Prüfprotokoll

Kryptographie gegen Phishing und Spam

Praxis & Tipps | Praxis

Seite 7: Prüfprotokoll

Solange die meisten Domains unsignierte Mails verschicken, eignet sich eine fehlende oder falsche Unterschrift noch nicht als alleiniges Kriterium zum Aussortieren einer EMail. Daher sollte das Ergebnis der Signaturprüfung in den Spam-Score von SpamAssassin eingehen. SpamAssassin bringt zwar ein Plug-in für die DKIM-Auswertung mit, braucht aber zusätzlich das Perl-Modul Mail::DKIM. Wie bei dkim-milter enthalten viele Distributionen veraltete Pakete, sodass der Admin gezwungen ist, mit dem Kommando cpan Mail::DKIM das aktuelle einzuspielen. Eventuell bietet die Installationsroutine an, weitere Modulen einzurichten, was man ihr jedoch nur erlaubt, wenn die Linux-Distribution sie nicht anbietet.Um das DKIM-Plug-in zu aktivieren, setzt man in der versionsspezifischen Konfigurationsdatei /etc/mail/spamassassin/v320.pre die Option loadplugin Mail::SpamAssassin::Plugin::DKIM. Sie ist dort schon vorhanden, aber auskommentiert. SpamAssassin muss jetzt nur noch erfahren, wie DKIM-signierte Nachrichten zu behandeln sind. Passende Anweisungen werden global gültig in die Datei /etc/mail/spam assassin/local.cf geschrieben. Das Effektivste ist, korrekt signierte E-Mails aus bekannten Domains zu bevorzugen. Dazu dient der Befehl whitelist_from_dkim (siehe Listing unten).

whitelist_from_dkim *@charite.de charite.de
whitelist_from_dkim *@cisco.com cisco.com
whitelist_from_dk *@ebay.com ebay.com
whitelist_from_dk *@ebay.de ebay.de
score USER_IN_DKIM_WHITELIST -4.0
score DKIM_VERIFIED -1.3
score DKIM_POLICY_TESTING 0
score USER_IN_DK_WHITELIST -4.0
score DK_VERIFIED -1.1

Da wichtige E-Mail-Versender wie eBay noch das überholte Verfahren DomainKeys einsetzen, sollte SpamAssassin in einer Übergangszeit auch diese Signaturen berücksichtigen.

Einige wichtige E-Mail-Absender wie eBay haben noch nicht auf DKIM umgestellt, sondern nutzen das Vorgängerverfahren DomainKeys. Sowohl Mail::DKIM als auch das SpamAssassin-Plug-in kommen mit beiden Signaturtypen zurecht. Es genügt daher, diese Spätzünder mit gesonderten DK-Regeln zu behandeln, wie das Beispiel es zeigt. Nun bleibt nur noch das Tuning, wie die korrekte Signatur in die Berechnung des Spam-Score (der "Spamhaftigkeit") einer Nachricht eingehen soll. SpamAssassin regelt das über die score-Einträge und bringt schon bei der Installation Vorschläge mit, die die Entwickler optimieren, indem sie ihr Programm auf abgefangenen Spam (und Nicht-Spam) loslassen. Derzeit wirkt ein Eintrag auf der DKIM-Whitelist (USER_IN_DKIM_WHITELIST) mit einem Score von -100 extrem stark; alle weiteren Spam-Tests werden bedeutungslos. Andererseits fällt eine DKIM-Verifizierung ohne Whitelist-Eintrag fast gar nicht ins Gewicht (-0.001). Das mag daran liegen, dass DKIM bislang kaum eingesetzt wird und daher noch nicht in die Statistik eingehen kann. Erste Praxiserfahrungen zeigen, dass man diese Gewichte getrost verschieben darf. Auf dem System des Autors werden Mitglieder der DKIM-Whitelist nur mit einem Bonus von -4.0 Punkten belohnt. Wer nicht explizit ge- "whitelisted" wurde, aber korrekt signiert, erhält 1.3 Punkte Abzug von der Spamhaftigkeit. Einzig diejenigen, die DKIM noch im Testbetrieb fahren, erhalten keine spezielle Behandlung. Analog werden die Nutzer von DomainKeys bewertet.

Selbst bekannt konformen Sender sollte man nicht durch besonders hohe Scores Tür und Tor öffnen. Denn eine gesunde Policy schafft definierte Beziehungen und nicht grenzenloses Vertrauen. Es könnte ja durchaus sein, dass der Sender plötzlich an anderer Stelle eindeutige Spam-Merkmale erkennen lässt, die durch die eine DKIM-Regel maßlos überstimmt kein Gehör mehr finden. Es ist letztlich also wie bei einer Bewerbung – der Gesamteindruck muss stimmen. Wer wissen will, wie SpamAssassin wertet, sichert die zu prüfende Mail als Datei heraus und ruft als der User, der SpamAssassin auch im Mailsystem ausführt, per Kommandozeile auf: spamassassin < maildatei. Der X-Spam-Status-Header nennt die Tests, die durchgeführt wurden und den Gesamtscore. So lässt sich an einer signierten und einer unsignierten Mail von demselben Absender schön nachvollziehen, wie die neuen SpamAssassin-Regeln in local.cf greifen. DKIM ist noch verhältnismäßig wenig verbreitet. Es hat das Potenzial, viel mehr Verbindlichkeit – und damit Sicherheit – in den täglichen E-Mail-Verkehr zu bringen. Funktionstüchtige Software ist vorhanden und auch die Implementierung ist nur erträglich kompliziert. Für bekannte Kommunikationspartner sind schnell Regeln eingerichtet, so dass sich die investierte Zeit bezahlt macht.

Anzeige
Anzeige