Im Moment ächzen Mailserver wie nie unter unerwünschten Email, egal ob Spam-, Phishing- oder Viren- und Trojaner-eMails. Provider berichten, das über 90% der verschickten Mails unerwünscht sind und das extra neue Hardware angeschafft werden muss, um mit der steigenden Mailflut mitzuhalten. Gleichzeitig stoßen Filter, die den Inhalt der Mails bewerten immer mehr an ihre Grenzen, da die Spammer immer neue Mittel nutzen (Nutzen des Namens, Zitate aus Blogs, Texte der eigenen Website, …). Hilft vielleicht schon bald ein neues Verfahren, das schon seit 2005 erprobt wird?
Das Verfahren nennt sich DomainKeys Identified Mail (DKIM) und basiert auf dem Prinzip der asynchronen Verschlüsslung, wie man es auch schon seit langem von Tools wie PGP kennt. Jeder Sender einer Email verfügt dann über ein Schlüsselpaar mit öffentlichem und privaten Schlüssel. Der öffentliche Schlüssel wird über das Domain Name System allen bekannt gemacht (ist sowieso zum Auflösen von URLs wie www.google.de -> 66.249.93.104 nötig) aber der private Schlüssel bleibt ein Geheimnis.
Jede Email wird mit dem privaten Schlüssel „signiert“, das bedeutet, es wird eine Folge von Zeichen erzeugt, die nur mit dem privaten Schlüssel generiert werden kann. Die Zeichenfolge ist abhängig von den Inhalten der Mail und kann so wirklich nur vom Inhaber des privaten Schlüssels erzeugt werden – ein einfaches Kopieren der Signatur nutzt nichts.
Das Tolle ist: mit dem öffentlichen Schlüssel (den jeder kennt s. DNS), kann man sicher überprüfen, ob die Signatur auch wirklich stimmt. Damit ist sichergestell, das die Email auch wirklich vom angeblichen Absender kommt und die Email kann unterwegs nicht verändert werden. Gelesen werden kann sie allerdings unterwegs trotzdem noch, aber um auch die Inhalte zu schützen, könne man diese zusätzlich verschlüsseln.
Nach dem jetzt von der Internet Engineering Task Force (IETF) in RFC 4871 veröffentlichten Protokoll könnten in Zukunft also wirklich Emails nach Absender sortiert werden – ein Durchsuchen der Email nach verdächtigen Inhalten wäre dann nicht mehr nötig. Super Idee – der Haken ist nur, dass dabei das DNS-System ebenso verändert werden muss wie die Mailserver und das könnte leider einige Zeit dauern, auch wenn das DKIM-System in manchen Programmen schon verfügbar ist.
Anders als z.B. bei PGP gibt es auch keine hierarchischen Systeme, Certificate Authorities (CA) und Web of Trust – es wird von der Sicherheit des DNS-Systems ausgegangen.
Fazit: Gute Idee und dringend nötige Maßnahme gegen Spam, die man sich sparen könnte, würden schon alle Menschen verschlüsselte oder zumindest signierte Emails nutzen – die Software ist seit Jahren kostenlos verfügbar. Zudem: das ganze funktioniert natürlich nur, solange das DNS-System sicher ist und vor allem solange die privaten Schlüssel auch wirklich geheim bleiben. Das könnte zum Problem werden, solange manche Benutzer weiterhin auf alle möglichen Trojaner-Anhänge einfach doppelklicken und ihren Rechner zum Teil eines Bot-Netzes machen ;)
via heise.de und e-recht24.de