Exchange Online setzt nun DMARC-Policy um

    , 20.07.2023
    Tags: , ,

    Exchange OnlineDKIM und SPF erlauben es dem Empfänger einer E-Mail, die Echtheit der Absender­domäne zu verifizieren. Der Inhaber der Domäne kann dann über DMARC festlegen, was mit Nachrichten passiert, die an dieser Validierung scheitern. M365 hat diese Richtlinie für eingehende Mails bis dato ignoriert, ändert dieses Verhalten aber nun.

    Mit DKIM lassen sich ausgehende Nachrichten signieren und SPF benennt die autorisierten SMTP-Server für den Versand von E-Mails aus einer Domäne. Beide Mechanismen erfordern den Eintrag der dafür benötigten Informationen in das DNS.

    Mit Domain-based Message Authentication, Reporting & Conformance (DMARC) legen die Besitzer einer Domäne fest, wie Empfänger auf Mails reagieren sollen, die diese Prüfung nicht bestehen. Auch diese Policy trägt man als TXT-Record in das DNS ein, so dass sie der Adressat der Nachricht auslesen kann.

    Schutz vor Spoofing der Mail-Adresse

    Auf diese Weise können sich Unternehmen vor dem Missbrauch ihrer Domäne für den Versand von Spam und Phishing-Mails schützen. Das Spoofing von Mail-Adressen scheitert nämlich an der SPF- und DKIM-Verifizierung. Damit verringert sich auch das Risiko, auf einer Blacklist zu landen.

    Exchange Online erlaubt schon länger die Signierung von Nachrichten mit DKIM (siehe: Exchange Online für DKIM konfigurieren). Hingegen ignorierte Microsoft bis dato die DMARC-Richtlinie, wenn eine ankommende Nachricht die DKIM- und SPF-Validierung nicht bestand.

    DMARC-Optionen

    Die Policy sieht drei Aktionen vor: None, Quarantine und Reject. Bei None gehen die Mails zwar durch, aber der Administrator sollte über die problematische Mail benachrichtigt werden. Bei den beiden anderen Optionen landen die Nachrichten in der Quarantäne oder werden abgewiesen.

    Nachdem Microsoft die DMARC-Richtlinien ab sofort umsetzt, erhalten die Sender einer Nachricht künftig einen Non-Delivery Report (NDR), wenn die Verifizierung scheitert und sie die Policy auf Reject gesetzt haben.

    Anpassen der Standardreaktion

    Exchange-Admins haben jedoch die Möglichkeit, dieses Standardverhalten über die Anti-Phishing-Richtlinie zu ändern. Dort lässt sich die Auswertung der DMARC-Policy deaktivieren oder man kann alternative Aktionen mit ihr verknüpfen.

    Reaktion des Systems auf verschiedene DMARC-Richtlinien anpassen

    So könnte man E-Mails etwa bei Quarantine und Reject abweisen, wenn sie den SPF- und DKIM-Check nicht erfolgreichen passieren.

    Dies ist übrigens das Verhalten von Microsofts Consumer-Diensten (live.com, outlook.com, hotmail.com), die gleichzeitig mit M365 ebenfalls damit begannen, die DMARC-Policies zu berücksichtigen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links

    1 Kommentar

    SJ (Besucher) sagt:
    21. Juli 2023 - 10:00

    Es ist sehr zu begrüßen das Microsoft nun DMARC Richtlinien so umsetzt wie es der Domänenbesitzer auch eingestellt hat.

    ABER:
    So wie ich es gehört habe wurde das so umgesetzt, dass Microsoft die Mails eben nicht am Gateway rejected sondern die Mails zuerst einmal annimmt und dem Absender ein 250 signalisiert. Das wäre mmn eine sehr unglückliche Umsetzung der DMARC policy.