No Auth, No Entry

Mit „No Auth, No Entry“ bezeichnet Google eine E-Mail Policy, deren Einhaltung das Unternehmen erwartet. Wird die Policy nicht erfüllt, behält Google sich vor den Empfang der Nachricht abzulehnen.

Mit „Auth“ bezieht Google sich auf das Dreigespann aus SPF, DKIM und DMARC. Versender sollen diese Technologien einsetzen, andernfalls verweigert Google die Annahme („No Entry“).

<***@gmail.com>: host
   gmail-smtp-in.l.google.com[2a00:1450:400c:c09::1b] said: 550-5.7.1
   [fe80::e26:8e32:d4b:5f32] Our system has detected that this 550-5.7.1
   message is likely unsolicited mail. To reduce the amount of spam sent
   550-5.7.1 to Gmail, this message has been blocked. Please visit 550-5.7.1
   https://support.google.com/mail/?p=UnsolicitedMessageError 550 5.7.1  for
   more information. q9si858297wmf.73 - gsmtp (in reply to end of DATA
   command)

Damit möchte Google ein Problem in den Griff bekommen, an das die Erfinder von E-Mail damals nicht gedacht hatten: Der Ursprung einer E-Mail kann sehr einfach gefälscht werden. Ohne E-Mail Authentifizierung kann nicht verlässlich bestimmt werden, ob eine Nachricht tatsächlich von dem Absender stammt, von dem sie versendet worden zu sein vorgibt.

Das Fehlen von E-Mail Authentifizierung stellt ein Problem für Google und andere E-Mail Provider dar, denn es zwingt sie allerlei andere Technologien wie z.B. Anti-Spam engines, Realtime Blacklists und Prüfsummenfilter einzusetzen und dann nach eigenem Ermessen heraus zu entscheiden, ob eine Nachricht angenommen oder abgelehnt werden soll. Phishing- oder Spoofing-E-Mail findet trotz all der Filter seinen Weg in die Mailbox der Empfänger und richten so signifikanten wirtschaftlichen Schaden an.

Indem Google E-Mail Authentifizierung einfordert, dreht es die Beweislast um. Die Versender müssen mit SPF Angaben zum Routing ihrer Nachrichten machen. Mit DKIM müssen sie unsichtbare Signaturen auf Nachrichten anbringen, um so die Abstammung von der vorgegebenen Senderdomain und die Unversehrtheit der Nachricht beim Transport durch das Internet nachweisbar zu machen. Ist beides – SPF und DKIM – erfüllt, muss Google nicht mehr selber rätseln. Es kann seine Entscheidung auf harte, nachprüfbare Fakten stützen.

DMARC fungiert als Policy-Klebstoff, welcher die Intentionen von SPF und DKIM nachvollziehbar macht und zugleich erkennen läßt wie bei Auth-Fehlern der Techniken SPF und DKIM verfahren werden soll.

„No Auth, No Entry“ wird DMARC-konforme Nachrichten zur Mindestanforderung an E-Mails für Google-Empfänger machen. Wer bisher einen Bogen um SPF, DKIM und DMARC gemacht hat, der ist gut beraten, die Techologien jetzt einzusetzen. Nicht nur Google hat sich zu „No Auth, No Entry“ bekannt.

Patrick Ben Koetter, 22. February 2019

   DKIM    SPF    DMARC