Der lang erwartete Rollout ist endlich da! Microsoft sendet DMARC-RUA-Aggregatberichte an seine Benutzer, und es kann sein, dass Sie es noch nicht bemerkt haben. Microsoft DMARC-Aggregate-Reports werden von der folgenden E-Mail-Adresse gesendet: [email protected]. Die Microsoft DMARC-Rohdatei wird im Standard-XML-Format versandt. Microsoft hat endlich DMARC-Berichte eingeführt, was im Wesentlichen bedeutet, dass nun auch Hotmail-, Outlook-, Live- und msn.com-Benutzer in den Genuss der verschiedenen Vorteile von Microsoft DMARC-Aggregatdaten kommen können.

Verarbeitung von Microsoft DMARC Aggregatdaten

PowerDMARC Report Analyzer analysiert die Microsoft DMARC-Aggregatdaten in einem organisierten Format, das Sie bei der effizienteren Verarbeitung unterstützt.  

Damit die Benutzer die Vorteile der von Microsoft gesendeten aggregierten Berichtsdaten nutzen können, bietet PowerDMARCs DMARC-Bericht-Analysator ist so vorkonfiguriert, dass sie ihre Berichte direkt auf der Plattform empfangen können. Die Benutzer müssen lediglich ihre Domains auf der PowerDMARC-Plattform hinzufügen und den DMARC-DNS-Eintrag konfigurieren, während wir die Berichte auf einfache und verständliche Weise verarbeiten und präsentieren. Hier finden Sie:

  • DMARC-Aggregatdaten, die von Hotmail-, Outlook-, Live- und msn.com-Empfängeradressen gesendet werden, werden aus dem rohen XML-Dateiformat in einfache und lesbare, in Tabellen organisierte Informationen umgewandelt
  • PowerDMARC ist so vorkonfiguriert, dass RFC-Verletzungen umgangen werden, so dass wir Ihre von Microsoft-Servern gesendeten DMARC-Daten empfangen und analysieren können, ohne dass Sie sich darum kümmern müssen.
  • Registrieren Sie mehrere Domains, überwachen Sie Ihre E-Mail-Kanäle und nehmen Sie DNS-Änderungen direkt vom Dashboard aus vor, mit Schaltflächen, die Sie direkt ansteuern können.
  • Filtern Sie die Ergebnisse in verschiedene Kategorien, z. B. nach Ergebnis, nach Sendequelle, nach Organisation, nach Land, nach Geolocation und nach detaillierten Statistiken oder Suchergebnissen pro Domain in der Suchleiste
  • Sie erhalten tiefere Einblicke in die Leistung Ihrer E-Mails und erkennen schnell Versuche von Domain-Spoofing, Impersonation oder gefälschten E-Mails, die über Ihre Microsoft-Unternehmensdomänen gesendet werden. Sie können auch alle SPF- und DKIM-Fehler von Ihren Sendequellen analysieren.

Oben sehen Sie einen Screenshot unserer DMARC-Aggregatberichte pro Organisation, die die von Microsoft gesendeten DMARC-RUA-Daten anzeigen.

Probleme, mit denen Sie möglicherweise konfrontiert werden, wenn Sie Microsoft DMARC Aggregate Reports selbst bearbeiten

Microsoft DMARC Aggregate-E-Mails sind nicht RFC-konform

Das Hauptproblem, mit dem die Benutzer bei diesen von Microsoft gesendeten E-Mails mit Berichten konfrontiert sind, ist, dass sie nicht den RFC-Spezifikationen für Internet-E-Mails entsprechen. Während RFC 5322, Kapitel 2.1.1, eindeutig besagt, dass eine Zeile nicht länger als 78 Zeichen sein darf, sind die BASE64-Anhangsdaten in diesen Microsoft DMARC-Aggregat-E-Mails eine durchgehende Zeile ohne ordnungsgemäße Zeilenumbrüche, die die Grenze von 78 Zeichen überschreitet. Die daraus resultierende RFC-Verletzung ist der Grund dafür, dass die meisten dieser E-Mails im Ablehnungsprotokoll des Benutzers landen, anstatt in dessen Posteingang zugestellt zu werden. 

Rohe XML-Dateien sind schwer zu lesen

Ähnlich wie die DMARC-Daten, die von allen meldenden Organisationen gesendet werden, besteht die RUA-Rohdatei aus einer erweiterbaren Auszeichnungssprache (XML), die schwer zu lesen und zu verstehen ist.

Voraussetzungen für den Empfang von Microsoft DMARC RUA

Um aggregierte Berichte für Ihre Domänen auf outlook.com zu erhalten, müssen Sie sicherstellen, dass Sie einen gültigen PowerDMARC-Eintrag in Ihrem DNS sowie eine definierte DMARC-Richtlinie veröffentlicht haben. Reporting-Organisationen senden dann aggregierte Berichtsdaten an den von Ihnen angegebenen Webserver oder die von Ihnen angegebene E-Mail-Adresse. Auf diese Weise erhalten Sie Einblick in die DMARC-Konformität Ihrer E-Mail-Drittanbieter, auf die Sie sonst keinen Einfluss haben. 

Schützen Sie Ihre Domains auf Microsoft Office365 und anderen Systemen, indem Sie noch heute mit der E-Mail-Authentifizierung beginnen. Steigen Sie ein mit einer kostenlosen DMARC-Testversion oder vereinbaren Sie eine DMARC-Demound entdecken Sie die Vorteile der Implementierung einer robusten E-Mail-Sicherheitsstruktur in Ihrem Unternehmen!

Falls Sie auf die Meldung "MTA-STS-Richtlinie fehlt: STSFetchResult.NONE " bei der Verwendung von Online-Tools, sind Sie hier richtig. Heute werden wir besprechen, wie Sie diese Fehlermeldung beheben und loswerden können, indem Sie eine MTA-STS-Richtlinie für Ihre Domain einrichten.

Das Simple Mail Transfer Protocol, kurz SMTP, ist das Standardprotokoll für die Übertragung von E-Mails, das von den meisten E-Mail-Anbietern verwendet wird. Es ist nichts Neues, dass SMTP seit Anbeginn der Zeit mit Sicherheitsherausforderungen konfrontiert ist, die bisher nicht gemeistert werden konnten. Um die E-Mails abwärtskompatibel zu machen, hat SMTP die opportunistische Verschlüsselung in Form eines STARTTLS-Befehls eingeführt. Dies bedeutet im Wesentlichen, dass, falls eine verschlüsselte Verbindung zwischen zwei kommunizierenden SMTP-Servern nicht ausgehandelt werden kann, die Verbindung auf eine unverschlüsselte zurückgesetzt wird und die Nachrichten im Klartext gesendet werden. 

Dies macht E-Mails, die über SMTP übertragen werden, anfällig für allgegenwärtige Überwachung und Lauschangriffe wie Man-in-the-middle. Dies ist sowohl für den Absender als auch für den Empfänger riskant und kann zur Preisgabe sensibler Daten führen. Hier setzt MTA-STS an und macht TLS-Verschlüsselung in SMTP zur Pflicht, um zu verhindern, dass E-Mails über ungesicherte Verbindungen zugestellt werden. 

Was ist eine MTA-STS-Politik?

Um Ihre SMTP-E-Mail-Sicherheit zu verbessern und Authentifizierungsprotokolle wie MTA-STS optimal zu nutzen, sollte der sendende Server das Protokoll unterstützen und der empfangende Server eine MTA-STS-Richtlinie in seinem DNS definiert haben. Ein erzwungener Richtlinienmodus wird ebenfalls empfohlen, um die Sicherheitsstandards weiter zu verstärken. Die MTA-STS-Richtlinie definiert die E-Mail-Server, die MTA-STS in der Domäne des Empfängers verwenden. 

Um MTA-STS für Ihre Domain als E-Mail-Empfänger zu aktivieren, müssen Sie eine MTA-STS-Richtliniendatei in Ihrem DNS hosten. Dies ermöglicht es externen E-Mail-Absendern, E-Mails an Ihre Domain zu senden, die authentifiziert und mit einer aktualisierten Version von TLS (1.2 oder höher) verschlüsselt sind. 

Das Fehlen einer veröffentlichten oder aktualisierten Richtliniendatei für Ihre Domäne kann der Hauptgrund dafür sein, dass Sie Fehlermeldungen wie "MTA-STS-Richtlinie fehlt: STSFetchResult.NONE"Dies bedeutet, dass der Server des Absenders die MTA-STS-Richtliniendatei nicht abrufen konnte, als er den DNS des Empfängers abfragte und feststellte, dass sie fehlte.

Voraussetzungen für MTA-STS:

E-Mail-Server, für die MTA-STS aktiviert wird, sollten eine TLS-Version von 1.2 oder höher verwenden und über TLS-Zertifikate verfügen, die den aktuellen RFC-Standards und -Spezifikationen entsprechen, nicht abgelaufen sind und von einer vertrauenswürdigen Stammzertifizierungsstelle unterzeichnet sind.

Schritte zur Behebung von "MTA-STS Policy is Missing"

1. Erstellen und Veröffentlichen eines MTA-STS DNS TXT-Eintrags 

Der erste Schritt besteht darin, einen MTA-STS-Eintrag für Ihre Domäne zu erstellen. Sie können einen Eintrag sofort mit einem MTA-STS-Eintragsgenerator erstellen, der Ihnen einen maßgeschneiderten DNS-Eintrag für Ihre Domäne liefert. 

2. Definieren eines MTA-STS-Richtlinienmodus

MTA-STS bietet zwei Richtlinienmodi, mit denen die Benutzer arbeiten können.

  • Test-Modus: Dieser Modus ist ideal für Anfänger, die das Protokoll noch nicht konfiguriert haben. Der MTA-STS-Testmodus ermöglicht es Ihnen, SMTP-TLS-Berichte über Probleme in MTA-STS-Richtlinien, Probleme beim Aufbau verschlüsselter SMTP-Verbindungen oder Fehler bei der E-Mail-Zustellung zu erhalten. Auf diese Weise können Sie auf bestehende Sicherheitsprobleme in Bezug auf Ihre Domänen und Server reagieren, ohne die TLS-Verschlüsselung zu erzwingen.
  • Modus erzwingen: Sie erhalten zwar weiterhin Ihre TLS-Berichte, aber im Laufe der Zeit ist es für die Benutzer optimal, ihre MTA-STS-Richtlinie durchzusetzen, um die Verschlüsselung beim Empfang von E-Mails über SMTP zwingend vorzuschreiben. Dadurch wird verhindert, dass Nachrichten während der Übertragung geändert oder manipuliert werden.

3. Erstellen der MTA-STS-Richtliniendatei

Der nächste Schritt besteht darin, MTA-STS-Richtliniendateien für Ihre Domänen zu hosten. Beachten Sie, dass der Inhalt jeder Datei zwar gleich sein kann, dass aber die Richtlinien für die einzelnen Domänen getrennt gehostet werden müssen und dass eine einzelne Domäne nur eine einzige MTA-STS-Richtliniendatei haben kann. Mehrere MTA-STS-Richtliniendateien, die für eine einzige Domäne gehostet werden, können zu Protokollfehlkonfigurationen führen. 

Das Standardformat für eine MTA-STS-Richtliniendatei ist unten angegeben: 

Dateiname: mta-sts.txt

Maximale Dateigröße: 64 KB

Version: STSv1

Modus: Testen

mx: mail.ihredomain.de

mx: *.ihredomain.de

max_age: 806400 

Anmerkung: Die oben gezeigte Richtliniendatei ist lediglich ein Beispiel.

4. Veröffentlichen Ihrer MTA-STS-Richtliniendatei

Als nächstes müssen Sie Ihre MTA-STS-Richtliniendatei auf einem öffentlichen Webserver veröffentlichen, der für externe Server zugänglich ist. Stellen Sie sicher, dass der Server, auf dem Sie Ihre Datei hosten, HTTPS oder SSL unterstützt. Das Verfahren hierfür ist einfach. Nehmen wir an, dass Ihre Domäne mit einem öffentlichen Webserver vorkonfiguriert ist:

  • Fügen Sie eine Subdomain zu Ihrer bestehenden Domain hinzu, die mit dem Text: mta-sts beginnen sollte (z. B. mta-sts.domain.com) 
  • Ihre Richtliniendatei verweist auf diese von Ihnen erstellte Subdomain und muss in einer .well-known Verzeichnis
  • Die URL für die Richtliniendatei wird bei der Veröffentlichung Ihres MTA-STS-DNS-Eintrags zum DNS-Eintrag hinzugefügt, damit der Server die Richtliniendatei während der E-Mail-Übertragung abrufen kann.

5. Aktivieren Sie MTA-STS und TLS-RPT

Schließlich müssen Sie Ihre MTA-STS und TLS-RPT DNS-Einträge im DNS Ihrer Domäne veröffentlichen, wobei Sie TXT als Ressourcentyp verwenden und zwei separate Subdomänen (_smtp._tls und _mta-sts). Auf diese Weise erreichen nur TLS-verschlüsselte Nachrichten Ihren Posteingang, die überprüft und nicht manipuliert wurden. Außerdem erhalten Sie täglich Berichte über Zustellungs- und Verschlüsselungsprobleme auf einer von Ihnen konfigurierten E-Mail-Adresse oder einem Webserver von externen Servern.

Sie können die Gültigkeit Ihrer DNS-Datensätze überprüfen, indem Sie eine MTA-STS-Datensatzabfrage durchführen, nachdem Ihr Datensatz veröffentlicht und aktiv ist.  

Anmerkung: Jedes Mal, wenn Sie den Inhalt Ihrer MTA-STS-Richtliniendateien ändern, müssen Sie diese sowohl auf dem öffentlichen Webserver, auf dem Sie Ihre Datei hosten, als auch den DNS-Eintrag, der die URL Ihrer Richtlinie enthält, aktualisieren. Das Gleiche gilt, wenn Sie Ihre Domänen oder Server aktualisieren oder ergänzen.

Wie können gehostete MTA-STS-Dienste bei der Lösung des Problems "MTA-STS Policy is Missing" helfen?

Die manuelle Implementierung von MTA-STS kann mühsam und schwierig sein und lässt Raum für Fehler. Das von PowerDMARC gehosteten MTA-STS Services von PowerDMARC beschleunigen den Prozess für Domaininhaber, indem sie die Implementierung des Protokolls mühelos und schnell machen. Sie können:

  • Veröffentlichen Sie Ihre CNAME-Einträge für MTA-STS mit ein paar Klicks
  • Auslagerung der harten Arbeit, die mit der Wartung und dem Hosting von MTA-STS-Richtliniendateien und Webservern verbunden ist
  • Ändern Sie Ihren Richtlinienmodus, wann immer Sie es wünschen, direkt von Ihrem maßgeschneiderten Dashboard aus, ohne auf Ihr DNS zugreifen zu müssen.
  • Wir zeigen SMTP-TLS-Berichts-JSON-Dateien in einem organisierten und für Menschen lesbaren Format an, das sowohl für technische als auch für nicht-technische Personen bequem und verständlich ist.

Und das Beste daran? Wir sind RFC-konform und unterstützen die neuesten TLS-Standards. Dies hilft Ihnen, mit einer fehlerfreien MTA-STS-Konfiguration für Ihre Domain zu beginnen und die Vorteile zu genießen, während Sie die Probleme und die Komplexität uns überlassen! 

Ich hoffe, dieser Artikel hat Ihnen geholfen, die Meldung "MTA-STS-Richtlinie fehlt: STSFetchResult.NONE" loszuwerden und die Protokolle für Ihre Domäne richtig zu konfigurieren, um die Lücken und Herausforderungen der SMTP-Sicherheit zu entschärfen. 

Aktivieren Sie MTA-STS für Ihre E-Mails noch heute, indem Sie eine kostenlose E-Mail-Authentifizierung DMARC-Testversionum Ihren Schutz vor MITM und anderen Lauschangriffen zu verbessern!