Hat dein Unternehmen technisch alles getan, was mit vertretbarem Aufwand möglich ist, um Angriffe mit gefälschten Absenderadressen abzuwehren?
Durch das Fälschen der originalen oder ähnlichen Absenderadressen können Benutzer leicht getäuscht werden. 90% der erfolgreichen Cyberangriffe beginnen mit einer E-Mail. Daher ist es unter Kosten-Nutzen-Aspekten am sinnvollsten, auf diesem Weg technisch wenig Angriffsfläche zu bieten und Optimierungspotenzial zu nutzen.
Das E-Mail-Spoofing-Audit überprüft, ob aus technischer Sicht in der "Abwehr" noch Schwächen vorhanden sind.
Identifizierung von Lücken in der Abwehr gefälschter E-Mails
Können die Spamfilter deiner Kunden und Partner gefälschte E-Mails deiner Domains erkennen?
Ergebnisbericht inkl. Optimierungsvorschlägen & Management Summary
Sind das deine Herausforderungen im Hinblick auf die E-Mail-Sicherheit?
Stell dir vor ...
Genau hier kommt DMARC24 ins Spiel
Hallo, ich bin Thomas Fauser
In meiner Tätigkeit als CISO und Berater für Informationssicherheit fiel mir auf, dass die meisten erfolgreichen Cyberangriffe mit einer E-Mail beginnen.
Doch vielen Unternehmen sind nur ein Teil der Möglichkeiten bekannt, die es bei der Abwehr von Cyberangriffen per E-Mail gibt.
Um das zu ändern habe ich im April 2022 DMARC24 gegründet und teile seither insbesondere auf LinkedIn regelmäßig Tipps und meine Erfahrungen.
Seither durfte ich zahlreiche kleine, mittlere und große Unternehmen dabei unterstützen, sich besser vor Cyberangriffen per E-Mail zu schützen (z.B. Stadtwerke, StartUps, OnlineShops, IT-Dienstleister, Cloudanbieter, ...).
Die meisten Kunden habe ich dabei über Empfehlungen gewonnen, was für die Qualität meiner Arbeit und die Zufriedenheit meiner Kunden spricht.
Die dabei gesammelten Erfahrungen habe ich in mein Produkt "E-Mail-Spoofing-Audit" gesteckt. Das Audit führe ich persönlich durch.
Ich freue mich darauf, mit dir zusammenzuarbeiten,
Thomas Fauser, Inhaber von DMARC24
Weitere Infos
E-Mail-Spoofing-Audit
Beim E-Mail-Spoofing-Audit werden die aktuellen technischen Konfigurationen zur Abwehr von gefälschten E-Mails gegen die Anforderungen aus gängigen Standards (wie z.B. BSI-Grundschutz) und aus der Praxis bekannte Schwachstellen geprüft.
Das kannst du von dem E-Mail-Spoofing-Audit erwarten
Überprüfung der vorhandenen Konfigurationen
Ich überprüfe DNS-Einstellungen, wie z.B. zu SPF, DKIM & DMARC sowie die aktuelle Konfiguration der eingesetzten Spamfilter. Dabei wird überprüft, ob in der Konfiguration Schwachstellen und Optimierungspotenziale vorhanden sind.
Praxistest mit Versand verschiedener Arten von Spoofing-Mails
Ich versende mehrere E-Mails, bei denen die Absenderadressen auf verschiedene Arten gefälscht oder vorgetäuscht werden, an einen Testaccount.
Analyse von DMARC-Reports (Rückmeldungen anderer Mailserver)
Ich überprüfe die vorhandenen DMARC-Reports auf Auffälligkeiten. Falls aktuell kein entsprechendes Analysetool genutzt wird, stellt DMARC24 eines kostenlos zur Verfügung.
Detaillierter technischer Ergebnisbericht mit Optimierungsvorschlägen
Am Ende gibt es einen ausführlichen technischen Ergebnisbericht, der die gefunden Schwachstellen bewertet, erklärt und Optimierungsmöglichkeiten aufzeigt.
Ergebnispräsentation
Das Ergebnis wird nach Abschluss des Audits in einem Online-Meeting vorgestellt. In diesem Rahmen ist auch Raum für Rückfragen.
Management Summary
Die Ergebnisse werden zusätzlich, wie bei einem Pentest, als Management Summary aufbereitet.
Sommeraktion bis zum 31. August 2024
Unternehmen bis 100 Mitarbeiter
2.800€
Unternehmen über 100 Mitarbeiter
3.800 €
´
Diese Boni erhalten alle, die im Rahmen der Sommeraktion bis zum 31. August 2024 beauftragen
2 kostenlose Re-Audits
Wenn du nach dem Audit Einstellungen optimierst, testen wir bis zu 2x nach, ob die erkannten Schwachstellen behoben wurden.
Nützliche Vorlagen (Checklisten, E-Mail-Sicherheitsrichtlinien)
Nach dem Audit erhälst du noch nützliche Checklisten zur E-Mail-Sicherheit sowie E-Mail-Sicherheitsrichtlinien.
Training "Schutz vor E-Mail-Spoofing" für IT-Administratoren
Ebenfalls nach dem ersten Audit bieten wir dir kostenlos ein 3-stündiges 1:1 oder Kleingruppentraining "Schutz vor E-Mail-Spoofing"-Training für deine IT-Administratoren an. Der Schwerpunkt des Trainings liegt auf den theoretischen Grundlagen und Praxiserfahrungen zu den E-Mail-Sicherheitsstandards SPF, DKIM & DMARC. Es findet Remote statt.
4 bzw. 6 Monate Support bei Rückfragen
Zu den identifizierten Schwachstellen oder Optimierungsmaßnahmen kannst du uns 4 bzw. 6 Monate lang Rückfragen stellen, z. B. bei Fragen wie du sie beheben kannst.
Das E-Mail-Spoofing-Audit ist perfekt für dich, wenn ...
FAQ
Ja, denn es werden auch Einstellungen überprüft, die nicht direkt mit dem Spamfilter zu tun haben. Und auch die besten Spamfilter können Lücken in der Konfiguration aufweisen. Eine Zweitmeinung hat noch nie geschadet.
Phishing-Simulationen testen das Verhalten der Benutzer im Unternehmen. Bei diesem Praxistest liegt der Fokus hingegen auf den technischen Möglichkeiten, damit gefährliche E-Mails garnicht erst beim Anwender ankommen oder wenn sie dennoch ankommen, dass sie dann möglichst wenig Schaden anrichten.
Auch Unternehmen, die SPF und DMARC bereits sicher konfiguriert haben, erhalten durch das Audit einen Mehrwert.
1. In vielen, auch sicheren Konfigurationen, gibt es noch Optimierungspotenzial. Das kann z.B. eine höhere Resilienz bei möglichen Fehlern und Ausfällen sein oder das Ausnutzen von Schwachstellen über Subdomains.
2. Neben der "theoretischen" Bewertung der DNS-EInträge erfolgen auch Praxistests mit echten E-Mails. So wird das Verhalten der eigenen "Abwehr" in verschiedenen typischen Szenarien geprüft wird. Dabei sind auch Szenarien, die außerhalb des Wirkungsbereichs von DMARC oder SPF fallen.
3. Für einige Unternehmen wird sich die Beauftragung schon allein aufgrund der umfangreichen Boni wie z.B. Checklisten, E-Mail-Sicherheitsrichtlinien und das Training für IT-Administratoren lohnen.
Frühestens in KW33 (ab 12. August). Es auch möglich, das Audit später, also im September oder Oktober durchzuführen.
Ist das getestete Unternehmen ein kleineres Unternehmen, dann werden in deren IT ca. 0,5 bis maximal 1 PT benötigt. In größeren Unternehmen können es auch 1 bis 2 PT sein. Dazu kommt ggf. noch Zeit für einen Training für IT-Administratoren zur E-Mail-Sicherheit. Die hierfür aufgewendete Zeit ist abhängig von der Anzahl der Mitarbeiter, die das Training besuchen.
Nein. Die Vorschläge haben unterschiedliche Prioritäten. Jedes Unternehmen kann für sich selbst entscheiden, welche Maßnahmen praktikabel und im eigenen Kontext sinnvoll sind.
1. Ein Export der DNS-Einträge aller zu testenden Domains
2. Einsicht in die vorhandenen DMARC-Reports. Stehen keine zur Verfügung, wird im Rahmen des Audits ohne Aufpreis auch ein entsprechendes Monitoring eingerichtet.
3. Einsicht in die Konfigurationen des Spamfilters
4. Ein Postfach, an das Testsmails versendet werden können.
5. Informationen über die Logeinträge im Spamfilter, die im Zusammenhang mit den Testmails stehen.
Nach der Beauftragung wird eine Rechnung über den vereinbarten Festpreis erstellt.
Kein Problem. Stelle deine Frage einfach an info@dmarc24.de und ich antworte dir schnellstmöglich.
Schutz vor E-Mail-Spoofing
Einen 100%igen Schutz gegen E-Mail-Spoofing kann ich (im Unterschied zu unseriösen Tool-Verkäufern) nicht versprechen. Doch das Risiko lässt sich oft mit technischen Maßnahmen deutlich senken.
Und selbst wenn es dann doch noch zu Vorfällen kommen sollte:
Dann kann zumindest niemand mit dem Finger auf das Unternehmen, die IT oder den CISO zeigen und vorwerfen, dass das Unternehmen selbst Schuld ist, da es sich nicht an gängige Standards gehalten hat.
Bist du noch unschlüssig, ob das E-Mail-Spoofing-Audit für dich Sinn macht?
Sommeraktion bis zum 31. August 2024
Unternehmen bis 100 Mitarbeiter
2.800€ exkl. MwSt
Unternehmen über 100 Mitarbeiter
3.800 € exkl. MwSt
´
