E-Mail-Sicherheit
Das E-Mail-Sicherheitsmodul führt DNS-basierte Validierung von E-Mail-Authentifizierungsmechanismen (SPF, DKIM, DMARC) durch und erstellt einen gewichteten Sicherheits-Score.
Übersicht
E-Mail-basierte Angriffe bleiben einer der häufigsten Angriffsvektoren. Die korrekte Konfiguration von SPF, DKIM und DMARC ist entscheidend, um E-Mail-Spoofing und Phishing-Angriffe zu verhindern. TCM365 validiert diese DNS-Records automatisch und bewertet die E-Mail-Sicherheitslage mit einem A-F Notensystem.
Kernfunktionen
DNS-basierte Validierung ohne Zugriff auf E-Mail-Systeme
SPF-Record-Analyse mit Mechanismus-Prüfung
DKIM-Selector-Validierung mit Algorithmus-Prüfung
DMARC-Policy-Analyse mit Reporting-URI-Validierung
Gewichtetes Scoring-Modell mit A-F Notenskala
Detaillierte Findings mit Severity-Klassifizierung
Empfehlungen zur Verbesserung der E-Mail-Sicherheit
Durchgefuehrte Prüfungen
Protokoll
Zweck
DNS-Record
Schlüssel-Validierungen
SPF Absenderautorisierung
TXT-Record
v=spf1-Syntax, Mechanismen, all-Qualifier
DKIM Nachrichtenintegritaet
CNAME/TXT
Selector-Records, Schlüssel-Praesenz, Algorithmus
DMARC Policy-Durchsetzung
TXT-Record
Policy-Modus, Reporting-URIs, Alignment
Scoring-Modell
Jedes Protokoll wird einzeln bewertet und eine gewichtete Gesamtnote berechnet:
Protokoll
Gewicht
Max. Score
SPF 30%
100
DKIM 30%
100
DMARC 40%
100
DMARC-Gewichtung
DMARC erhält das höchste Gewicht, da es als Policy-Enforcement-Layer SPF und DKIM zusammenfuehrt und die Reaktion auf fehlgeschlagene Prüfungen definiert.
Notenskala
Note
Score-Bereich
Beschreibung
A 90-100
Ausgezeichnete E-Mail-Sicherheitslage
B 80-89
Gut, geringfuegige Verbesserungen empfohlen
C 70-79
Ausreichend, Verbesserungen nötig
D 60-69
Unter Standard, signifikante Lücken
F 0-59
Durchgefallen, kritische E-Mail-Sicherheitsprobleme
API-Endpoint
POST /api/v1/email-security/check
{
"domain" : "organisation.de" ,
"dkimSelectors" : [ "selector1" , "selector2" ]
}
Response
{
"domain" : "organisation.de" ,
"overallGrade" : "B" ,
"overallScore" : 83 ,
"spf" : {
"score" : 90 ,
"record" : "v=spf1 include:spf.protection.outlook.com -all" ,
"valid" : true ,
"findings" : [
{ "severity" : "info" , "message" : "SPF-Record verwendet striktes Fail (-all)" }
]
},
"dkim" : {
"score" : 85 ,
"selectors" : {
"selector1" : { "valid" : true , "algorithm" : "rsa-sha256" },
"selector2" : { "valid" : true , "algorithm" : "rsa-sha256" }
},
"findings" : []
},
"dmarc" : {
"score" : 75 ,
"record" : "v=DMARC1; p=quarantine; rua=mailto:dmarc@org.de" ,
"policy" : "quarantine" ,
"findings" : [
{ "severity" : "medium" , "message" : "DMARC-Policy ist 'quarantine', 'reject' für maximalen Schutz erwägen" }
]
}
}
SPF-Validierung im Detail
Prüfung
Beschreibung
Auswirkung auf Score
Record vorhanden
v=spf1-Record existiertFehlen = Score 0
Syntax korrekt
Gueltige SPF-Syntax
Fehler = -30
-all QualifierStriktes Fail am Ende
~all = -10, ?all = -20, +all = -40
Lookup-Limit
Max. 10 DNS-Lookups
Ueberschreitung = -20
Include-Mechanismen
Microsoft 365 SPF enthalten
Fehlen = -15
DKIM-Validierung im Detail
Prüfung
Beschreibung
Auswirkung auf Score
Selector vorhanden
DKIM-Selector-Record existiert
Fehlen = Score 0
Schlüssel gültig
Oeffentlicher Schlüssel parsebar
Ungueltig = -30
Algorithmus
RSA-SHA256 oder Ed25519
Veralteter Algorithmus = -15
Schluessellaenge
Mindestens 2048 Bit (RSA)
1024 Bit = -10
DMARC-Validierung im Detail
Prüfung
Beschreibung
Auswirkung auf Score
Record vorhanden
v=DMARC1-Record existiertFehlen = Score 0
Policy-Modus
reject > quarantine > nonenone = -30, quarantine = -10
Reporting-URI
rua-Tag mit gueltiger URIFehlen = -15
Forensic-URI
ruf-Tag für forensische BerichteFehlen = -5
Alignment
SPF/DKIM Alignment-Modus
Relaxed = -5
Best Practices
Quartalsweise prüfen -- DNS-Records können sich ändern; regelmäßige Checks fangen Regressionen abDMARC auf reject setzen -- Maximaler Schutz gegen E-Mail-SpoofingDKIM-Selectors dokumentieren -- Alle aktiven Selectors für die Prüfung angebenSPF-Lookup-Limit beachten -- Maximal 10 DNS-Lookups im SPF-RecordReporting-URIs konfigurieren -- DMARC rua-Reports zur Überwachung aktivierenAlle Domains prüfen -- Auch Subdomain- und Alias-Domains validieren
E-Mail-Sicherheit
SPF
DKIM
DMARC
DNS