Sicherer E-Mail Transport: Difference between revisions
(→Aufbau) |
No edit summary |
||
| Line 47: | Line 47: | ||
DomainKeys Identified Mail (DKIM) |
DomainKeys Identified Mail (DKIM) |
||
Ein Signatur sieht wie folgt aus: |
|||
<pre>DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=itsec.vog3l.de; |
<pre>DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=itsec.vog3l.de; |
||
s=mail; t=1444297250; |
s=mail; t=1444297250; |
||
| Line 56: | Line 56: | ||
KXE55K2aIGuPoO20VNOJePTbY2RkLUUxs80R9Ajo=</pre> |
KXE55K2aIGuPoO20VNOJePTbY2RkLUUxs80R9Ajo=</pre> |
||
Interessant sind hierbei die folgenden Einträge: |
|||
- d: Domain |
|||
- s: keyword |
|||
- h: |
|||
- b: die eigentliche Signatur |
|||
Mit Hilfe des keywords und der Domain kann der public key wie folgt im DNS Server ausgelesen werde: |
|||
dig -t TXT keyword._domainkey.domain |
|||
<pre>$ dig -t TXT mail._domainkey.itsec.vog3l.de |
<pre>$ dig -t TXT mail._domainkey.itsec.vog3l.de |
||
| Line 63: | Line 70: | ||
ARQkDovhisxaj4y4esuOKiQYF3a9MFVpKMQc7rY1W+6JtvbhNJ6qkcZN8ySFxgYkqgiPZIWb1+wIDAQAB" |
ARQkDovhisxaj4y4esuOKiQYF3a9MFVpKMQc7rY1W+6JtvbhNJ6qkcZN8ySFxgYkqgiPZIWb1+wIDAQAB" |
||
</pre> |
</pre> |
||
Zur Prüfung der Signatur ..... |
|||
==DNSSEC== |
==DNSSEC== |
||
| Line 69: | Line 79: | ||
==DANE== |
==DANE== |
||
DNS-based Authentication of Named Entities (DANE) |
DNS-based Authentication of Named Entities (DANE) |
||
==TestUmgebung== |
|||
- Debian |
|||
- bind |
|||
- postfix |
|||
- opendkim |
|||
=Quellen= |
=Quellen= |
||
Revision as of 09:55, 22 October 2015
Aufbau
Eine E-Mail besteht aus einem Header und einem Body.
Header
Die wichtigsten Header die gesetzt werden sollten, um zum Beispiel nicht direkt als SPAM E-Mail eingestuft zu werden, sind Sender (from), Empfänger (to), das Datum (date) und der Betreff (subject). Darüber hinaus werden auch z.B. Spam Prüfungen und weitere Informationen vom SMTP Server im E-Mail Header festgehalten.
X-Virus-Scanned: amavisd-new at diverse.io X-Spam-Flag: NO X-Spam-Score: 0.524 X-Spam-Level: Subject: ITSec Testmail From: ***@itsec.vog3l.de To: ***@informatik.hu-berlin.de Date: Fri, 09 Oct 2015 15:30:18
Body
Im Body befindet sich der eigentlich Inhalt der versendet werden soll.
Envelope
Beim Versenden verpackt der versendende MTA die E-Mail in eine art Umschlag, wie im Interactions Diagram gut zu sehen ist. Hierbei wird dem empfangenden MTA der Absender (MAIL FROM) und der/die Empfänger (RCPT TO) vor der eigentlichen Übermittlung der E-Mail mitgeteilt. Erst wenn der empfangenden MTA sowohl den Absender als auch die Empfänger akzeptiert wird die E-Mail (Header und Body) nach dem Stichwort DATA übertragen und mit einem Punkt (.) abgeschlossen. Dies hat z.B. den Vorteil ....keine unötige Mail Übertragung
Server Kommunikation
Sicherheitstechniken
SPF
Das Secure Policy Framework (SPF) ist ein Verfahren um das Fälschen von Absenderadressen in E-Mails zu verhindern. Hierfür muss ein Ressource Record vom Typ TXT in der DNS Zone für eine Domain hinterlegt werden.
$ dig -t TXT itsec.vog3l.de itsec.vog3l.de. 291780 IN TXT "v=spf1 mx -all"
Der empfangende MTA kann nun die Felder 'MAIL-FROM' und 'HELO' aus dem E-Mail-Envelope gegen den im DNS hinterlegten SPF Record prüfen und die E-Mail entweder annehmen oder ablehnen. Es wird hierbei allerdings nicht das 'From:' Feld im Header der E-Mail geprüft.
Ein gültiger SPF Record hilft häufig auch dabei, dass E-Mails am Greylistening vorbei kommen, sowie auch einen besseren SPAM Score erzielen.
DKIM
DomainKeys Identified Mail (DKIM)
Ein Signatur sieht wie folgt aus:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=itsec.vog3l.de; s=mail; t=1444297250; bh=bmY+6VYtf/CKbo/kg3vJWg5eDLYfJ8ydsGRhxgoqVn8=; h=Subject:From:To:Date:From; b=gNcTfHCGrV57qtRXukKftJre0IsXa9eaxi0vCZvkWY3WlJezjnbduuDpsfZlLYLbT ERSxXtD20vEBWGXz7PEdy9eoXzIKRT5AY4tDfwRN2KTBWgMrakS5q9JupqlOk5uzcD KXE55K2aIGuPoO20VNOJePTbY2RkLUUxs80R9Ajo=
Interessant sind hierbei die folgenden Einträge: - d: Domain - s: keyword - h: - b: die eigentliche Signatur
Mit Hilfe des keywords und der Domain kann der public key wie folgt im DNS Server ausgelesen werde: dig -t TXT keyword._domainkey.domain
$ dig -t TXT mail._domainkey.itsec.vog3l.de mail._domainkey.itsec.vog3l.de. 604800 IN TXT "v=DKIM1\; k=rsa\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDWLZ/sEpdm76aQkisvQF8P6MSEUAnztt7dBCSuT2u5Q0isG743a24bS0XJGDhtibZmA/yUj7gdaia5vSrH0PB9YSKd6eHQ6KD ARQkDovhisxaj4y4esuOKiQYF3a9MFVpKMQc7rY1W+6JtvbhNJ6qkcZN8ySFxgYkqgiPZIWb1+wIDAQAB"
Zur Prüfung der Signatur .....
DNSSEC
Domain Name System Security Extensions (DNSSEC)
DANE
DNS-based Authentication of Named Entities (DANE)
TestUmgebung
- Debian - bind - postfix - opendkim