Laut einem Artikel von Heise.de hat die Bundespolizei in der letzten Zeit wiederholt vor Spam-Aussendungen gewarnt, bei denen legitime Absender-Adressen der Bundespolizei zum Einsatz kamen. Die Kriminellen haben anscheinend auf diese Wiese versucht Schadsoftware zu verteilen. Auch die E-Mail-Adressen vieler anderer Organisationen wurden in den letzten Jahren zum versenden gefälschter E-Mails genutzt.
Die Bundespolizei hat sich bisher darauf beschränkt, nachträglich vor den Vorfällen zu warnen. Dabei könnte der Bund, laut Heise.de, durch die Umsetzung einfacher, weitverbreiterter, technischer Maßnahmen, wie z.B. Anti-Spoofing-Verfahren; im Besonderen Sender Policy Framework (SPF, RFC 7208), DKIM und DMARC; von vornherein die Gefahr reduzieren, die von gefälschten E-Mails ausgeht.
Heise.de hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) befragt, warum entsprechende DNS-Einträge ausgerechnet bei Bundesbehörden fehlen. Laut BSI seien zwar die technischen Voraussetzungen für den Einsatz von SPF, DKIM und DMARC bereits vor einiger Zeit geschaffen worden, jede Behörde sei jedoch für die Umsetzung selbst verantwortlich. Die Umsetzung hielt das BSI anscheinend auch nicht für dringlich, weil auf der Subdomain bsi.bund.de bisher keinerlei SPF- und DKIM-Einträge konfiguriert wurden.
Der Staat besitzt mal wieder die schlechteste Absicherung, das ist schon sehr bedenklich.