Microsoft unterstützt und fördert DMARC für Office 365-Benutzer, was es ihnen ermöglicht, E-Mail-Authentifizierungsprotokolle einheitlich für alle registrierten Domains zu verwenden. In diesem Blog erklären wir die Prozesse zur Einrichtung von DMARC für Office 365, um alle Office 365-E-Mails zu validieren, die:
- Online-E-Mail-Routing-Adressen mit Microsoft
- Benutzerdefinierte Domains im Verwaltungszentrum hinzugefügt
- Geparkte oder inaktive, aber registrierte Domains
Im zweiten Quartal 2023 wurde Microsoft von verschiedenen Quellen als die Marke bezeichnet, die bei Phishing-Betrügereien am häufigsten nachgeahmt wird. Protokolle wie DMARC sind zwingend erforderlich, um Ihre Abwehrmechanismen zu verstärken.
Finden wir heraus, wie DMARC in Office 365 dazu beiträgt, ausgeklügelte E-Mail-Bedrohungen zu verhindern.
So richten Sie DMARC für Office 365 ein
DMARC oder Domain-based Message Authentication, Reporting, and Conformance existiert als TXT-Eintrag im DNS Ihrer Domain. DMARC dient als primärer Schutz gegen E-Mail-Bedrohungen, die von Ihrer eigenen Domäne ausgehen. Bevor Sie DMARC konfigurieren, muss Ihre Domain entweder SPF- oder DKIM-Einträge enthalten, oder besser noch, beide, um einen erweiterten Schutz zu gewährleisten.
Wenn Sie eine benutzerdefinierte Domäne verwenden, sind unten die Schritte zur Erstellung Ihres DMARC-Eintrags aufgeführt. Beachten Sie, dass es nicht zwingend erforderlich ist, sowohl SPF als auch DKIM zu konfigurieren, um DMARC einzurichten. Es wird jedoch empfohlen, eine zusätzliche Schutzebene hinzuzufügen.
Dinge, die vor dem Start zu beachten sind
Laut den Microsofts Dokumenten:
- Wenn Sie MOERA (Microsoft Online Email Routing Address) verwenden, das mit onmicrosoft.com enden sollte, sind SPF und DKIM bereits dafür konfiguriert. Allerdings müssen Sie Ihre DMARC-Einträge über das Microsoft 365 Admin Center erstellen.
- Wenn Sie eine benutzerdefinierte Domäne (z. B. example.com) verwenden, müssen Sie SPF, DKIM und DMARC für Ihre Domäne manuell konfigurieren.
- Für Ihre geparkten Domänen (inaktive Domänen) empfiehlt Microsoft, dass Sie ausdrücklich festlegen, dass von diesen Domänen keine E-Mails gesendet werden sollen. Andernfalls können diese Domänen für Spoofing- und Phishing-Angriffe verwendet werden.
- Für weitergeleitete oder geänderte Nachrichten, die sich im Transit befinden, ist es wichtig, dass Sie ARC. Dadurch bleiben die ursprünglichen E-Mail-Authentifizierungs-Header trotz Änderungen erhalten, was eine genaue Authentifizierung ermöglicht.
Schritt 1: Identifizieren Sie gültige E-Mail-Quellen für Ihre Domain
Dabei handelt es sich um Quell-IP-Adressen (einschließlich Dritter), denen Sie erlauben möchten, in Ihrem Namen E-Mails zu versenden.
Schritt 2: SPF für Ihre Domäne einrichten
Jetzt müssen Sie Folgendes konfigurieren SPF für die Absenderüberprüfung konfigurieren. Dazu erstellen Sie einen SPF-TXT-Eintrag, der alle Ihre gültigen Absenderquellen einschließlich externer E-Mail-Anbieter enthält. Sie können sich kostenlos bei PowerDMARC anmelden und unseren SPF-Eintragsgenerator verwenden, um Ihren Eintrag zu erstellen.
Schritt 3: DKIM für Office 365 auf Ihrer Domäne einrichten
Sie müssen entweder SPF oder DKIM für Ihre Domäne konfigurieren, damit Sie DMARC für Office 365 aktivieren können. Wir empfehlen, dass Sie Folgendes einrichten DKIM und DMARC für Office 365 einzurichten, um eine zusätzliche Sicherheitsebene für die E-Mails Ihrer Domain zu schaffen. Sie können sich kostenlos bei PowerDMARC anmelden und unser DKIM-Datensatz-Generator-Tool verwenden, um Ihren Datensatz zu erstellen.
Schritt 4: Erstellen eines DMARC-TXT-Eintrags
Sie können PowerDMARCs kostenlosen DMARC-Datensatz-Generator für diesen Schritt verwenden. Generieren Sie sofort einen Eintrag mit der richtigen Syntax, um ihn in Ihrem DNS zu veröffentlichen und DMARC für Ihre Domain zu konfigurieren!
Beachten Sie, dass nur eine Durchsetzungspolitik von ablehnen Angriffe auf die Identität wirksam verhindern kann. Wir empfehlen, dass Sie mit einer keine Richtlinie zu beginnen und Ihren E-Mail-Verkehr regelmäßig zu überwachen. Tun Sie dies einige Zeit lang, bevor Sie schließlich zur Durchsetzung übergehen.
Definieren Sie für Ihren DMARC-Datensatz den Richtlinienmodus (none/quarantine/reject) und eine E-Mail-Adresse im Feld "rua", wenn Sie DMARC-Berichte erhalten möchten.
DMARC-Richtlinie | Art der Politik | Syntax | Aktion |
---|---|---|---|
keine | entspannt/untätig/nachgiebig | p=none; | Keine Maßnahmen gegen Nachrichten ergreifen, die die Authentifizierung nicht bestehen, d. h. sie zustellen. |
Quarantäne | durchgesetzt | p=Quarantäne; | Quarantäne von Nachrichten, die DMARC nicht bestehen |
zurückweisen | durchgesetzt | p=ablehnen; | Verwerfen von Nachrichten, die DMARC nicht bestehen |
Die Syntax Ihres DMARC-Datensatzes könnte wie folgt aussehen:
v=DMARC1; p=ablehnen; rua=mailto:[email protected];
Dieser Datensatz hat die erzwungene Richtlinie "Ablehnen" und verfügt über eine aktivierte DMARC-Gesamtberichterstattung für die Domäne.
Schritte zum Hinzufügen eines Office 365 DMARC-Datensatzes mit Microsoft Admin Center
So fügen Sie Ihren DMARC Office 365-Eintrag für MOERA-Domänen (*onmicrosoft.com-Domänen)gehen Sie wie folgt vor:
1. Melden Sie sich bei Ihrem Microsoft Admin Center an
2. Gehen Sie zu Alle anzeigen > Einstellungen > Domains
3. Wählen Sie Ihre *onmicrosoft.com-Domäne in der Domänenliste auf der Seite Domänen aus, um die Seite Domänendetails zu öffnen
4. Klicken Sie auf die Registerkarte DNS-Einträge auf dieser Seite und wählen Sie + Eintrag hinzufügen
5. Es erscheint ein Textfeld zum Hinzufügen eines neuen DMARC-Datensatzes mit verschiedenen Feldern. Im Folgenden finden Sie die Werte, die Sie für die einzelnen Felder eingeben müssen:
Typ: TXT
Name: _dmarc
TTL: 1 Stunde
Wert( fügen Sie den Wert des von Ihnen erstellten DMARC-Eintrags ein)
6. Klicken Sie auf Speichern
Hinzufügen eines Office 365 DMARC-Eintrags für Ihre benutzerdefinierte Domäne
Wenn Sie eine benutzerdefinierte Domain wie example.com haben, haben wir eine detaillierte Anleitung zur wie man DMARC einrichtet. Sie können die Schritte in unserem Leitfaden befolgen, um das Protokoll einfach zu konfigurieren. Microsoft gibt einige wertvolle Empfehlungen für die Konfiguration von DMARC für benutzerdefinierte Domains. Wir stimmen mit diesen Tipps überein und empfehlen sie auch unseren Kunden! Schauen wir uns an, welche das sind:
- Beginnen Sie bei der Konfiguration von DMARC mit einer "none"-Richtlinie
- Langsamer Übergang zur Quarantäne und dann Zurückweisung
- Sie können auch einen niedrigen Prozentsatz (pct) für die Auswirkungen auf die Politik festlegen, indem Sie mit 10 beginnen und ihn langsam auf 100 erhöhen.
- Stellen Sie sicher, dass Sie die DMARC-Berichterstattung aktiviert haben, um Ihre E-Mail-Kanäle regelmäßig zu überwachen.
Hinzufügen eines DMARC Office 365-Eintrags für inaktive Domänen
Wir haben einen detaillierten Leitfaden über Sicherung Ihrer inaktiven/geparkten Domains mit SPF, DKIM und DMARC. Sie können dort die detaillierten Schritte durchgehen, aber für einen schnellen Überblick müssen auch Ihre inaktiven Domains DMARC konfiguriert haben.
Veröffentlichen Sie einfach einen DMARC-Eintrag, indem Sie auf Ihre DNS-Verwaltungskonsole für die inaktive Domäne zugreifen. Wenn Sie keinen Zugang zu Ihrem DNS haben, wenden Sie sich noch heute an Ihren DNS-Anbieter. Dieser Eintrag kann so konfiguriert werden, dass alle von inaktiven Domänen stammenden Nachrichten, die DMARC nicht bestehen, abgelehnt werden:
v=DMARC1; p=ablehnen;
DMARC für Office 365 richtig einrichten mit PowerDMARC!
Warum DMARC für Office 365 einrichten?
Office 365 wird mit Anti-Spam-Lösungen und E-Mail-Sicherheit Gateways bereits in die Sicherheitssuite integriert. Warum sollten Sie also eine DMARC-Richtlinie in Office 365 für die Authentifizierung benötigen? Das liegt daran, dass diese Lösungen nur vor eingehenden Phishing-E-Mails die an Ihre Domäne gesendet werden. Das DMARC-Authentifizierungsprotokoll ist Ihre Lösung zum Schutz vor ausgehenden Phishing-E-Mails. Es ermöglicht Domäneninhabern, den empfangenden E-Mail-Servern mitzuteilen, wie sie auf E-Mails reagieren sollen, die von Ihrer Domäne gesendet werden und die Authentifizierung nicht bestehen. DMARC verringert auch das Risiko, dass legitime Nachrichten im Spam-Ordner landen.
DMARC verwendet zwei Standard-Authentifizierungsverfahren, nämlich SPF und DKIM. Diese überprüfen die Authentizität von E-Mails. Ihre Office 365 DMARC-Richtlinie kann bei der Durchsetzung einen verbesserten Schutz gegen Imitationsangriffe und Spoofing bieten.
Die Einrichtung von DMARC für geschäftliche E-Mails ist im aktuellen Szenario wichtiger denn je, denn:
- Bundesbehörden haben Warnungen vor Hackern herausgegeben, die fehlende oder schwachen DMARC-Richtlinien
- DMARC-Konformität ist obligatorisch für Yahoo und Google Massenversender
- Die IC3-Bericht des FBI werden die USA als das am stärksten von Phishing-Angriffen betroffene Land genannt
- IBM berichtet dass jedes fünfte Unternehmen von Datenschutzverletzungen aufgrund von verlorenen oder gestohlenen Zugangsdaten betroffen ist
Brauchen Sie DMARC wirklich, wenn Sie Office 365 verwenden?
Es gibt einen weit verbreiteten Irrglauben unter Unternehmen: Sie glauben, dass Office 365 Sicherheit vor Spam und betrügerischen E-Mails bietet. Im Mai 2020 wurde jedoch eine Reihe von Phishing-Angriffen auf mehrere Versicherungsunternehmen im Nahen Osten durchgeführt. Die Angreifer nutzten Office 365 und verursachten erhebliche Datenverluste und Sicherheitslücken. Hier ist also, was wir daraus gelernt haben:
Grund 1: Die Sicherheitslösung von Microsoft ist nicht narrensicher
Aus diesem Grund reicht es nicht aus, sich einfach auf die integrierten Sicherheitslösungen von Microsoft zu verlassen. Es müssen externe Anstrengungen unternommen werden, um Ihre Domäne zu schützen, was ein großer Fehler sein kann.
Grund 2: Sie müssen DMARC für Office 365 zum Schutz vor ausgehenden Angriffen einrichten
Während die integrierten Sicherheitslösungen von Office 365 Schutz vor eingehenden E-Mail-Bedrohungen und Phishing-Versuchen bieten können, müssen Sie dennoch sicherstellen, dass ausgehende Nachrichten, die von Ihrer eigenen Domäne aus gesendet werden, effektiv authentifiziert werden, bevor sie in den Posteingängen Ihrer Kunden und Partner landen. An dieser Stelle kommt DMARC für Office 365 ins Spiel.
Grund 3: DMARC hilft Ihnen bei der Überwachung Ihrer E-Mail-Kanäle
DMARC schützt Ihre Domain nicht nur vor direktem Domain-Spoofing und Phishing-Angriffen. Es hilft Ihnen auch bei der Überwachung Ihrer E-Mail-Kanäle. Unabhängig davon, ob Sie eine erzwungene Richtlinie wie "Ablehnen/Quarantäne" oder eine weniger strenge Richtlinie wie "Keine" verwenden, können Sie die Ergebnisse Ihrer Authentifizierung mit DMARC-Berichte. Diese Berichte werden entweder an Ihre E-Mail-Adresse oder an einen DMARC-Bericht-Analysator Werkzeug gesendet. Die Überwachung stellt sicher, dass Ihre legitimen E-Mails erfolgreich zugestellt werden.
Wie funktioniert DMARC in Office 365?
Um DMARC in Office 365 zu implementieren, müssen Domänenbesitzer DMARC-Einträge in ihren DNS-Einstellungen veröffentlichen. Sie können ihre bevorzugte Richtlinie angeben (keine, Quarantäne oder Ablehnung). Sie können sogar ihre gefälschten Office 365-E-Mails so konfigurieren, dass sie von den Empfangsservern zurückgewiesen werden.
Office 365-Administratoren können DMARC-Einstellungen über das Exchange-Admincenter oder PowerShell-Befehle verwalten.
Sie können auch DMARC in Office 365 einrichten, um Berichte darüber anzufordern, wie die E-Mails Ihrer Domäne von Dritten behandelt werden.
Was passiert, wenn die DMARC-Richtlinie in Office 365 nicht aktiviert ist?
Wenn Sie DMARC für Office 365 nicht aktivieren, besteht die Gefahr, dass Ihre Domain gefälscht wird.
DMARC wurde entwickelt, um Ihre Domäne vor Spoofing durch E-Mail-Absender zu schützen, die sich Zugang zu Ihren E-Mail-Systemen verschaffen und diese für Betrug oder Phishing nutzen wollen.
Ohne eine definierte Richtlinie ist Ihr Eintrag so gut wie inaktiv. Wenn Sie keine DMARC-Richtlinie für Office 365-E-Mails aktivieren, bedeutet dies, dass jeder E-Mails im Namen Ihrer Domäne senden kann, auch wenn er keine Berechtigung dazu hat. Außerdem können Sie dann nicht feststellen, wer die Nachricht gesendet hat und ob sie von einer autorisierten Quelle stammt oder nicht.
Als Inhaber einer Domain müssen Sie immer auf Bedrohungsakteure achten, die Domain-Spoofing- und Phishing-Angriffe starten, um Ihre Domain oder Ihren Markennamen für bösartige Aktivitäten zu nutzen. Unabhängig davon, welche E-Mail-Austauschlösung Sie verwenden, ist der Schutz Ihrer Domain vor Spoofing und Impersonation unerlässlich, um die Glaubwürdigkeit Ihrer Marke zu gewährleisten und das Vertrauen Ihrer geschätzten Kunden zu erhalten.
Warum PowerDMARC mit Office 365 verwenden?
Microsoft Office 365 bietet Nutzern eine Vielzahl von Cloud-basierten Diensten und Lösungen sowie integrierte Anti-Spam-Filter. Trotz der vielen Vorteile gibt es jedoch auch Nachteile, die bei der Nutzung aus der Sicherheitsperspektive auftreten können:
- Keine Lösung für die Validierung ausgehender Nachrichten, die von Ihrer Domain aus gesendet werden
- Kein Berichtsmechanismus für E-Mails, die die Authentifizierungsprüfung nicht bestehen
- Kein Einblick in Ihr E-Mail-Ökosystem
- Kein Dashboard zur Verwaltung und Überwachung Ihrer eingehenden und ausgehenden E-Mail-Flüsse
- Kein Mechanismus, der sicherstellt, dass Ihr SPF-Eintrag immer unter der Grenze von 10 Suchvorgängen bleibt
DMARC-Berichterstattung und -Überwachung mit PowerDMARC
PowerDMARC lässt sich nahtlos in Office 365 integrieren und bietet Domaininhabern fortschrittliche Authentifizierungslösungen, die vor raffinierten Social-Engineering-Angriffen wie BEC und Direct-Domain-Spoofing schützen.
Wenn Sie sich bei PowerDMARC anmelden, melden Sie sich für eine mandantenfähige SaaS-Plattform an, die nicht nur alle bewährten E-Mail-Authentifizierungsverfahren (SPF, DKIM, DMARC, MTA-STSTLS-RPT und BIMI) vereint, sondern auch einen umfassenden und detaillierten DMARC-Berichtsmechanismus bietet, der Ihnen einen vollständigen Einblick in Ihr E-Mail-Ökosystem ermöglicht. DMARC-Berichte auf dem PowerDMARC Dashboard werden in zwei Formaten erstellt:
- Aggregierte Berichte
- Forensische Berichte
Wir haben uns bemüht, die Authentifizierungserfahrung für Sie zu verbessern, indem wir verschiedene Branchenprobleme gelöst haben. Wir stellen die Verschlüsselung Ihrer DMARC-Forensikberichte sicher und zeigen aggregierte Berichte in 7 verschiedenen Ansichten an, um die Benutzerfreundlichkeit und Übersichtlichkeit zu verbessern.
PowerDMARC unterstützt Sie bei der Überwachung des E-Mail-Verkehrs und der Authentifizierungsfehler und schwarze Liste bösartige IP-Adressen aus der ganzen Welt. Unser DMARC-Analysator hilft Ihnen, DMARC für Ihre Domäne korrekt zu konfigurieren und im Handumdrehen von der Überwachung zur Durchsetzung überzugehen. Dies kann Ihnen helfen, DMARC für Office 365 zu aktivieren, ohne sich über die damit verbundenen Komplexitäten Gedanken zu machen.
DMARC für Office 365 FAQs
Inhaltliche Überprüfung und Faktencheck-Prozess
Die Informationen zum Office 365 DMARC-Einrichtungsprozess stammen aus der offiziellen Microsoft-Dokumentation. Das Dokument kann in Zukunft aktualisiert werden, je nach den Änderungen, die von den Entwicklern auf dem Microsoft-Portal vorgenommen werden. Die in diesem Artikel erwähnten Empfehlungen basieren auf dem, was für unsere Kunden in der Praxis funktioniert hat, und können auch Ihnen helfen.
- Yahoo Japan empfiehlt die Einführung von DMARC für Nutzer im Jahr 2025 - 17. Januar 2025
- MikroTik Botnet nutzt SPF-Fehlkonfigurationen zur Verbreitung von Malware aus - 17. Januar 2025
- Unauthentifizierte DMARC-Mails sind verboten [SOLVED] - 14. Januar 2025