchen DMARC-Eintrags bereits seit langem erkannt – vor allem in Fällen, in denen es bei der angebotenen Dienstleistung um Geld geht. Nur die deutsche Verwaltung hinkt halt mal wieder hinterher.
Ein gutes Beispiel ist Paypal: Sämtliche im Verkehr befindlichen Paypal-Domains sind DMARC-geschützt. Nutzer einer E-Mail-Firewall, die diese Informationen konsequent auswertet, brauchen sich um gefälschte Paypal-Mails keine Sorgen machen. Sie werden sie nie zu Gesicht bekommen und müssen auch nicht ständig auf der Internetseite von Paypal nachsehen, ob es eine neue Warnung vor neuen gefälschten E-Mails gibt.
Und als Zuckerl gibts noSPAM Proxy: Das wandelt potentiell gefährliche Dokumente aus E-Mails in "harmlose" PDFs um!