E-Mail-Sicherheit: Wie grundlegende Frameworks WordPress-Site-Besitzern helfen
Veröffentlicht: 2018-12-20Über Länder und Branchen hinweg teilt eine Technologie seit weit über zwei Jahrzehnten unzählige Geheimnisse. Ja, trotz des Aufstiegs von Social Media, Messaging-Apps und Projektmanagement-Tools bleibt E-Mail de facto der Online-Kommunikationskanal Nummer eins – aber es gibt auch Anlass zu großer Sorge, wenn es um Sicherheit geht.
Wenn Sie das Alter der Technologie und den Anreiz für Hacker zu Betrugsversuchen berücksichtigen, ist es leicht zu verstehen, warum sie weiterhin Unternehmen und Einzelpersonen gleichermaßen stört. Es ist heute tatsächlich ein größeres Problem als je zuvor, denn das Aufkommen von Multi-Faktor-Authentifizierung, Cloud-Speicher, digitalen Ökosystemen und sozialen Logins hat dazu geführt, dass sich viele von uns auf die Sicherheit ihrer E-Mail-Adressen verlassen, um einfach durch den Tag zu kommen.
Leider reicht es nicht aus, einfach ein komplexes Passwort zu haben und es zu schützen, denn E-Mails können auf andere Weise angegriffen werden: gefälscht, gefälscht und dazu verwendet, Menschen aller Art zu manipulieren. Hier werden E-Mail-Sicherheits-Frameworks von entscheidender Bedeutung – sie machen es erheblich einfacher, Vertrauen in die Legitimität Ihrer E-Mails zu haben.
Aber warum ist Betrug eine solche Bedrohung? Was sind diese Frameworks und wie helfen sie Website-Eigentümern, sicher vorzugehen? Kannst du dich wirklich darauf verlassen, dass sie dich beschützen? Lass uns mal sehen.
Warum E-Mail-Betrug so ein beunruhigendes Problem ist
Wir bewegen uns zunehmend in Richtung bargeldloses Bezahlen, Online-Banking und Remote-Arbeiten, was eine umfassende und tiefgreifende digitale Kommunikation (oft zu sensiblen Themen) erfordert. Je mehr wir E-Mails vertrauen, desto verlockender werden sie für Hacker – umso mehr, wenn die E-Mails Personen betreffen, die nicht genug über Technologie wissen, um zu wissen, wann sie betrogen werden.
Wenn jemand, der nur weiß, wie man E-Mails benutzt, aber keine Ahnung hat, dass E-Mail-Spoofing überhaupt möglich ist, eine betrügerische E-Mail erhält, weiß er nicht, dass er daran zweifelt. Und die Aussichten für Betrüger sind sogar noch größer, als sie es jemals durch Telefonbetrug hätten erzielen können, da sie ihre Betrugs-E-Mails automatisieren und ausgedehnte Telefongespräche vermeiden können, die Lücken in ihren Deckgeschichten aufdecken können.
Für legitime Domains ist E-Mail-Betrug ein großes Problem, da sie dadurch schlecht aussehen. Selbst wenn die Leute schließlich erfahren, dass Sie nicht verantwortlich waren, werden sie Ihre Marke dennoch bis zu einem gewissen Grad mit dem Betrug in Verbindung bringen. Wenn Sie also möchten, dass Ihrer Domain vertraut wird (und dass Personen vor Versuchen geschützt sind, sie in Ihrem Namen auszunutzen), müssen Sie Ihre E-Mails sichern. Hier ist wie:
Einführung in die gängigsten E-Mail-Sicherheits-Frameworks
Die beiden am häufigsten verwendeten E-Mail-Frameworks sind SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail), und sie funktionieren ähnlich, aber auf leicht unterschiedliche Weise: SPF erfordert einen unterstützten Hostnamen oder eine unterstützte IP-Adresse, während DKIM eine korrekte Verschlüsselung erfordert Header-Nachricht. Schauen wir uns eine ausführlichere Erklärung an:
Wie SPF funktioniert
Wenn Sie SPF auf der Domain Ihrer Website aktivieren, erstellen Sie eine Liste mit Hostnamen und IP-Adressen, die als legitime Quellen für E-Mails von dieser Domain gelten, eine Liste, die dem DNS-Eintrag für die Site hinzugefügt wird (der Eintrag, der Ihre URL verlinkt). Ihre IP-Adresse).
Jedes E-Mail-System, das eine E-Mail von einer Adresse in dieser Domain zu erhalten scheint, nimmt die zum Senden verwendete IP-Adresse und vergleicht sie mit der Liste im DNS-Eintrag. Wenn es sich um eine Übereinstimmung handelt, wird die E-Mail als legitim betrachtet – wenn es keine Übereinstimmung gibt, dann weiß das System, dass die E-Mail betrügerisch ist (oder irgendwie schrecklich schief gelaufen ist).
Wie DKIM funktioniert
Wenn Sie DKIM aktivieren, wird der eindeutige Ansatz verwendet, Verschlüsselung zur Überprüfung zu verwenden. Die Domäne verfügt über einen privaten Schlüssel, der geheim gehalten und zum Verschlüsseln einer versteckten Nachricht im Header jeder E-Mail verwendet wird, sowie über einen öffentlichen Entschlüsselungsschlüssel, der dem DNS-Eintrag hinzugefügt wird.
Jedes E-Mail-System, das eine E-Mail angeblich von dieser Domain abholt, nimmt den öffentlichen Schlüssel aus dem DNS-Eintrag und versucht, die versteckte Nachricht zu entschlüsseln. Wenn es erfolgreich ist, weiß es, dass die E-Mail vom richtigen Ort stammt. Wenn es fehlschlägt, weiß es, dass der Absender gespooft wurde.
Was DMARC beinhaltet
DMARC, das für „Domain-based Message Authentication, Reporting and Conformance“ steht, ist ein System, das SPF und DKIM umfasst und gleichzeitig einige Optionen konkretisiert, Richtlinien festlegt und Berichte nach Bedarf erstellt.
Wenn Sie DMARC einrichten, legen Sie im Wesentlichen fest, welche der oben genannten Methoden für E-Mails von Ihrer Domain verwendet wird (möglicherweise beide), und was getan werden soll, wenn E-Mails erkannt werden, die nicht dem von Ihnen gewählten Standard entsprechen. Sie können auch eine Benachrichtigung einrichten, die ausgelöst wird, damit Sie über Versuche informiert werden, sich als Ihre E-Mail-Adresse auszugeben (auf die gleiche Weise, wie Sie Benachrichtigungen über Änderungen an einer WordPress-Site erhalten können).
So ergreifen Sie Maßnahmen, um Ihre E-Mails zu schützen
Wenn Sie möchten, dass Ihre E-Mails vertrauenswürdig sind und die Empfänger sich beim Zugriff darauf sicher fühlen, sollten Sie alles tun, um sich vor Betrug zu schützen. Führen Sie mindestens die folgenden drei Schritte aus:
- Schützen Sie Ihre E-Mail-Liste sorgfältig. Selbst wenn Sie sicherstellen, dass jede E-Mail, die vorgibt, von Ihrer Domain zu stammen, überprüft wird, ist es für Betrüger immer noch gefährlich, an Ihre Adressliste zu gelangen, da viele Leute (oftmals ältere Generationen) den Absender nicht wirklich genau überprüfen, wenn dies der Fall ist die Inhalte ähneln eindeutig etwas, das sie erkennen. Schützen Sie Ihre E-Mail-Liste, damit die Leute weniger Grund haben, Ihre Zielgruppe anzusprechen (Sie sollten dies ohnehin nach der DSGVO tun).
- Konfigurieren Sie ein Sicherheitsframework. Sie können SPF, DKIM oder DMARC verwenden – aber was auch immer Sie tun, achten Sie darauf, die Best Practices für das von Ihnen verwendete System zu befolgen und zu bestätigen, dass es funktioniert. Wenn Sie E-Mail-Automatisierungssoftware für Ihr Marketing verwenden, stellen Sie sicher, dass Sie sie als vertrauenswürdige Quelle einrichten, damit die E-Mails, die sie verteilt, bei der Zustellung nicht als unzulässig abgelehnt werden.
- Warnen Sie Ihre Abonnenten, vorsichtig zu sein. Nachdem Sie alles getan haben, was Sie auf Ihrer Seite der Gleichung tun können, lohnt es sich immer noch, sich an Ihr Publikum zu wenden (insbesondere wenn es nicht sehr technisch versiert ist), um es vor Betrug zu warnen. Teilen Sie ihnen mit, welche Arten von Nachrichten Sie ihnen senden werden – und welche Sie niemals senden werden – und fordern Sie sie auf, sich direkt an Sie zu wenden, wenn sie sich jemals unsicher sind, ob eine Nachricht von Ihnen angeblich gesendet wurde.
Wenn Sie all dies tun, können Sie mit einer erheblich verbesserten Gewissheit fortfahren, dass Ihre E-Mails sicher sind und Ihr Publikum vor der enormen Bedrohung durch E-Mail-Betrug geschützt ist.