emailr_
Alle Artikel
list·10 min

Checkliste für das Audit der E-Mail-Sicherheit

ChecklisteSicherheitAudit

Zusammenfassung

Ein systematisches Sicherheitsaudit entdeckt Schwachstellen, bevor Angreifer sie ausnutzen. Diese Checkliste deckt Authentifizierung, Verschlüsselung, Zugriffskontrollen und Monitoring ab.

Der Vorfall begann mit einem einzigen kompromittierten E-Mail-Konto. Ein Mitarbeiter klickte auf einen Phishing-Link, gab seine Zugangsdaten ein – und Angreifer hatten Zugriff. Anschließend versendeten sie Rechnungen an Kunden mit geänderten Zahlungsdaten. Bis es jemand bemerkte, waren $200,000 auf Konten umgeleitet worden, die von den Angreifern kontrolliert wurden.

Das Unternehmen hatte E-Mail. Es hatte keine E-Mail-Sicherheit.

E-Mail-Sicherheit ist keine einzelne Konfiguration – sie besteht aus mehreren Schutzschichten, die zusammenarbeiten. Authentifizierung verhindert Spoofing. Verschlüsselung schützt Inhalte während der Übertragung. Zugriffskontrollen begrenzen, wer senden und empfangen darf. Monitoring erkennt Anomalien, bevor sie zu Sicherheitsverletzungen werden.

Diese Checkliste bietet einen systematischen Ansatz zur Überprüfung Ihrer E-Mail-Sicherheitslage.

Authentifizierungs-Audit

SPF-Eintrag ist mit -all veröffentlicht. Stellen Sie sicher, dass Ihr SPF-Eintrag vorhanden ist, syntaktisch gültig ist und mit -all (Hard Fail) statt ~all (Soft Fail) endet. Prüfen Sie, dass Sie unter dem 10-Lookup-Limit bleiben. Validieren Sie mit MXToolbox oder ähnlichen Tools.

Alle legitimen Sender sind im SPF enthalten. Prüfen Sie jeden Dienst, der E-Mails unter Ihrer Domain sendet. Marketing-Automation, Transaktions-E-Mails, CRM, Supportdesk, interne Anwendungen – jeder muss im SPF-Eintrag autorisiert sein. Fehlende Sender verursachen Authentifizierungsfehler; nicht autorisierte Sender können auf eine Kompromittierung hindeuten.

DKIM-Schlüssel sind veröffentlicht und gültig. Verifizieren Sie, dass öffentliche DKIM-Schlüssel in DNS für alle sendenden Domains und Selektoren vorhanden sind. Prüfen Sie, dass Schlüssel mindestens 1024 Bit (2048 bevorzugt) haben. Bestätigen Sie, dass Schlüssel nicht abgelaufen sind, falls Sie Schlüsselrotation nutzen.

DKIM-Signierung ist aktiv. Senden Sie Test-E-Mails und prüfen Sie, ob der DKIM-Signature-Header vorhanden und gültig ist. Stellen Sie sicher, dass die signierende Domain für DMARC-Zwecke mit Ihrer From-Domain übereinstimmt.

DMARC-Richtlinie wird erzwungen. Verifizieren Sie, dass Ihr DMARC-Eintrag existiert und eine Richtlinie p=quarantine oder p=reject enthält. Falls noch p=none, erstellen Sie einen Plan, um zur Durchsetzung überzugehen. Prüfen Sie, dass die rua- und ruf-Tags gesetzt sind, um Berichte zu erhalten.

DMARC-Berichte werden verarbeitet. Bestätigen Sie, dass Sie DMARC-Aggregatberichte erhalten und prüfen. Nutzen Sie einen DMARC-Analyzedienst, um Berichte lesbar zu machen. Achten Sie auf Authentifizierungsfehler legitimer Sender und unautorisierte Sendeversuche.

BIMI ist konfiguriert (optional, aber empfohlen). Wenn Sie DMARC-Durchsetzung erreicht haben, erwägen Sie die Implementierung von BIMI, damit Ihr Logo in unterstützenden E-Mail-Clients angezeigt wird. Für vollständige Unterstützung ist ein Verified Mark Certificate erforderlich.

Verschlüsselungs-Audit

TLS ist für das Senden erforderlich. Verifizieren Sie, dass Ihre Mailserver TLS für ausgehende Verbindungen erzwingen. Prüfen Sie, dass Sie TLS 1.2 oder höher verwenden – ältere Versionen haben bekannte Schwachstellen.

TLS ist für den Empfang erforderlich. Konfigurieren Sie Ihre Mailserver, TLS für eingehende Verbindungen zu erzwingen, oder bevorzugen Sie mindestens TLS und protokollieren Sie, wenn Verbindungen auf unverschlüsselt zurückfallen.

MTA-STS ist veröffentlicht. MTA-STS teilt sendenden Servern mit, TLS bei der Zustellung an Ihre Domain zu erzwingen. Veröffentlichen Sie eine MTA-STS-Richtlinie und prüfen Sie, dass sie beachtet wird. Dies verhindert Downgrade-Angriffe, bei denen Angreifer unverschlüsselte Zustellung erzwingen.

DANE-Einträge sind veröffentlicht (falls zutreffend). Wenn Sie DNS und Mailserver kontrollieren, bietet DANE Zertifikat-Pinning für E-Mail. Es ist komplexer als MTA-STS, bietet aber stärkere Garantien.

Zertifikat ist gültig und korrekt verkettet. Prüfen Sie das TLS-Zertifikat Ihres Mailservers auf Gültigkeit, Ablauf und korrekte Zertifikatskette. Nutzen Sie SSL Labs oder CheckTLS zur Verifizierung.

Chiffresuiten sind sicher. Prüfen Sie die von Ihrem Mailserver unterstützten Chiffresuiten. Deaktivieren Sie schwache Chiffren (RC4, DES, Export-Chiffren) und ältere Protokolle (SSLv3, TLS 1.0, TLS 1.1).

Zugriffskontroll-Audit

Adminzugriff ist eingeschränkt und protokolliert. Begrenzen Sie, wer E-Mail-Systeme administrieren darf. Erzwingen Sie starke Authentifizierung (Mehrfaktor-Authentifizierung, MFA) für Adminzugriff. Protokollieren Sie alle administrativen Aktionen für Prüfpfade.

Benutzerauthentifizierung ist stark. Erzwingen Sie starke Passwörter oder – besser – MFA für alle E-Mail-Konten. Deaktivieren Sie Legacy-Authentifizierungsprotokolle, die MFA nicht unterstützen.

Servicekonten sind inventarisiert. Dokumentieren Sie alle Servicekonten, die E-Mails senden. Jedes sollte einen klaren Eigentümer, einen definierten Zweck und angemessene Zugriffsbeschränkungen haben. Entfernen Sie ungenutzte Servicekonten.

API-Schlüssel sind abgesichert. Wenn Sie E-Mail-APIs verwenden, prüfen Sie das API-Schlüssel-Management. Schlüssel sollten regelmäßig rotiert werden, auf minimal notwendige Berechtigungen beschränkt sein und sicher gespeichert werden (nicht in Code-Repositories).

Sendelimits sind konfiguriert. Setzen Sie Ratenlimits für das Versenden von E-Mails, um Schäden durch kompromittierte Konten zu begrenzen. Ungewöhnliches Sendevolumen sollte Alarme auslösen.

Weiterleitungsregeln werden geprüft. Angreifer erstellen häufig Weiterleitungsregeln, um E-Mails zu exfiltrieren. Prüfen Sie regelmäßig Weiterleitungsregeln in allen Konten. Alarmieren Sie bei der Erstellung neuer Weiterleitungsregeln.

Infrastruktur-Audit

Mailserver sind gepatcht. Verifizieren Sie, dass die Mailserver-Software aktuell und mit Sicherheitsupdates versehen ist. Abonnieren Sie Sicherheitsmeldungen für Ihre Mailserver-Software.

Mailserver sind gehärtet. Deaktivieren Sie unnötige Dienste. Konfigurieren Sie Firewalls so, dass nur erforderliche Ports erlaubt sind. Befolgen Sie Härtungsleitfäden für Ihre spezifische Mailserver-Software.

Open Relay ist deaktiviert. Testen Sie, dass Ihr Mailserver keine E-Mails von unautorisierten Quellen weiterleitet. Open Relays werden schnell für Spam ausgenutzt.

Backup-MX ist abgesichert. Wenn Sie Backup-MX-Server haben, stellen Sie sicher, dass sie die gleiche Sicherheitskonfiguration wie Primärserver besitzen. Angreifer zielen gelegentlich auf weniger gesicherte Backup-Infrastruktur.

DNS ist abgesichert. Nutzen Sie DNSSEC, um DNS-Spoofing-Angriffe zu verhindern. Sichern Sie das Konto Ihres DNS-Providers mit starker Authentifizierung.

Monitoring-Audit

Authentifizierungsfehler werden überwacht. Verfolgen Sie SPF-, DKIM- und DMARC-Fehler. Untersuchen Sie Muster – Fehler legitimer Sender müssen behoben werden; Fehler unbekannter Quellen können auf Spoofing-Versuche hindeuten.

Ungewöhnliche Sendemuster lösen Alarme aus. Überwachen Sie Spitzen im Sendevolumen, Senden zu ungewöhnlichen Zeiten oder an ungewöhnliche Empfänger. Diese Muster können auf eine Kompromittierung hinweisen.

Anmeldeanomalien werden erkannt. Überwachen Sie Anmeldungen von ungewöhnlichen Standorten, mehrere fehlgeschlagene Anmeldeversuche und erfolgreiche Anmeldungen nach Fehlversuchen. Diese Muster deuten auf Angriffe auf Zugangsdaten hin.

Blacklist-Status wird überwacht. Prüfen Sie regelmäßig große Blacklists. Eine Listung weist auf ein Problem hin – entweder Kompromittierung, Fehlkonfiguration oder Reputationsprobleme.

Bounce-Raten werden nachverfolgt. Plötzliche Anstiege der Bounce-Raten können auf Listenvergiftung, kompromittiertes Senden oder Zustellbarkeitsprobleme hinweisen.

Vorbereitung der Incident Response

Incident-Response-Plan existiert. Dokumentieren Sie, was bei E-Mail-bezogenen Sicherheitsvorfällen zu tun ist. Wer wird informiert? Welche Systeme werden isoliert? Wie wird kommuniziert?

Indikatoren für Kompromittierung sind definiert. Wissen Sie, welche Anzeichen auf E-Mail-Kompromittierung hindeuten: ungewöhnliche Weiterleitungsregeln, unerwartete Gesendet-Elemente, Authentifizierung von unbekannten Standorten, Meldungen über gefälschte E-Mails.

Wiederherstellungsverfahren sind dokumentiert. Wissen Sie, wie kompromittierte Zugangsdaten widerrufen, bösartige Regeln entfernt und der Normalbetrieb wiederhergestellt wird. Testen Sie diese Verfahren, bevor Sie sie benötigen.

Kommunikationsvorlagen sind vorbereitet. Falls Sie Kunden oder Partner über E-Mail-bezogene Vorfälle informieren müssen, halten Sie Vorlagen bereit. Krisenkommunikation ist schwierig; Vorbereitung hilft.

Durchführung des Audits

Arbeiten Sie diese Checkliste systematisch durch und dokumentieren Sie die Ergebnisse. Für jeden Punkt:

  • Bestanden: Konfiguration ist korrekt und verifiziert
  • Fehlgeschlagen: Konfiguration fehlt oder ist falsch – muss behoben werden
  • Teilweise: Einige Aspekte sind korrekt, andere benötigen Arbeit
  • N/A: Nicht zutreffend für Ihre Umgebung

Priorisieren Sie die Behebung basierend auf Risiko. Authentifizierungsprobleme (SPF, DKIM, DMARC) sind grundlegend – beheben Sie diese zuerst. Probleme bei Zugriffskontrollen, die eine Kompromittierung ermöglichen könnten, haben hohe Priorität. Monitoring-Lücken sind wichtig, aber weniger dringlich als aktive Schwachstellen.

Planen Sie regelmäßige Audits – mindestens vierteljährlich, monatlich für Hochsicherheitsumgebungen. E-Mail-Sicherheit ist keine einmalige Konfiguration; sie erfordert kontinuierliche Aufmerksamkeit.

Frequently asked questions

Wie oft sollte ich E-Mail-Sicherheitsaudits durchführen?

Quartalsweise für die meisten Organisationen. Monatlich für Hochsicherheitsumgebungen oder nach wesentlichen Änderungen. Führen Sie zusätzlich ein Audit durch nach jedem Sicherheitsvorfall, bei Infrastrukturänderungen oder wenn neue E-Mail-Versanddienste hinzukommen.

Was ist der kritischste Punkt auf dieser Checkliste?

Die DMARC-Durchsetzung (p=reject) ist wohl die wirkungsvollste einzelne Maßnahme – sie verhindert Domain-Spoofing, das die Grundlage der meisten E-Mail-basierten Angriffe ist. Dafür müssen jedoch SPF und DKIM zuerst korrekt sein.

Sollte ich eine externe Partei für E-Mail-Sicherheitsaudits beauftragen?

Externe Audits bringen eine frische Perspektive und decken blinde Flecken auf. Für Compliance-Anforderungen (SOC 2, HIPAA usw.) können Audits durch Dritte erforderlich sein. Für Routineprüfungen reichen interne Audits anhand dieser Checkliste aus.

Welche Tools benötige ich für dieses Audit?

MXToolbox für Authentifizierungs- und DNS-Prüfungen. Die Admin-Oberfläche Ihres Mailservers für die Konfigurationsprüfung. Ein DMARC-Analysetool für die Verarbeitung von Berichten. Ein Schwachstellen-Scanner für die Beurteilung der Infrastruktur. Die meisten Prüfungen lassen sich mit kostenlosen Tools durchführen.

e_

Geschrieben vom emailr-Team

Wir bauen Email-Infrastruktur für Entwickler

Weiterlesen

list

12 SMTP-Testtools für Entwickler

10 minlist

Selbstgehostet vs. Managed E-Mail: vollständiger Vergleich

11 minlist

15 Wege, die E-Mail-Bounce-Rate zu senken

10 min

Bereit zum Senden?

Hol dir deinen API-Schlüssel und sende deine erste E-Mail in unter 5 Minuten. Keine Kreditkarte erforderlich.

Kostenlos startenMit dem Vertrieb sprechen