Email ist und bleibt eines der beliebtesten Einfallstore für Angriffe aller Art. Egal ob es um Malware-Attacken in Form von Attachements (ja, wir schauen euch an, liebe Office Macros) oder um Phishing geht, viele dieser Angriffe wären nicht so einfach durchzuführen, wenn es definierte Regeln rund um den Email-Empfang und Versand geben würde. In so einem Regelwerk sollte beispielsweise festgehalten werden, welche Emails anzunehmen sind, bzw. welche lieber erst gar nicht zugestellt werden.

Mit Hilfe der Cisco Email Security Appliance (ESA) können genau diese Regeln festgelegt werden. Schadhafte Emails werden so in mehreren Schichten abgewehrt oder wenigstens entschärft. Die ESA, insbesondere die vor kurzem erschienene Version 10, bietet Konfigurationsmöglichkeiten um Spoofing / CEO Fraud, Malware Angriffe und andere Attacken erfolgreich abwehren zu können.

 

SPF, DKIM UND DMARC

Email existiert schon sehr lange und zu Zeiten in denen Email standardisiert wurde, erahnte noch niemand wie sehr es in der Zukunft ein Medium für böse Absichten sein wird. Deswegen wurde über die Jahre versucht Email mit Sicherheitstechnologien aufzuwerten um so bestimmte Schwachstellen in den Griff zu bekommen. Eine dieser großen Schwachstellen ist die fehlende Authentizität.

Bekommen Sie eine Mail von support@paypal.com heißt dies noch lange nicht, dass diese Mail wirklich von support@paypal.com kommt. Ich denke beinahe jeder hat eine derartige Mail schon in seiner Inbox gefunden. Möglich ist das, weil während der SMTP-Übertragung ein beliebiger Absender angegeben werden kann und es keine Möglichkeit gibt zu überprüfen, ob ein bestimmter Mailserver für eine bestimmte Domain wirklich Mails versenden darf. Da kommt SPF ins Spiel. Sender Policy Framework erlaubt es mit Hilfe von DNS zu veröffentlichen, welche Server z.B. für die Domain nts.eu Emails versenden dürfen und welche nicht. Nimmt ein Server eine Mail an, welche als Absender user@nts.eu hinterlegt hat, kann dieser nun prüfen ob der sendende Mailserver auch wirklich auf der veröffentlichten Liste von legitimen Absendeservern steht. Findet sich die IP-Adresse in dieser Liste nicht wieder, handelt es sich vermutlich um eine Email mit gefälschtem Absender.

DOMAIN KEYS IDENTIFIED EMAIL

DKIM oder Domain Keys Identified Email geht dabei noch einen Schritt weiter und holt kryptographische Funktionen mit ins Boot. Wieder wird DNS genutzt, doch dieses Mal wird in der Zone des Absenders ein Public Key hinterlegt. Zusätzlich werden Emails beim Versenden mit Hilfe des entsprechenden Private Keys signiert. Erhält nun ein Empfänger diese Mail, kann dieser kryptographisch prüfen ob diese Mail wirklich von einem legitimen Mailgateway der Absende-Domain versandt wurde.

 

DOMAIN-BASED MESSAGE AUTHENTICATION, REPORTING AND CONFORMANCE

Durch SPF und DKIM können also gespoofte Mails aufgedeckt und nicht an den End-User zugestellt werden. Zusätzlich ist es aber gut darüber informiert zu sein, wenn man als Unternehmen angeblich der Absender derartiger Mails ist.

So ist es als Firma nicht unwichtig zu wissen, wenn jemand versucht Kunden mit Hilfe gefälschter Mails zu attackieren um z.B. Reputationsschäden verhindern zu können. Mit Hilfe von DMARC (Domain-based Message Authentication, Reporting and Conformance) kann eine Reporting-Mailadresse angegeben werden, welche von Empfängern automatisch Informationen erhält, wenn diese erkennen, dass im Namen des Unternehmens gefälschte Emails empfangen wurden.

 

ES FUNKTIONIERT NUR, WENN ALLE MITARBEITEN

All diese zusätzlichen Schutzmechanismen für Email können mit Hilfe der Email Security Appliance genutzt werden. Leider haben viele Unternehmen ihre SPF-, DKIM- und DMARC-Records noch nicht oder nicht sauber eingepflegt und davon ist dieses System stark abhängig. Kann sich der Administrator eines empfangenden Mail-Servers nicht auf die Korrektheit der im DNS bereitgestellten Informationen verlassen, ist es nur schwer möglich darauf basierend Emails nicht anzunehmen, da so zu viele False Positives entstehen würden. Falls Sie also beim Lesen gerade grübeln, wie denn das bei Ihrem Unternehmen ist, bitte überprüfen Sie Ihre SPF- und wenn vorhanden auch die DKIM- und DMARC-Records und passen Sie diese gegebenenfalls an. Danke jetzt schon im Namen meiner Kollegen und mir ?

 

BAD BAD FROM-HEADER

SPF z.B. benutzt für die Validierung, den im SMTP-Dialog angegebenen Envelope-Sender. Es gibt jedoch ein weiteres Feld, welches für Spoofing genutzt wird und zwar den From-Header. Bei den meisten Mail-Providern ist es ziemlich einfach den From-Header zu ändern und anstatt attacker@domain.comceo@company.com anzeigen zu lassen. Dies dient natürlich dazu User in die Irre zu führen und so Vertrauen zum Absender aufzubauen, welches in Wirklichkeit an dieser Stelle fehlplatziert ist. Es gilt also auch diesen Fall mit Hilfe der Email Security Appliance abzudecken. Hier sind mehrere Ansätze möglich. Da es meistens die Adressen der Manager sind, welche für derartige Angriffe genutzt werden, kann man eine Liste von genau diesen Personen erstellen und überprüfen ob im From-Header ein derartiger Name vorkommt. Die andere Möglichkeit besteht darin zu überprüfen, ob die Mail-Domäne als Ganzes im From-Header auftaucht.

 BUT WAIT, THERE’S MORE…

Zusätzlich zu den erwähnten Schutz-Methoden sind mit der ESA noch eine Vielzahl weiterer Techniken konfigurier- und anwendbar, welche Angreifern ihre Agenda erschweren. Die eingebaute Anti-Spam Engine evaluiert einen Spam-Score zu jeder eingehenden Mail und stellt verdächtige Mails, wenn so gewollt, gar nicht zu. Destination Controls erlauben es TLS-gesicherte Verbindungen zu präferieren oder zu erzwingen. Im Unternehmen nicht genutzte Dateitypen können generell blockiert werden um die Angriffsfläche weiter zu verkleinern.

Genutzte Dateitypen von denen ein erhöhtes Risiko ausgeht, können nur einem bestimmten Personenkreis zugestellt und mit Warnhinweisen versehen werden. Diese Dateien können auch von der Advanced Malware Protection (https://www.nts.eu/expertenblog/cisco-amp) inspiziert werden und somit nur zugestellt werden, wenn keinerlei Schadverhalten entdeckt werden konnte. Wie von Proxy-Servern bekannt, können Links welchen bestimmten Kategorien oder Reputationswerten entsprechen abgefangen oder so umgeschrieben werden, dass die Anfrage über einen Cloud Proxy umgeleitet wird.

FAZIT

Als Fazit bleibt festzuhalten, dass Kunden mit Hilfe der ESA sehr viele Möglichkeiten haben den Bedrohungen, welche von Email ausgehen, Herr zu werden. Wir erarbeiten gerne mit Ihnen eine Policy und verhindern so vielleicht den nächsten Security Incident. Bei weiteren Fragen melden Sie sich einfach bei mir oder einem Kollegen Ihres Vertrauens!