compauth=fail: Microsoft Composite Authentication erklärt
von
Zuletzt aktualisiert: 7 Lesezeit: 7 Minuten
Wichtigste Erkenntnisse
- Selbst wenn Ihre E-Mails globale Standards wie SPF und DKIM einwandfrei erfüllen, kann Microsoft sie mithilfe seiner eigenen internen Reputationsfilter dennoch als „Fehler“ kennzeichnen.
- Seit Microsofts Vorgehen gegen Massenversender führt die Beibehaltung einer passiven DMARC-Richtlinie (p=none) nun aktiv zu impliziten Authentifizierungsfehlern (reason=001).
- Falls Ihre E-Mails aufgrund von Weiterleitungen nicht zugestellt werden, bestand die bisherige Lösung darin, ein „Authenticated Received Chain“ (ARC)-Siegel einzurichten. Da jedoch ein Entwurf der Arbeitsgruppe der Internet Engineering Task Force (IETF) vorschlägt, ARC als historischen Standard einzustufen, müssen Sie Ihre derzeitige DKIM-Infrastruktur einwandfrei aufrechterhalten, um sich auf die bevorstehende Einführung von DKIM2 vorzubereiten.
- Die meisten Fehler sind auf eine falsche Domänenzuordnung oder zu passive Richtlinien zurückzuführen. Ein Upgrade über „p=none“ hinaus und die Konfiguration benutzerdefinierter „Mail-From“-Domänen für Tools von Drittanbietern beheben die allermeisten Ihrer Probleme mit der CompAuth.
Sie haben SPF, DKIM und DMARC eingerichtet, doch Ihre E-Mails landen weiterhin im Junk-Ordner von Outlook. Der Grund dafür ist häufig „compauth=fail“ – eine Microsoft-spezifische Authentifizierungsebene, die über die üblichen globalen Protokolle hinausgeht. Zu verstehen, was dieses Diagnosesignal bedeutet, warum es sich von DMARC unterscheidet und warum es nach den Updates im Mai 2025 wichtiger denn je ist, ist entscheidend für die Aufrechterhaltung der Zustellbarkeit geschäftlicher E-Mails.
Was ist die Composite-Authentifizierung (Compauth)?
Die Composite Authentication (compauth) ist ein proprietäres Authentifizierungsbewertungssystem von Microsoft, das von Exchange Online Protection (EOP) in Microsoft 365 und Outlook verwendet wird.
Im Gegensatz zu den Standardverfahren SPF, DKIM und DMARC, die als explizite, standardbasierte Verifizierungsprüfungen dienen, fungiert compauth als zusammengesetzter Intelligenz-Score. Es kombiniert explizite Authentifizierungsergebnisse mit fortschrittlichen impliziten Signalen, darunter die Reputation des Absenders, historische Interaktionsmuster, Microsofts interne Spoofing-Informationen sowie Verhaltensanalysen.
Das endgültige Bewertungsergebnis wird in den „Authentication-Results“-Header jeder von Microsoft 365 verarbeiteten eingehenden Nachricht eingefügt. Je nachdem, wie die E-Mail bei dieser hybriden Überprüfung abschneidet, enthält der Header einen von vier möglichen Werten:
- compauth=pass: Die Nachricht hat sowohl die expliziten Authentifizierungsprüfungen als auch die impliziten Sicherheitsbewertungen bestanden.
- compauth=fail: Die Nachricht hat die Kriterien der zusammengesetzten Authentifizierung von Microsoft nicht erfüllt und wird als äußerst verdächtig eingestuft.
- compauth=softpass: Die Nachricht wurde trotz fehlender robuster expliziter Authentifizierung über implizite Signale oder Reputationssignale weitergeleitet.
- compauth=none: Für die Nachricht wurde keine zusammengesetzte Authentifizierungsprüfung durchgeführt.
Weitere Informationen zur Konfiguration der E-Mail-Authentifizierung für Microsoft 365-E-Mails finden Sie in unserem Leitfaden zu DMARC für Office 365.
compauth vs. DMARC: Was ist der Unterschied?
Eine häufige Quelle für Verwirrung bei Systemadministratoren ist es, wenn eine E-Mail die standardmäßige DMARC-Überprüfung besteht, gleichzeitig aber den Status „compauth=fail“ auslöst.
| Merkmal / Aspekt | DMARC | Microsoft Composite Authentication (compauth) |
|---|---|---|
| Geltungsbereich und Durchsetzung | Ein globaler, offener Internetstandard, der von allen großen E-Mail-Anbietern einheitlich umgesetzt wird. | Eine proprietäre, Microsoft-exklusive Sicherheitsschicht, die ausschließlich innerhalb von Microsoft 365 und Outlook zum Einsatz kommt. |
| Kernbewertungskennzahl | Stellt sicher, dass die SPF- und/oder DKIM-Prüfungen erfolgreich sind und eindeutig mit der Domain übereinstimmen, die im sichtbaren „From“-Header angegeben ist. | Bewertet die Übereinstimmung von SPF, DKIM und DMARC sowie Microsofts proprietäre Reputations- und Intelligence-Signale. |
| Umgang mit impliziten Signalen | Berücksichtigt keine externen Faktoren wie den Versandverlauf, mandantenspezifische Zulassungslisten oder verhaltensbasierte KI. | Berücksichtigt implizite Signale in hohem Maße, darunter gefälschte Informationen und die Historie der Kommunikation zwischen Absender und Empfänger. |
Aufgrund dieser Unterschiede kann eine Nachricht zwar die explizite DMARC-Validierung problemlos bestehen, dennoch aber den Status „compauth=fail“ zurückgeben, wenn die maschinellen Lernmodelle von Microsoft sie als anomal einstufen (z. B. bei einer neu registrierten Domain, einem plötzlichen Anstieg des Volumens oder einer Domain, die mit einer passiven Überwachungsrichtlinie „p=none“ betrieben wird).
Umgekehrt kann es vorkommen, dass eine Nachricht explizite SPF- oder DKIM-Prüfungen nicht besteht, aber dennoch einen „compauth=pass“-Status erhält, wenn Microsofts Spoof-Intelligence oder ein lokaler Verlauf sicherer Absender für ihre Echtheit bürgt (z. B. „reason=130“ über eine ARC-Überschreibung oder „reason=201“ für intern vertrauenswürdige M365-Absender).
Was sind die Compauth-Fehlercodes?
Bei der Analyse Ihrer E-Mail-Header folgt auf die Zeichenfolge „compauth=fail“ oder „compauth=pass“ ein spezifischer dreistelliger Ursachencode. Dieser Code gibt genau an, warum die Filter-Engine von Microsoft zu dieser Entscheidung gelangt ist.
| Code | Ergebnis | Bedeutung |
|---|---|---|
| 000 | fehlen | DMARC-Fehler bei Anwendung einer strengen Richtlinie mit „p=reject“ oder „p=quarantine “. |
| 001 | fehlen | Fehlgeschlagene implizite Authentifizierung: fehlende Authentifizierungsdatensätze, eine passive DMARC-Richtlinie (p=none), ein SPF-Soft-Fail (~all) oder eine schwerwiegende Domänenabweichung. |
| 002 | Softpass | Soft-Pass: Die Nachricht wird in erster Linie über implizite Signale oder Reputationssignale und nicht über eine explizite Authentifizierung übermittelt. |
| 010 | fehlen | Die Nachricht hat die Anti-Spoofing-Prüfungen nicht bestanden, die auf der automatisierten Spoofing-Erkennung von Microsoft basieren. |
| 100 | überspringen | Die explizite Authentifizierung wurde bestanden (alle zugrunde liegenden SPF-, DKIM- und DMARC-Prüfungen wurden bestanden und stimmen perfekt überein). |
| 109 | überspringen | Bestanden: Die im SPF-Eintrag oder in der DKIM-Signatur angegebene Domain stimmt mit der sichtbaren Absenderadresse überein. |
| 130 | überspringen | Übermittelt über ARC-Override (ein vertrauenswürdiger Sealer der Authenticated Received Chain hat während des Weiterleitungsvorgangs für die Nachricht gebürgt). |
| 201 | überspringen | Bestanden: Als interner oder strukturell vertrauenswürdiger Microsoft 365-Absender bewertet. |
| 601 | fehlen | Fehler: Diskrepanz bei der Absenderdomain eines Drittanbieters festgestellt (die sichtbare Absenderadresse stimmt nicht mit der SPF- oder DKIM-Signaturdomain überein). |
Hinweis: Alle Fehlercodes stammen direkt aus der offiziellen technischen Dokumentation von Microsoft. Um Ihre ausgehenden Nachrichten schnell zu diagnostizieren, kopieren Sie die Rohdaten Ihrer E-Mail-Header und fügen Sie diese in den webbasierten Microsoft Message Header Analyzer ein.
Warum „compauth=fail“ nach Mai 2025 an Bedeutung gewinnt
Die betrieblichen Folgen eines „compauth=fail“-Ergebnisses haben sich nach der Einführung der Durchsetzungsmaßnahmen durch Microsoft am 5. Mai 2025 erheblich verschärft. Die Absenderanforderungen von Microsoft führten strenge, automatisierte E-Mail-Authentifizierungsanforderungen für Absender mit hohem Versandvolumen (d. h. solche, die täglich 5.000 oder mehr Nachrichten versenden) an Endgeräte von Privatkunden wie Outlook.com, Hotmail und Live.com ein.
Im Rahmen dieser aktualisierten Durchsetzungsmechanismen führt eine Einstufung als „compauth=fail“ unmittelbar dazu, dass E-Mails aggressiv in den Junk-Ordner verschoben oder auf Gateway-Ebene direkt abgelehnt werden. Die Filterung von Microsoft behandelt eine DMARC-Richtlinie mit „p=none“ nun als primären Auslöser für „reason=001“, selbst wenn SPF und DKIM einzeln die Überprüfung bestehen. Absender, deren E-Mail-Zustellung zuvor im passiven Überwachungsmodus toleriert wurde, müssen nun mit plötzlichen, gravierenden Einbußen bei der Zustellbarkeit in allen von Microsoft verwalteten Umgebungen rechnen.
Was führt zu „compauth=fail“?
Um Probleme bei der Zustellung zu beheben, müssen Sie den spezifischen Fehlercode, der in Ihrem „Authentication-Results“-Header zu finden ist, der zugrunde liegenden Ursache zuordnen:
- reason=000: Die sendende Domain verfügt über eine strenge DMARC-Richtlinie (p=reject oder p=quarantine), und die Nachricht hat sowohl die SPF- als auch die DKIM-Überprüfung nicht bestanden. Ausführliche Schritte zur Fehlerbehebung bei Authentifizierungsfehlern finden Sie in unserem Leitfaden zu den Gründen für DMARC-Fehler.
- reason=001 (Standard): Dies ist der am häufigsten auftretende Fehlercode. Er weist auf eine Domain hin, die eine passive Überwachungsrichtlinie („p=none“) verwendet, bei der ein DMARC-Eintrag vollständig fehlt, bei der ein nicht optimierter SPF-Soft-Fail vorliegt (~all) oder bei der die Identifikationsdomänen nicht übereinstimmen.
- reason=001 & reason=601 (Drittanbieter): Dies tritt auf, wenn ein externer E-Mail-Dienstleister (ESP) oder ein CRM-System Nachrichten im Namen Ihrer Marke versendet, diese jedoch mit den Domains seiner eigenen Infrastruktur signiert. Da die im „From“-Header angezeigte Domain nicht mit den vom Anbieter verwendeten Tracking-Domains übereinstimmt, wird ein kritischer Abgleichfehler ausgelöst.
- Grund=010: Die Spoof-Erkennung von Microsoft stuft das Verhalten des Absenders als betrügerisch ein, was auf Phishing oder eine Domain-Identitätsfälschung hindeutet.
So beheben Sie den Fehler „compauth=fail“
Die Behebung eines Fehlers bei der zusammengesetzten Authentifizierung erfordert gezielte Konfigurationsänderungen, die auf dem jeweiligen Fehlerszenario basieren.
Lösung 1: Aktualisieren Sie Ihre DMARC-Richtlinie über „p=none“ hinaus
Da eine passive Überwachungsrichtlinie (p=none) als impliziter Authentifizierungsfehler (reason=001) gewertet wird, müssen Sie Ihre Domäne auf die Durchsetzung umstellen. Arbeiten Sie daran, Ihre Richtlinie schrittweise und sicher auf p=quarantine oder p=reject umzustellen. Durch die Abkehr von einer rein überwachenden Haltung beseitigen Sie die Schwachstelle, die implizite Fehlerregeln auslöst. Falls Sie befürchten, während dieser Umstellung legitime ältere E-Mail-Ströme zu blockieren, lesen Sie unsere Strategien zur Verwaltung von DMARC-Richtlinienüberschreibungen.
Lösung 2: Präzise DKIM-Abstimmung sicherstellen
Konfigurieren Sie Ihre primären Mailserver so, dass alle ausgehenden Nachrichten mit einem eindeutigen kryptografischen DKIM-Schlüssel signiert werden. Stellen Sie sicher, dass der Parameter für die signierende Domäne (d=) im DKIM-Header exakt mit der Stammdomäne übereinstimmt, die im sichtbaren „From:“-Header angezeigt wird. Diese strenge kryptografische Übereinstimmung dient als das stärkstmögliche positive Signal für die Compauth-Engine von Microsoft.
Lösung 3: Konfigurieren Sie benutzerdefinierte Return-Paths für E-Mail-Dienstleister von Drittanbietern
Verlassen Sie sich bei der Nutzung externer Plattformen (wie Marketing-Engines oder Support-Systeme) nicht auf deren generische Standardeinstellungen. Konfigurieren Sie eine benutzerdefinierte „MAIL FROM“- oder „Return-Path“-Domain, die den Domainnamen Ihres Unternehmens verwendet, oder stellen Sie sicher, dass der Anbieter vollständig befugt ist, Nachrichten mithilfe der DKIM-Schlüssel Ihrer Domain kryptografisch zu signieren. Dadurch werden Identifikationskonflikte behoben und Fehler mit dem Code „reason=601“ vermieden.
Korrektur 4 & Die Zukunft der Weiterleitung (von ARC zu DKIM2)
In der Vergangenheit kam es häufig vor, dass Standard-DKIM-Signaturen versagten, wenn die E-Mail-Ströme Ihres Unternehmens regelmäßig über Mailinglisten oder automatisierte Weiterleitungsketten liefen. Um dieses Problem zu lösen, empfiehlt sich die Implementierung Authenticated Received Chain (ARC) . Wenn ein Zwischenserver eine eingehende Nachricht validiert und mit einem vertrauenswürdigen kryptografischen Stempel versieht, liest Microsoft 365 die Nachverfolgungskette und übersteuert lokale Fehler, um einen erfolgreichen „compauth=pass reason=130“-Status auszugeben.
Die Landschaft der E-Mail-Authentifizierung befindet sich jedoch im Umbruch. Am 22. April 2026 wurde in einem Vorschlag der IETF-DMARC-Arbeitsgruppe (draft-ietf-dmarc-arc-to-historic-00) vorgeschlagen, ARC als historischen Standard einzustufen. Hierbei handelt es sich um einen Internet-Draft der Arbeitsgruppe und nicht um einen endgültigen RFC; ARC (RFC 8617) bleibt ein aktives Protokoll.
Die Erkenntnisse aus ARC werden direkt in die sich entwickelnde DKIM2-Spezifikation, die sich mit beschädigten Signaturen bei der Weiterleitung und DKIM-Replay-Angriffen befasst. Gemäß dem neuesten IETF-Entwurf vom 17. Mai 2026 (draft-ietf-dkim-dkim2-spec-02) zeichnet jedes System, das mit einer Nachricht in Berührung kommt, Änderungen auf und fügt seine eigene Signatur einer ununterbrochenen Kontrollkette hinzu.
Was das für Sie im Moment bedeutet:
- Lassen Sie ARC vorerst aktiviert: Microsoft verwendet weiterhin „reason=130“ (ARC-Überschreibung), um weitergeleitete E-Mails zu übermitteln. Entfernen Sie daher Ihre Microsoft Trusted ARC Seal-Konfiguration noch nicht.
- Bereiten Sie sich auf DKIM2 vor: Bei einigen großen E-Mail-Anbietern könnten Ende 2026 erste Implementierungsmaßnahmen beginnen, auch wenn sich die Spezifikation noch in einem frühen Entwurfsstadium befindet. Da DKIM2-Schlüssel Ihre bestehende DNS-Eintragsstruktur nutzen werden, ist die beste Absicherung gegen künftige Compauth-Fehler, sicherzustellen, dass Ihre derzeitige DKIM-Grundlage einwandfrei ist. Beseitigen Sie überflüssige Selektoren und sorgen Sie für eine ordnungsgemäße Schlüsselrotation.
Lösung 5: Nutzung der M365-Spoof-Intelligence – Zugriffe zulassen
Bei internen Anwendungen, älteren lokalen Appliances oder hochspezialisierten legitimen Absenderprofilen, die automatisierte Fehlalarme durch maschinelles Lernen auslösen (Grund=010), können Microsoft 365-Administratoren den Algorithmus manuell außer Kraft setzen. Navigieren Sie zum Microsoft 365 Defender-Portal, öffnen Sie die Spoof Intelligence-Einblickkonsole und fügen Sie einen expliziten Zulassungseintrag zur Mandanten-Zulassungs-/Sperrliste für dieses spezifische Absenderprofil hinzu.
So interpretieren Sie „compauth“ in E-Mail-Headern
Um diese Werte zu ermitteln und zu analysieren, müssen die rohen Internet-Routing-Header aus einer betroffenen Nachricht extrahiert werden.
- Header extrahieren: Öffnen Sie in der Desktop-Version von Outlook die betreffende E-Mail in einem separaten Fenster und navigieren Sie zu „Datei“ > „Eigenschaften“ > „Internet-Header“. Wenn Sie als Administrator ein allgemeines Zustellungsproblem beheben möchten, weisen Sie die Benutzer an oder nutzen Sie Administratorprotokolle, um den Rohtext der Header zu kopieren und direkt in den Microsoft Message Header Analyzer (MHA) unter mha.azurewebsites.net einzufügen, um eine übersichtliche, analysierte Ansicht zu erhalten.
- Die relevante Zeile herausfiltern: Durchsuchen Sie den geparsten Text nach dem spezifischen Block mit der Bezeichnung „Authentication-Results“. Achten Sie genau auf die Zeichenfolge „compauth=“, auf die unmittelbar der Auswertungsstatus (pass, fail oder softpass) sowie der dazugehörige „reason=“-Code folgen.
- Daten abgleichen: Betrachten Sie das zusammengesetzte Authentifizierungsergebnis nicht isoliert. Überprüfen Sie die benachbarten Parameter innerhalb derselben Kopfzeile und achten Sie dabei insbesondere auf die einzelnen Ergebnisse für spf=, dkim= und dmarc=. Ein direkter Vergleich dieser Werte mit dem „compauth“-Grundcode zeigt genau, welche Prüfung fehlgeschlagen ist oder welches implizite Signal die Weiterleitung in den Spam-Ordner ausgelöst hat.
Wie kann ich „compauth=fail“-Fehler dauerhaft vermeiden?
Die manuelle Analyse von Kopfzeilen und die Abstimmung der Formatierung mit einem Dutzend Drittanbietern kann interne IT-Teams überfordern. PowerDMARC vereinfacht diesen Prozess durch umfassende Transparenz und automatisierte Verwaltungstools, die Ihnen helfen, „compauth=fail“-Fehler zu beheben und Ihre E-Mail-Authentifizierungsdaten fehlerfrei zu halten.
Starten Sie noch heute eine kostenlose DMARC-Testversion, um einen klaren Überblick über Ihre Microsoft 365-Zustellungsströme zu erhalten, Abgleichfehler zu beseitigen und Ihre Domain sicher auf eine durchgesetzte DMARC-Richtlinie umzustellen.
Häufig gestellte Fragen
Was bedeutet „compauth=fail“ in E-Mail-Headern?
Dies bedeutet, dass das Exchange Online Protection-System von Microsoft die eingehende Nachricht geprüft und aufgrund einer Kombination aus expliziten Authentifizierungsprotokollen (SPF, DKIM, DMARC) und impliziten Signalen aus der Bedrohungsanalyse (Absender-Reputation, Informationen zu Fälschungsversuchen, Verlauf) abgelehnt hat.
Was ist der Unterschied zwischen Compauth und DMARC?
DMARC ist ein offenes, globales Internetprotokoll, das von allen E-Mail-Anbietern zur Überprüfung der Identitätsübereinstimmung verwendet wird. compauth ist eine proprietäre, Microsoft-exklusive Auswertungsschicht, die auf Standard-DMARC-Ergebnissen aufbaut und zusätzliche Echtzeit-Reputations- und Verhaltensmetriken berücksichtigt.
Warum schlägt die Compauth-Überprüfung fehl, obwohl SPF und DKIM erfolgreich sind?
Dies kommt häufig vor, wenn Ihre Domain mit einer passiven DMARC-Richtlinie (p=none) konfiguriert ist, die vom aktualisierten System von Microsoft als Risiko für die Zustellbarkeit eingestuft wird. Ein Fehler kann auch auftreten, wenn die interne Spoof-Intelligence von Microsoft das Transaktionsverhalten oder die Versandhistorie des Absenders als anomal einstuft.
Was bedeutet „compauth fail reason=001“?
Der Fehlercode 001 bedeutet, dass die Nachricht die impliziten Authentifizierungskriterien von Microsoft nicht erfüllt hat. Dies wird in der Regel durch fehlende DMARC- oder SPF-Einträge, eine Fehlanpassung der Identifikatoren oder die Beibehaltung einer passiven DMARC-Richtlinie („p=none“) anstelle eines Übergangs zur Durchsetzung verursacht.
Wie behebe ich den Fehler „compauth=fail“ in Microsoft 365?
Stellen Sie sicher, dass Ihre SPF- und DKIM-Domains genau mit Ihrem sichtbaren „From“-Header übereinstimmen, aktualisieren Sie Ihre DMARC-Richtlinie von „p=none“ auf einen Durchsetzungsstatus wie „p=quarantine“ oder „p=reject“ und konfigurieren Sie vertrauenswürdige ARC-Siegel, falls Ihre E-Mail-Workflows automatisierte Weiterleitungen beinhalten.
Führt „compauth=fail“ dazu, dass E-Mails in Outlook im Spam-Ordner landen?
Ja. Nach strengen Sicherheitsmaßnahmen löst der Status „compauth=fail“ direkt aus, dass die EOP-Filter-Engine eingehende Nachrichten direkt in den Junk-Ordner weiterleitet oder sie bereits am Netzwerkrand vollständig zurückweist.
Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC
Yunes ist Operations Team Lead bei PowerDMARC und verfügt über Expertenwissen im Bereich E-Mail-Authentifizierung und -Sicherheit. Yunes ist ein Microsoft-zertifizierter Azure Administrator Associate mit Zertifizierungen in CompTIA A+ und vielen mehr.
Neueste Beiträge von Yunes Tarada (alle anzeigen)
- So teilen Sie einen DKIM-Eintrag – 5. Juni 2026
- compauth=fail: Microsoft Composite Authentication erklärt – 1. Juni 2026
- Reicht Windows Defender für die Sicherheit kleiner Unternehmen aus? – 14. Mai 2026
