Shadow-IT (im E-Mail-Kontext)
Versanddienste, die ohne Wissen der IT in Ihrem Namen Mails verschicken — ein Authentifizierungs- und Sicherheitsrisiko.
Shadow-IT bezeichnet im E-Mail-Kontext Dienste, die ohne Wissen oder Genehmigung der IT-Abteilung im Namen einer Domain E-Mails versenden. Klassische Beispiele: Das Marketing bucht ein Newsletter-Tool, der Vertrieb nutzt ein eigenes CRM, eine Abteilung richtet einen Umfragedienst ein — jeweils mit der Unternehmensdomain als Absender, aber ohne Eintrag im SPF-Record und ohne DKIM-Signatur.
Das ist aus zwei Gründen ein Problem. Erstens scheitern diese Mails an der Authentifizierung, sobald DMARC durchgesetzt wird — legitime Geschäftspost geht verloren. Zweitens ist jede unbekannte Versandquelle ein blinder Fleck: Man kann nicht unterscheiden, ob es sich um einen vergessenen legitimen Dienst oder um einen Angreifer handelt.
DMARC-Aggregate-Reports (RUA) machen Shadow-IT sichtbar: Sie zeigen jede Quelle, die unter der Domain versendet. Ein Shadow-IT-Monitoring meldet gezielt neue, nicht autorisierte Sender, die über einer bestimmten Volumenschwelle liegen und nicht im SPF-Record stehen — damit die IT entscheiden kann, ob sie freigegeben oder blockiert werden.