Authentication-Results
Authentication-Results ist ein vorgeschlagener Standard der Internet Engineering Task Force, um das Ergebnis einer Authentizitätsprüfung einer E-Mail zu kennzeichnen. Es wird üblicherweise von einem Mail Transfer Agent als Header in eine E-Mail eingefügt, damit es ein Mailfilter oder ein E-Mail-Programm auswerten kann.
Motivation
[Bearbeiten | Quelltext bearbeiten]Komplexe E-Mail-Infrastrukturen bestehen aus mehreren Komponenten, die unterschiedliche Aufgaben haben. Die Authentizitätsprüfung ist eine Aufgabe, die üblicherweise auf dem empfangenden Mail Transfer Agent an der Grenze eines Rechnernetzes durchgeführt wird, das Ergebnis jedoch auch für nachgelagerte Komponenten von Interesse ist. Der Authentication-Results-Header ist eine Möglichkeit diese Information innerhalb eines vertrauenswürdigen Netzes zu transportieren. Mögliche Gründe dafür sind die Vermeidung von doppeltem Prüfaufwand oder insbesondere auch, weil eine Authentizitätsprüfung auf nachgelagerten Komponenten nicht mehr möglich ist. Dies trifft beispielsweise auf das Verfahren SPF zu, bei dem eine Prüfung nur von Punkt zu Punkt möglich ist, oder auf DKIM, falls die prüfende Stelle die E-Mail verändert, beispielsweise durch das Einfügen einer Warnung in die E-Mail.
In Kombination mit dem Verfahren Authenticated Received Chain besteht die Möglichkeit, die Authentizität eines Authentication-Results-Headers vor einer Veränderung durch Dritte kryptographisch abzusichern.
Aufbau
[Bearbeiten | Quelltext bearbeiten]Es folgt ein beispielhafter Authentication-Results-Header, den ein Mailserver mit dem Hostnamen mx.example.net
in eine E-Mail eingefügt hat. Der Header beinhaltet das erfolgreiche Prüfergebnis („pass“) der drei Authentifizierungsprotokolle DKIM, SPF und DMARC für die Absender-Domain wikipedia.de
. Neben dem Ergebnis sind auch einige bei der Prüfung verwendete Parameter enthalten, die bei einer Fehlersuche nützlich sind.
Authentication-Results: mx.example.net; dkim=pass header.i=@wikipedia.de header.s=selector header.b=bn9te7yP; spf=pass (example.net: domain of beispiel@wikipedia.de designates 62.138.185.41 as permitted sender) smtp.mailfrom=beispiel@wikipedia.de; dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=wikipedia.de
Authentifizierungsmethoden
[Bearbeiten | Quelltext bearbeiten]Authentication-Results ist für verschiedene E-Mail-basierte Authentifizierungsmethoden anwendbar. Die Liste der unterstützten Methoden und deren Feldnamen werden von der IANA nachverfolgt. Zu den unterstützten Verfahren gehören unter anderem:[1]
- Authenticated Received Chain (ARC)
- DomainKeys Identified Mail (DKIM)
- DMARC
- SMTP-Auth
- S/MIME
- Sender Policy Framework (SPF)
Sicherheit
[Bearbeiten | Quelltext bearbeiten]Authentication-Results setzt ein Vertrauensverhältnis zwischen der Komponente, die den Header einfügt, und derer, die ihn ausliest, voraus. Ein Man-in-the-Middle-Angreifer kann einen gefälschten Authentication-Results-Header einfügen. Aus diesem Grund sollte ein Mail Transfer Agent, der einen neuen Authentication-Results-Header erzeugt, eventuell bereits vorhandene Authentication-Results-Header mit dem eigenen Hostnamen aus der E-Mail entfernen.[2]
Weblinks
[Bearbeiten | Quelltext bearbeiten]- M. Kucherawy: RFC – Message Header Field for Indicating Message Authentication Status. Mai 2019 (englisch).