Wie behandelt Microsoft 365 eingehende E-Mails, die DMARC nicht bestehen?

Blog

Eingehende Microsoft 365-E-Mails, die DMARC nicht bestehen, werden nicht zurückgewiesen, auch wenn die DMARC-Richtlinie auf "p=reject" eingestellt ist.

von Ahona Rudra

Zuletzt aktualisiert:
6 Lesezeit: 2 Minuten
Wie behandelt Microsoft 365 eingehende E-Mails, die DMARC nicht bestehen?
Inhaltsverzeichnis-

Eingehende Microsoft 365-E-Mails, die DMARC nicht bestanden, wurden nicht abgelehnt, selbst wenn die DMARC-Richtlinie auf „p=reject“ gesetzt war. Dies wurde getan, um zu verhindern, dass legitime E-Mails blockiert werden, die aufgrund von E-Mail- Sicherheitsrichtlinien auf Absenderseite während der Übertragung verloren gehen könnten.

Wichtigste Erkenntnisse

  1. Microsoft 365 weist DMARC-Fail-E-Mails nicht zurück, um die Blockierung legitimer Nachrichten zu verhindern.
  2. Die Kennzeichnung fehlgeschlagener DMARC-Nachrichten als Spam ermöglicht es den Benutzern, potenziell wichtige E-Mails zu erhalten.
  3. Die Erstellung einer Liste "sicherer Absender" kann dazu beitragen, dass legitime E-Mails Ihren Posteingang erreichen.
  4. Transportregeln können so konfiguriert werden, dass sie nicht autorisierte eingehende E-Mails unter Quarantäne stellen oder vor ihnen warnen.
  5. DMARC-Richtlinien, die auf "p=reject" eingestellt sind, können zum Verlust von legitimen E-Mails führen, wenn sie nicht richtig konfiguriert sind.

Warum hat Microsoft 365 DMARC-Fehler-E-Mails nicht abgelehnt?

Microsoft 365 lehnte E-Mails, die die DMARC-Prüfung nicht bestanden, nicht ab, um:

  • Vermeidung falsch negativer Ergebnisse, die sich aus E-Mail-Weiterleitungsszenarien und der Verwendung von Mailinglisten ergeben können
  • Vermeiden Sie, dass legitime E-Mails aufgrund von Konfigurationsproblemen auf der Seite des Absenders zurückgewiesen werden.

Aus diesem Grund hat die E-Mail-Sicherheit von Microsoft 365 es für besser erachtet, Nachrichten als Spam zu markieren, anstatt sie direkt abzulehnen. Benutzer können Microsoft weiterhin nutzen, um diese E-Mails in ihren Posteingängen zu empfangen, indem sie: 

  1. Erstellen einer Liste "sicherer Absender". 
  2. Erstellen einer Transportregel, auch bekannt als Exchange Mail Flow Rule

Während Ihre legitimen E-Mails, die DMARC nicht bestehen, besorgniserregend sein mögen, kann diese Taktik dazu führen, dass bösartige E-Mails die DMARC-Prüfungen umgehen und in die Posteingänge der Benutzer gelangen. 

Sie können sich dieses Dokument ansehen unter Microsoft 365 für die Konfiguration von Inbound DMARC in ihrer Exchange Online-Plattform

Vereinfachen Sie die Sicherheit mit PowerDMARC!

15-Tage-TestDemo buchen

Wie erstellt man eine Microsoft 365 Transportregel, um nicht autorisierte eingehende E-Mails in Quarantäne zu stellen?

Um diese Bedenken bezüglich des Einsatzes von Office 365 DMARC auszuräumen, können wir eine Exchange Mail Flow/ Transport Regel erstellen, die den Nachrichtenkopf des Absenders verwendet. 

Fall 1: Einrichten einer Transportregel zur Quarantäne eingehender E-Mails von internen Domänen

Wenn E-Mails von internen Domänen in der "Von"-Adresse empfangen werden, können wir eine Transportregel einrichten, um die E-Mails unter Quarantäne zu stellen. Dadurch wird die E-Mail in den Quarantäneordner des Benutzers statt in den Posteingang verschoben. 

Die Regel prüft: 

  • Ob das Von-Feld mit Ihrer eigenen Domäne übereinstimmt 
  • Ob DMARC für die Nachricht fehlschlägt

Daraus würde sich ergeben, welche Maßnahmen zu ergreifen sind.

Anmerkung: Bevor Sie diese Regel konfigurieren, empfiehlt es sich, sie in einem eingeschränkten Benutzerkreis einzusetzen, um den Boden zu testen, bevor Sie sie in großem Maßstab einsetzen. Vergewissern Sie sich, dass Ihre autorisierten Absender DMARC passieren, da dies auf Fehlkonfigurationen hinweisen würde und zum Verlust legitimer E-Mails führen könnte.

Gehen Sie wie folgt vor, um die Regel einzurichten: 

  1. Melden Sie sich bei Ihrem Exchange Online-Administrationszentrum an 
  2. Gehen Sie zu Mailflow > Regeln
  3. Erstellen Sie eine neue Regel, indem Sie auf das Symbol Hinzufügen > Neue Regel erstellen klicken.
  4. Setzen Sie "Absenderadresse in der Nachricht abgleichen" auf "Kopfzeile".
  5. Unter Diese Regel anwenden, wenn... können Sie aus dem Dropdown-Menü die Bedingung auswählen, auf die Sie diese Regel anwenden möchten. Hier möchten wir die Regel konfigurieren, wenn das DMARC-Authentifizierungsergebnis "fehlgeschlagen" ist und wenn die "Von"-Domäne mit Ihrem eigenen Domänennamen übereinstimmt
  6. Unter Do the following... können Sie nun Ihre Aktion auswählen und sie auf "Deliver the message to the hosted quarantine" setzen. 
  7. Speichern anklicken

Fall 2: Einrichten einer Transportregel zur Quarantäne eingehender E-Mails von externen Domänen

Wenn Sie E-Mails von Domänen erhalten, die nicht in den Zuständigkeitsbereich Ihrer Organisation fallen (externe Domänen) und DMARC nicht bestehen, können Sie einen Haftungsausschluss einrichten, der die Benutzer vor einem möglichen Phishing-Versuch oder einer bösartigen Absicht warnt. 

Anmerkung: Das Voranstellen eines Haftungsausschlusses für externe Domänen, die DMARC nicht bestehen, kann von Vorteil sein, wenn Sie E-Mails nicht gänzlich einschränken wollen. In den meisten Fällen können falsch konfigurierte Protokolle auf der Seite des Absenders zu fehlgeschlagenen Authentifizierungsprüfungen beitragen.

Gehen Sie wie folgt vor, um die Regel einzurichten: 

  1. Melden Sie sich bei Ihrem Exchange Online-Administrationszentrum an 
  2. Gehen Sie zu Mailflow > Regeln
  3. Erstellen Sie eine neue Regel, indem Sie auf das Symbol Hinzufügen > Neue Regel erstellen klicken.
  4. Setzen Sie "Absenderadresse in der Nachricht abgleichen" auf "Kopfzeile".
  5. Unter Diese Regel anwenden, wenn... können Sie aus dem Dropdown-Menü die Bedingung auswählen, auf die Sie diese Regel anwenden möchten. Hier möchten wir die Regel konfigurieren, wenn das Ergebnis der DMARC-Authentifizierung "fehlgeschlagen" ist. 
  6. Unter Do the following... können Sie nun Ihre Aktion auswählen und sie auf "Prepend the disclaimer..." setzen und den gewünschten Disclaimer hinzufügen
  7. Sie können nun eine Ausnahme zu dieser Regel hinzufügen, z. B. für den Fall, dass der "From"-Header Ihrem Domainnamen entspricht
  8. Speichern anklicken

Wie erstellt man eine Microsoft 365 Transportregel, um nicht autorisierte eingehende E-Mails abzulehnen?

  • Melden Sie sich bei Ihrem Exchange Online-Administrationszentrum an

  • Gehen Sie zu Mailfluss > Regeln

  • Auswahl von + Hinzufügen einer Regel

  • Klicken Sie auf Eine neue Regel erstellen aus dem Dropdown-Menü

  • Benennen Sie Ihre Mailflow-Regel. Zum Beispiel: DMARC-Richtlinie außer Kraft setzen 
  • Unter "Diese Regel anwenden, wenn" wählen Sie "die Kopfzeilen der Nachricht eines der folgenden Wörter enthalten"

  • Klicken Sie nun auf "Text eingeben" im blau unterlegten Text und wählen Sie "Authentifizierungs-Ergebnisse"

  • Ähnlich. Klicken Sie auf "Wörter eingeben" im blau hervorgehobenen Text und wählen Sie die Option Ihrer Wahl oder alle Optionen.

  • Unter "Folgendes tun" wählen Sie "Die Nachricht blockieren"

  • Wählen Sie außerdem "die Nachricht ablehnen und eine Erklärung hinzufügen"

Speichern Sie die Mailflow-Regel. Es kann ein paar Minuten dauern, bis die Änderungen verarbeitet sind, dann sind Sie fertig!

Microsoft kündigt neuen Ansatz zur Richtlinienbehandlung an: Aktualisiert am 20. Juni 2023

Im Juni 2023 kündigte Microsoft wichtige Änderungen im Umgang mit DMARC-Richtlinien für Verbraucherdienste (live.com / outlook.com / hotmail.com) an:

  • Wenn ein Absender eine erzwungene DMARC-Richtlinie oder die Option „Ablehnen“ oder „Quarantäne“ konfiguriert hat, respektiert Microsoft die Richtlinie des Absenders, indem E-Mails, deren DMARC-Authentifizierung fehlschlägt, abgelehnt oder unter Quarantäne gestellt werden, anstatt sie zuzustellen.
  • Sobald die Aktion ausgeführt wurde, sendet Microsoft dem Absender einen Unzustellbarkeitsbericht (Non-Delivery Report, NDR) mit der Fehlermeldung „ 550 5.7.509: Zugriff verweigert, sendende Domäne example.com besteht die DMARC-Verifizierung nicht und hat eine DMARC-Ablehnungsrichtlinie“.

Hinweis : Für Unternehmenskunden beachtet Microsoft 365 jetzt standardmäßig die DMARC-Richtlinie des Absenders (z. B. p=reject, p=quarantine ), indem Nachrichten, die DMARC nicht bestehen, abgelehnt oder unter Quarantäne gestellt werden, wenn der MX Ihrer Domäne direkt auf Office 365 verweist. Sie können dieses Verhalten pro Richtlinie im Microsoft 365 Defender-Portal unter „Anti-Phishing-Einstellungen“ anpassen. Wenn Ihr MX auf eine Sicherheitslösung eines Drittanbieters verweist, wird die DMARC-Durchsetzung möglicherweise nicht angewendet, es sei denn, die erweiterte Filterung für Connectors ist aktiviert.

DMARC jetzt obligatorisch für Microsoft-Massenversender

Es ist wichtig zu beachten, dass DMARC für mehr als 5000 E-Mail-Absender pro Tag und Domäne an Microsoft-Kundendienste nicht optional ist. Gemäß den neuen Anforderungen :

  • Absender mit hohem Volumen müssen SPF und DKIM implementieren, wobei beide für die sendende Domäne gültig sein müssen.
  • Absender mit hohem Volumen müssen DMARC implementieren und bestehen, mindestens mit p=none, ausgerichtet auf SPF und DKIM oder beide.

PowerDMARC hilft globalen Unternehmen und Firmen jeder Größe, diese Anforderungen schnell und sicher zu erfüllen! Kontaktieren Sie uns noch heute, um mit einem Experten zu sprechen.

Einige wichtige Punkte zur Erinnerung

  1. DMARC schützt nicht vor Spoofing-Lookalike-Domains und ist nur gegen Direct-Domain-Spoofing und Phishing-Angriffe wirksam.
  2. Eine DMARC-Richtlinie, die auf "none" eingestellt ist, würde E-Mails, die DMARC nicht bestehen, nicht unter Quarantäne stellen oder zurückweisen; nur p=reject/quarantine kann vor Spoofing schützen.
  3. Die Ablehnung von DMARC sollte nicht auf die leichte Schulter genommen werden, da sie zum Verlust von legitimen E-Mails führen kann. 
  4. Für eine sicherere Bereitstellung konfigurieren Sie ein DMARC-Berichts-Tool um Ihre E-Mail-Kanäle und Authentifizierungsergebnisse täglich zu überwachen

Neueste Beiträge von Ahona Rudra (alle anzeigen)
Zuletzt aktualisiert:
Wie lange dauert die Verbreitung von SPF-Einträgen und DMARC?wie man Spoofing unterbindetWie kann ich Spoofing-E-Mails von meiner E-Mail-Adresse stoppen?