This is an updated version of a blog post originally published in October 2023.
Wenn Sie ein Gmail- oder Yahoo-Konto nutzen, haben Sie wahrscheinlich Erfahrung mit einem Postfach voller unerwünschter und betrügerischer Nachrichten. Und nicht nur Sie fragen sich, warum diese Mailbox-Anbieter betrügerische Nachrichten nicht besser blockieren und Sie vor unerwünschten E-Mails schützen können.
Die gute Nachricht dabei ist: Google, Yahoo und Apple wollen dieses Problem angehen und Verbesserungen für ihre E-Mail-Nutzer einführen. Es gibt aber auch eine schlechte Nachricht: Wenn Ihr Unternehmen die Maßnahmen zur E-Mail-Authentifizierung noch nicht vollständig implementiert hat, haben Sie wahrscheinlich Arbeit vor sich – und Sie haben dafür nicht viel Zeit.
Beim Versand von Nachrichten an Gmail-Konten wird ab Februar 2024 die E-Mail-Authentifizierung zwingend erforderlich sein. Wenn Sie Massen-E-Mails (also täglich mehr als 5.000 E-Mails) an Gmail-Konten versenden, müssen Sie noch weitere Anforderungen an die E-Mail-Authentifizierung erfüllen. Dazu gehören:
- Implementierung einer DMARC-Richtlinie (Domain-based Message Authentication, Reporting and Conformance)
- Einhaltung der Authentifizierungsmethoden Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM)
- Einfache Möglichkeit für Empfänger, sich aus E-Mail-Verteilern auszutragen (Abmeldung mit einem Klick)
Die detaillierten Google-Richtlinien für Versender von Massen-E-Mails finden Sie hier.
Yahoo wird ähnliche Anforderungen einführen und ab Februar 2024 starke E-Mail-Authentifizierung verlangen, um den Fluss schädlicher Nachrichten zu reduzieren und sicherzustellen, dass weniger Nachrichten mit geringem Wert in den Postfächern der Nutzer landen.
Nur zehn Tage nach den Ankündigungen von Google und Yahoo im Oktober 2023 veröffentlichte Apple einen Leitfaden mit bewährten Methoden für iCloud-E-Mails, der viele der auch von Google und Yahoo genannten E-Mail-Authentifizierungsanforderungen enthielt. Apple nannte keinen Stichtag, ab dem die Veröffentlichung einer DMARC-Richtlinie Pflicht wird, empfiehlt Massenversendern jedoch, dem Leitfaden zu folgen, damit ihre E-Mails nicht als Junk-Mails eingestuft und automatisch blockiert werden.
Sind Sie auf diese Anforderungen vorbereitet? Das sollten Sie wissen:
Neue E-Mail-Anforderungen von Google und Yahoo
Die neuen Anforderungen von Google betreffen zwei Bereiche, wobei der erste Bereich für alle Versender gilt. Abhängig vom täglichen Versandvolumen gelten möglicherweise weitere Regeln.
Für alle Versender geltende Anforderungen:
1. E-Mail-Authentifizierung: Mit dieser Technologie wird verhindert, dass Bedrohungsakteure E-Mails versenden, die scheinbar von Ihrem Unternehmen kommen. Diese Taktik wird als Domain-Spoofing bezeichnet und kann ohne geeignete Schutzmaßnahmen dazu führen, dass Versand-Domains für Cyberangriffe missbraucht werden.
- Das E-Mail-Authentifizierungsprotokoll SPF ist als zentraler Teil der Maßnahmen für E-Mail-Cybersicherheit darauf ausgerichtet, E-Mail-Spoofing – eine häufige Taktik bei Phishing-Angriffen und E-Mail-Spam-Kampagnen – zu verhindern. Mit SPF kann der empfangende E-Mail-Server prüfen, ob eingehende E-Mails von einer IP-Adresse gesendet wurden, die der Administrator dieser Domain autorisiert hat.
- DKIM ist ein Protokoll, mit dem ein Unternehmen die Verantwortung für die Übermittlung einer Nachricht übernehmen kann. Dazu wird eine Signatur hinzugefügt, die vom Mailbox-Anbieter verifiziert werden kann, wobei die Verifizierung des DKIM-Datensatzes mithilfe kryptografischer Authentifizierung erfolgt.
2. Geringe Spam-Raten: Wenn Empfänger mehr als 0,3 % Ihrer Nachrichten als Spam melden, könnten Ihre Nachrichten blockiert oder direkt in den Junk-Ordner zugestellt werden. Hierbei gelten 0,3 % als neuer zulässiger Höchstwert und eine Spam-Rate von 0,1 % bzw. einer von 1.000 übermittelten Nachrichten als Idealwert.
Anforderungen bei Massenversendern:
1. SPF und DKIM müssen implementiert werden. Unternehmen, die E-Mails an Gmail oder Yahoo senden, müssen die Authentifizierungsmethoden SPF und DKIM implementieren.
2. Unternehmen müssen eine DMARC-Richtlinie implementieren. Der E-Mail-Authentifizierungsstandard DMARC ermöglicht den Domain-basierten Schutz des E-Mail-Kanals.
- DMARC-Authentifizierung erkennt und verhindert E-Mail-Spoofing bei Phishing, BEC (Business Email Compromise) und anderen E-Mail-basierten Angriffen.
- DMARC baut auf den bestehenden Standards Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) auf und ist die erste und einzige weit verbreitete Technologie, bei der auch der in E-Mail-Clients angezeigte Absender (die „From”-Zeile im Header) geprüft wird. Dadurch können sich die Anwender darauf verlassen, dass er vertrauenswürdig ist. Die Domain-Inhaber können einen DMARC-Datensatz im Domain Name System (DNS) veröffentlichen und eine Richtlinie erstellen, die festlegt, wie bei E-Mails mit fehlgeschlagener Authentifizierung vorgegangen werden soll.
3. Nachrichten müssen den DMARC-Abgleich bestehen, d. h. die „Envelope From“-Versand-Domain muss mit der „Header From“-Domain bzw. die DKIM-Domain mit der „Header From“-Domain übereinstimmen.
4. Nachrichten müssen über eine Möglichkeit zum Abmelden vom Abonnement mit einem Klick verfügen. Abonnement-Nachrichten müssen List-Unsubscribe-Header und im Nachrichtentext einen deutlich sichtbaren Link zum Abbestellen enthalten, der mit einem Klick ausgelöst werden kann (One-Click Unsubscribe). Nutzeranfragen zum Abbestellen müssen innerhalb von zwei Tagen erfüllt werden.
Übersicht der Anforderungen von Google, Yahoo und Apple an Versender
|
Anforderung |
|
Apple |
Yahoo |
|
DMARC-Bestehen erforderlich (Bestehen der SPF- oder DKIM-E-Mail-Authentifizierung) |
Ja (<5.000 E-Mails/Tag) |
Ja |
Ja |
|
DMARC-Bestehen erforderlich (Bestehen der SPF- und DKIM-E-Mail-Authentifizierung) |
Ja (>5.000 E-Mails/Tag) |
- |
Ja |
|
Gültige Forward/Reverse-DNS-Datensätze (PTR) |
Ja |
Ja |
Ja |
|
Bei Postmaster Tools gemeldete Spam-Raten <0,3 % (idealerweise <0,1 %) |
Ja |
- |
Ja |
|
Nachrichtenformat hält E-Mail-Standards ein (RFC 5321 und 5322) |
Ja |
Ja |
Ja |
|
Keine Nachahmung von Anbieter-Domains in „From“-Headern |
Ja |
Ja |
Ja |
|
TLS für eingehende E-Mails erforderlich |
Ja |
- |
- |
|
Weitergeleitete E-Mail erfordert ARC-Header |
Ja (>5.000 E-Mails/Tag) |
- |
- |
|
DMARC-E-Mail-Authentifizierung für Versand-Domains |
Ja (p=none DMARC) |
Ja |
Ja (p=none DMARC) |
|
„From“-Header muss mit SPF-Domain oder DKIM-Domain übereinstimmen |
Ja |
Ja |
Ja |
|
Abmeldung mit einem Klick für abonnierte Geschäfts-/Werbe-E-Mails (RFC 8058) |
Ja (1. Juni 2024) |
Ja |
Ja (Februar 2024) |
|
Unterteilung von E-Mail-Klassentypen |
Ja (nach Domain) |
Ja (nach IP-Adresse oder Domain) |
Ja (nach IP-Adresse oder Domain) |
|
Gewährleistung, dass tempFailure- und Ablehnungsfehler für SMTP eingehalten werden |
Ja |
Ja |
Ja |
Wichtigste Termine
Beachten Sie diese Termine zur Einhaltung der Anforderungen.
Januar 2024
Apple hat keinen Termin zur Festlegung einer DMARC-Richtlinie angegeben, jedoch sollen alle anderen Anforderungen bis zu diesem Zeitpunkt implementiert sein. Es ist also sinnvoll, auch die DMARC-Richtlinie sofort einzurichten.
Februar 2024
Der finale Termin zur Einhaltung der neuen Anforderungen bei Google und Yahoo.
Nach der ersten Ankündigung lieferte Google weitere Klarstellungen hinsichtlich des Februar-Termins: Massenversender, die gegen die Anforderungen an Versender verstoßen, erhalten bei einem kleinen Anteil ihres nicht-konformen E-Mail-Verkehrs temporäre SMTP-Protokollfehler (mit Fehlercodes). Diese temporären Fehler sollen den Versendern helfen, gegen die neuen Richtlinien verstoßende E-Mails zu identifizieren, um entsprechende Maßnahmen zu ergreifen.
April 2024
Ab diesem Zeitpunkt wird Google einen Teil des nicht-konformen E-Mail-Verkehrs ablehnen und die Ablehnungsrate sukzessive steigern. Wenn bei einem Versender beispielsweise 75 % des E-Mail-Verkehrs die Google-Anforderungen erfüllt, wird ein Teil der restlichen, nicht-konformen E-Mails abgewiesen.
1. Juni 2024
Bei Google der endgültige Termin für Massenversender, die Abmeldung mit einem Klick bei allen Geschäfts- und Werbe-E-Mails zu implementieren.
Was passiert, wenn Sie die Frist nicht einhalten?
Wenn Ihr Unternehmen darauf angewiesen ist, per E-Mail mit Kunden zu kommunizieren, und keine E-Mail-Authentifizierung implementiert, haben diese Änderungen Auswirkungen auf die Zustellbarkeit Ihrer Nachrichten an Kunden mit Gmail-, Yahoo- und Apple iCloud-Konten. Wenn Sie Massen-E-Mails an Gmail- und Yahoo-Konten versenden und keine SPF- und DKIM-Datensätze oder keine DMARC-Richtlinie implementiert haben, werden diese E-Mails nicht zugestellt, was Ihr Geschäft erheblich beeinträchtigen kann.
Vorsicht bei vermeintlich schnellen Lösungen
Seien Sie skeptisch bei Anbietern, die Compliance-Implementierungen „mit einem Klick“ anbieten.
Die Ankündigungen der drei großen E-Mail-Dienste haben viele Unternehmen unvorbereitet getroffen, die jetzt hektisch nachzuziehen versuchen. Wenn Sie sich genauer ansehen, was für die Einhaltung der neuen Anforderungen erforderlich ist, werden Sie wahrscheinlich „Ein-Klick“-Lösungen oder Angebote finden, die innerhalb kürzester Zeit Compliance versprechen.
Wenn etwas zu gut klingt, um wahr zu sein, ist meist etwas faul. Die korrekte Anpassung des DMARC-Datensatzes für Ihre ausgehenden E-Mails erfordert Änderungen bei Ihren „From“-Adressen, die auf SMTP- und E-Mail-Header-Ebene übermittelt werden. Dabei muss die Domain der „From“-Adresse mit dem DKIM-Schlüssel und der SPF-Domain übereinstimmen. Wenn diese Änderungen bei der Versenderadresse mit Drittanbieter- oder SaaS-Lösungen vorgenommen werden, die keine flexible Konfiguration erlauben oder keine DKIM-Signaturen unterstützen, kann es schnell kompliziert werden.
Proofpoint kann Ihnen helfen
Proofpoint ist im Bereich E-Mail-Authentifizierung ein Branchenführer. Bei DMARC setzen mehr Fortune 1000-Unternehmen auf Proofpoint als auf unsere nächsten fünf Mitbewerber zusammengenommen. Wir verfügen über die Tools, Ressourcen und Erfahrung, um Ihre aktuelle Situation zu bewerten und Ihnen zu helfen, die bestehenden Lücken effektiver zu schließen, als dies im Alleingang möglich wäre.
Proofpoint Email Fraud Defense bietet Unterstützung durch erfahrene Berater, die Sie auf jedem Schritt Ihrer DMARC-Implementierung begleiten, damit Sie die neuen Anforderungen erfüllen und zudem die Reputation Ihrer Marke schützen. Die Lösung umfasst außerdem Services für gehostetes SPF, gehostetes DKIM und gehostetes DMARC, um die Verwaltung und Implementierung zu vereinfachen.
Bei Transaktions-E-Mails (E-Mails, die meist von Anwendungen oder externen Partnern in Ihrem Namen versendet werden) kann Proofpoint Secure Email Relay nicht nur sicherstellen, dass alle diese Nachrichten per DKIM signiert werden, sondern auch den DMARC-Abgleich beschleunigen.
Als Reaktion auf diese neuen Anforderungen bietet Proofpoint nun eine kostenlose Bewertung der E-Mail-Zustellbarkeit an, mit der Sie potenzielle Sicherheitslücken identifizieren und Empfehlungen für den weiteren Weg erhalten. Auf diese Weise können Sie die Auswirkungen dieser Veränderungen für Ihr Unternehmen minimieren. Sie können Ihren DMARC- und SPF-Status auch mit unserem DMARC Creation Wizard prüfen.
Warten Sie nicht bis zum letzten Augenblick, um mit Ihrer DMARC-Implementierung zu beginnen. Sie können nicht vorhersehen, welche Probleme während des Prozesses auftreten, und dürfen sich gleichzeitig nicht erlauben, die Termine zu ignorieren. Kontaktieren Sie Proofpoint noch heute. Wir können Sie nicht nur auf diese neuen Anforderungen vorbereiten, sondern auch Ihre allgemeine Sicherheit verbessern und Ihnen helfen, die Angriffskette zu unterbrechen.