Phishing–as–a-Service (PhaaS) ist ein schnell wachsendes Phänomen in der Welt der Cyberbedrohungen, das Angreifer mit immer wirkungsvolleren Tools bewaffnet und den Markt für Online-Betrug für die breite Masse geöffnet hat. Phishing-Versuche in hoher Qualität sind so zu einer täglichen Plage geworden.
Erfahren Sie in diesem neuen Infoblatt „…in 5 Minuten erklärt“, wie Phishing mittlerweile als fertiges Kit verkauft wird und wie Sie sich davor schützen können.
Das DNS, das Domain Name System, ist ein wichtiger Dienst für das Funktionieren des Internets. Es wird oft als ein Verzeichnis beschrieben, in dem Domainnamen mit IP-Adressen verknüpft werden können, doch das stellt nur einen Bruchteil seiner Funktionen dar.
DNS-Einträge der Typen A und AAAA ermöglichen es, IP-Adressen hinter einem Domainnamen zu konfigurieren. Daneben gibt es aber Dutzende weiterer DNS-Eintragstypen, die für verschiedene Anwendungsfälle nützlich sind.
Der SVCB-Typ, der für SerViCe Binding steht, soll nützliche Informationen über die mit einem Domainnamen verfügbaren Dienste angeben. Das Format des SVCB-Datensatzes besteht aus einer Priorität, einem Ziel und einer optionalen Parameterliste. Beispielsweise kann damit angegeben werden, dass für einen definierten Dienst ein Domainname tatsächlich mit einem anderen Namen mit einer bestimmten Konfiguration verknüpft ist.
SVCB [SvcPriority] [TargetName] ([SvcParams]…)
SVCB-Datensätze unterscheiden sich von SRVs in mehreren Punkten:
Der Typ HTTPS ist ein von SVCB abgeleiteter Typ. Im Gegensatz zum SVCB-Typ, der generisch ist, ist der HTTPS-Typ spezifisch für das HTTPS-Protokoll.
Um eine HTTPS-Verbindung zu initiieren, muss der Client in der Regel zuerst eine HTTP-Verbindung aufbauen, um verschiedene Informationen abzurufen, z. B. welche Version er verwenden soll, dies erzeugt Latenz.
Der DNS-Eintrag vom Typ HTTPS ermöglicht es insbesondere, dem Client verschiedene Parameter anzugeben, um die Verbindung zum Server zu erleichtern und so die Latenz zu verringern. Er hat die gleiche Form wie ein SVCB-Eintrag:
HTTPS [SvcPriority] [TargetName] ([SvcParams]…)
SVCB/HTTPS-Registrierungen bieten zwei Betriebsmodi. Einen Alias-Modus und einen Service-Modus.
Der Alias-Modus wird aktiviert, wenn die Priorität auf 0 gesetzt ist. Er ermöglicht die Umleitung eines Domainnamens auf einen anderen Namen und löst insbesondere das bekannte Problem des CNAME-at-apex.
Mit dem CNAME-Eintrag können Sie angeben, dass eine Subdomain auf einen anderen Domainnamen verweist. Er ist sehr nützlich, um einen Dienst zu delegieren: z. B. um den Namen www.beispiel.de auf die bei meinedomain.testhost.de gehostete Website verweisen zu lassen.
www CNAME meinedomain.testhost.de
Das Problem mit dem CNAME-Datensatz ist, dass er nicht im Stamm eines Namens definiert werden kann. Um dieses Problem zu umgehen, werden nicht-standardmäßige Lösungen wie ALIAS- oder ANAME-Einträge angeboten, aber diese Typen werden nicht von allen DNS-Betreibern unterstützt. Der Alias-Modus der SVCB/HTTPS-Einträge ist eine Lösung für dieses Problem.
SVCB 0 nameshield.net.
HTTPS 0 nameshield.net.
Der Service Modus der SVCB/HTTPS-Einträge ermöglicht es, anzugeben, welche Dienste hinter einem Domainnamen konfiguriert sind. Bei der Diensterkennung liefert dies dem Client eine Reihe von Parametern, die in einem einzigen DNS-Eintrag zusammengefasst sind. Ziel ist es, die Nutzung von Diensten zu erleichtern und die Latenz zu verringern.
Zum Beispiel kann es einen HTTPS-Eintrag geben, der besagt, dass der Client mit dem HTTP/2- oder HTTP/3-Protokoll (alpn) eine Verbindung zu den definierten IPv4- und IPv6-Adressen (ipv4hint, ipv6hint) auf Port 8061 (port) herstellen kann.
HTTPS 1 . alpn=”h3,h2” ipv4hint=”192.168.0.1” ipv6hint=”2001:db8::1” port=8061
SVCB/HTTPS-Registrierungen bieten mehrere Funktionen, um die Webleistung zu verbessern und das Root-CNAME-Problem anzugehen. Die Tatsache, dass sie generisch und skalierbar sind, ermöglicht es, den Umfang der Anwendungsfälle zu erweitern.
Obwohl sie noch nicht durch einen RFC standardisiert sind, werden diese neuen Arten von Datensätzen bereits verwendet. Einige DNS-Software und Webbrowser unterstützen diese Datensätze und Player wie Apple, Google, Cloudflare und Nameshield implementieren sie bereits.
Heute müssen Dienste, die mit SVCB/HTTPS-Registrierungen arbeiten, in Zweifelsfall jedoch auch darauf verzichten können, da die Einführung noch nicht flächendeckend erfolgt ist. Dies ist ein Stadium, der mehrere Monate dauern kann, bis die meisten Betreiber aufgerüstet haben.
Bildquelle: TheDigitalArtist via Pixabay
Nameshield erneuert seine ISO 27001-Zertifizierung für sein gesamtes Registrar-Geschäft.
Nameshield ist seit 2017 für seine Aktivitäten im Bereich der Verwaltung von Domainnamen-Portfolios, DNS und TLS/SSL-Zertifikaten nach ISO 27001 zertifiziert. Wir sind stolz darauf, die Erneuerung unserer ISO 27001-Zertifizierung im Februar 2023 bekannt geben zu können.
ISO 27001 ist eine internationale Norm, welche die Anforderungen für die Einrichtung eines Informationssicherheits-Managementsystems (ISMS) beschreibt, das die Sicherheitsmaßnahmen definiert, die zum Schutz der sensiblen Güter eines Unternehmens in einem definierten Bereich eingesetzt werden sollen.
Im Fall von Nameshield deckt dieses den gesamten Bereich seiner Registrar-Aktivitäten ab. Auf höherer Ebene verlangt die Norm ISO 27001, dass sich die Unternehmensleitung an der Cyberverteidigung beteiligt. Parallel dazu überwacht ein Lenkungsausschuss die Umsetzung der neuen Bestimmungen der Norm.
Eine Zertifizierung nach ISO 27001 bedeutet, dass wir unseren Kunden und Partnern eine Sicherheit der Informationssysteme bieten können, die vollständig in jede der von Nameshield angebotenen Dienstleistungen integriert ist. Wir investieren in Ihre und unsere Sicherheit und verpflichten uns zu einem kontinuierlichen Verbesserungsprozess.
Die Zertifizierung nach ISO 27001 bestätigt auch die Kompetenz der Mitarbeiter von Nameshield und ihr Fachwissen in Bezug auf den Schutz kritischer Informationen.
Die ISO 27001-Zertifizierung beinhaltet:
BIMI (Brand Indicators for Message Identification) ermöglicht es Ihnen, eigene E-Mails zu authentifizieren und das Vertrauen Ihrer Kunden zu stärken, indem Sie Ihr Logo in deren Posteingang anzeigen. VMC (Verified Mark Certificate) ist ein mit BIMI verbundenes Zertifikat, das die Echtheit des angezeigten Markenlogos gewährleistet.
Was ist BIMI?
BIMI ist eine Brancheninitiative mit dem Ziel, die Verwendung und Anzeige von Markenlogos in E-Mail-Clients zu standardisieren. Ein Marken- oder Firmenlogo – direkt im Posteingang neben dem E-Mail Kopf – schafft ein Gefühl der Legitimität und des Vertrauens. Die Implementierung wirkt sich deutlich auf die Öffnungsraten aus und erhöht den Schutz der Verbraucher vor betrügerischen E-Mails.
Technisch gesehen ist BIMI eine neue Sicherheitstechnologie, die zusammen mit den Protokollen DKIM, SPF und DMARC arbeitet, um Ihren Domainnamen davor zu schützen, von böswilligen Akteuren für den Versand betrügerischer E-Mails verwendet zu werden.
Vor BIMI waren der Prozess zur Anzeige eines Markenlogos neben einer E-Mail für jeden E-Mail-Dienst unterschiedlich; der Implementierungsprozess war teilweise vollständig manuell oder hing von anderen Anwendungen ab.
Die AuthIndicators-Gruppe, der E-Mail-Dienstleister wie Google, Verizon Media, IONOS by 1&1 und Fastmail angehören, arbeitet an der Implementierung von BIMI in die gängigsten E-Mail-Clients. Viele Anbieter haben BIMI bereits übernommen, andere sind dabei, und es wird erwartet, dass die Positionen von Microsoft und Apple die endgültige Übernahme des Standards vorantreiben werden.
Warum ist BIMI wichtig?
Wie funktioniert BIMI?
BIMI validiert E-Mails in mehreren Schritten, um sicherzustellen, dass sie tatsächlich mit der Domain des Absenders verbunden sind. Die Absender müssen einen für BIMI bestimmten TXT-DNS-Eintrag hinzufügen.
Damit BIMI funktionieren kann, müssen die Domainnamen auch mehrere andere Schutzmechanismen gegen Betrug aufweisen, z. B:
Wenn E-Mails mit BIMI versendet werden, führt der empfangende E-Mail-Server zunächst die standardmäßige DMARC/DKIM-Authentifizierung und SPF-Validierung durch. Wenn die E-Mail diese Prüfungen besteht, überprüft der Mailserver, ob sie einen gültigen BIMI-Eintrag hat, und zeigt das Markenlogo an.
Wie interagiert BIMI mit DMARC, DKIM und SPF?
Der erste Schritt zur Verwendung von BIMI zur Anzeige eines Logos ist die Implementierung von DMARC. Dies wird als DNS-Eintrag vom Typ TXT auf dem Domainnamen gespeichert. Damit DMARC mit BIMI funktioniert, muss die Ablehnungsrichtlinie in diesem Eintrag für alle von Ihrer Domain gesendeten E-Mails p=quarantine oder p=reject lauten.
BIMI erfordert DMARC… und DMARC erfordert, dass Ihr Domainname DKIM-Einträge hat, um zu funktionieren. Während DMARC nur SPF- oder DKIM-Einträge erfordert, um zu funktionieren, ist es trotzdem besser, SPF-Einträge für mehr Sicherheit bei der Verwendung von BIMI einzuschließen. Diese beiden Sicherheitstools werden auch als TXT-DNS-Einträge in der Domainnamenzone gespeichert.
VMC, das letzte Glied in der Kette
Ein Prüfzeichen-Zertifikat ist ein digitales Zertifikat, das den Besitz eines Logos bestätigt und die Verwendung von BIMI in E-Mail-Clients wie Gmail vervollständigt.
Das VMC-Zertifikat garantiert die Echtheit des angezeigten Logos, das notwendigerweise dem Inhaber des Domainnamens gehört, der die E-Mail versendet. Es ist das letzte Glied in der Kette, um die Authentizität der empfangenen E-Mail zu garantieren.
Wenn Sie eine E-Mail an einen Kontakt senden, übernimmt der empfangende Mailserver, der den Posteingang verwaltet, die URL des Tags, der angibt, wo das Logo angezeigt werden soll. Er überprüft dann das VMC-Zertifikat, um sicherzustellen, dass das richtige Logo verwendet wird. Sobald das Logo vom VMC verifiziert wurde, wird BIMI es neben der E-Mail im Posteingang anzeigen.
Um ein VMC-Zertifikat zu erhalten, ist die Implementierung von DMARC auf dem Domainnamen Voraussetzung. Es folgt ein Authentifizierungsprozess mit einer Zertifizierungsstelle, die die Identität der Organisation validiert, die Registrierung des Logos bei einer zertifizierten Stelle und die Ausstellung des Zertifikats nach einem persönlichen Treffen mit einem Notar.
Je nach Land können die Ämter für geistiges Eigentum für die Eintragung von Logos unterschiedlich sein, ebenso wie die Regeln für die Zulassung zur Ausstellung des Zertifikats.
Zugelassene Marken können sein:
Obwohl dies derzeit keine Voraussetzung für die Implementierung von BIMI in Ihrem Domainnamen ist, sollte VMC in Zukunft Teil des Standards sein.
Entrust Datacard und DigiCert sind die ersten beiden Unternehmen, die VMC-Zertifikate für den BIMI-Standard ausstellen. Nameshield ist Partner beider Unternehmen und unterstützt Sie bei der Beschaffung von VMC-Zertifikaten. Sie können sich bei allen Fragen zu diesem Thema direkt an unsere Zertifikatsabteilung wenden.
BIMI + VMC = Garantie der Authentizität
BIMI, VMC… und Nameshield
Nameshield unterstützt seine Kunden bei der Implementierung von DMARC, SPF, DKIM sowie von BIMI-Protokollen und der Erlangung der zugehörigen VMC-Zertifikate. Der Domain-Name ist der Kern der Implementierung dieser verschiedenen Protokolle. Unser Geschäft als Registrar und Verwalter von DNS-Zonen erlaubt es uns heute, unsere Kunden bei diesen wichtigen Themen des Kampfes gegen Online-Betrug und der Steigerung der Erwünschtheit von E-Mails zu unterstützen.
