Permalink

4

Warum arbeiten die Grossen wie Google und Apple nicht an neuen Standards zur Authentifizierung von Firmen-E-Mails?

E-Mail, eine der ältesten Applikationen im Internet, eine der wohl meistbenützten Technologien und scheinbar total Innovationsresistent. Noch immer kann ich mit null Aufwand eine E-Mail unter falschem Namen und Absender senden, noch immer kann ich die From: Adresse genauso einfach einstellen wie die ReplyTo: Adresse und damit auch Antworten wieder gezielt abfangen. Alles in allem, das System ist so unsicher wie eh und je und deshalb auch Nährgrund für Spam und Phishing aller Art was dann zu solch abstrusen Situationen führt:

Warum gelingt es Google nicht, herauszufinden ob diese E-Mail nun tatsächlich von Apple versendet wurde? Wäre es nicht möglich, zumindest unter diesen Unternehmen Systeme einzuführen, mit denen die Authentizität von Systemgenerierten Nachrichten überprüft werden könnte?

Z.b. ein ausgetauschter Schlüssel, der jede E-Mail mit einem Token ausstattet, mit dem der Versender eindeutig identifiziert wird. Ich spreche hier nicht von PGP und solchen Dingen, sondern serverseitigen Erweiterungen die direkt von Apple und Co. implementiert würden und dann von Banken und anderen Firmen übernommen werden könnten.

Aktuelle Spam Mails mit Vodafone und Telekom Rechnung sind an der Tagesordnung

Aktuelle Spam Mails mit Vodafone und Telekom Rechnung sind an der Tagesordnung

Könnte sich dadurch nicht ein Standard entwickeln, bei dem dann in den E-Mail Clients von Apple und Google auch wieder klar dargestellt werden könnte, dass eine E-Mail eben tatsächlich von Apple kommt. Oder von der Credit Suisse, Telekom oder Postfinance.

4 Kommentare

  1. @Raphael
    Danke für den Tipp. Kannte ich bisher nicht und wundert mich, dass dann genau dies nicht auch von Apple und Co. verwendet wird? (Aber eh, ich wollte eigentlich ganz was anderes über E-Mail bloggen.)

  2. DKIM wird von Google und so weiter verwendet, ist aber leider weitgehend nutzlos. Dito SPF, das Du ja auch verwendest.

    Das Problem ist letztlich das gleiche wie bei SSL-Zertifikaten: Wer verifiziert den Absender oder das Gegenüber? Das System bei den SSL-Zertifikaten ist bekanntlich jenseits jeder Reparaturmöglichkeit gescheitert …

  3. Das Thema ist mir als IT Sicherheitsbeauftragter sehr wohl bekannt. Nur einfach was am Client aufzupapen wirds wohl nicht bringen. Das kann man ja mit digitalen Zertifikaten bereits (z.b. SMIME). Das ganze vom Client her sicher hinzubekommen wird sehr schwierig sein. Von Mailserver zu Mailserver eher, nur muesste man sich da wohl auch mal von SMTP trennen, oder diesen anpassen. Das Problem mit Microsoft, Google und Co ist, dass diese Firmen kaum begreiffen werden dass Loesungen auf Firmenebene und Privatebene anders aussehen koennten oder sollten.

Jetzt kommentieren: