Was ist ein vertrauenswürdiges ARC-Siegel?

Blog

Microsoft hat kürzlich vertrauenswürdige ARC-Siegel eingeführt, um legitime indirekte E-Mail-Ströme zu autorisieren. Was sind vertrauenswürdige ARC-Sender und wie können Sie sie konfigurieren? Erfahren Sie mehr.

von YunesTarada

Lesezeit: 4 min
Was ist ein vertrauenswürdiges ARC-Siegel?
Inhaltsverzeichnis-

Microsoft hat vor kurzem vertrauenswürdige ARC-Siegel eingeführt, um legitime indirekte E-Mail-Verkehrsströme zu autorisieren, und um ehrlich zu sein, ist dies ein ausgezeichneter Schritt. Hier ist der Grund dafür: 

  • Ihre gängigen E-Mail-Authentifizierungsprotokolle (DMARC, SPFund DKIM) sind unzureichend, wenn es um die Authentifizierung von indirekt versandten E-Mails geht
  • Dies kann dazu führen, dass Ihre legitimen E-Mails nicht authentifiziert werden. 
  • In der Folge führt dies zu Problemen bei der E-Mail-Zustellung 

Hier kommt das vertrauenswürdige ARC-Siegel von Microsoft zum Einsatz und rettet den Tag. Durch das Hinzufügen von ARC-Signaturen zu ausgehenden Nachrichten kann die E-Mail-Quelle bei der Absenderüberprüfung leicht identifiziert und autorisiert werden, selbst wenn ihre Kopfzeile und ihr Inhalt von einer vertrauenswürdigen Vermittler.

Das Dokument von Microsoft finden Sie hier.

Wichtigste Erkenntnisse

  1. Das vertrauenswürdige ARC-Siegel hilft bei der Authentifizierung von indirekt gesendeten E-Mails und überwindet damit die Einschränkungen herkömmlicher Protokolle wie DMARC, SPF und DKIM.
  2. Indirekte E-Mail-Verkehrsströme können dazu führen, dass legitime E-Mails aufgrund von Änderungen durch zwischengeschaltete Server nicht authentifiziert werden.
  3. Microsofts vertrauenswürdiges ARC-Siegel ermöglicht es Administratoren, vertrauenswürdige Vermittler festzulegen, die sicherstellen, dass E-Mails trotz Änderungen die Absenderprüfung bestehen.
  4. Das Einrichten und Konfigurieren von ARC mit vertrauenswürdigen Vermittlern erfordert die Zusammenarbeit mit Domänenadministratoren und die Verwendung des Microsoft Defender-Portals.
  5. ARC ist kein Ersatz für DMARC, sondern eine zusätzliche Sicherheitsmaßnahme zur Verbesserung der E-Mail-Authentifizierung in Verbindung mit bestehenden Protokollen.

Für welche Kategorie von Benutzern gilt das Microsoft Trusted ARC-Siegel?

Dieses vertrauenswürdige ARC-Siegel kann von Benutzern eingesetzt werden, die sich bei den folgenden Microsoft-Diensten angemeldet haben: 

  • Exchange Online-Schutz
  • Microsoft Defender für Office 365 Plan 1 und Plan 2
  • Microsoft 365 Defender

 

Vereinfachen Sie die Sicherheit mit PowerDMARC!

15-Tage-TestDemo buchen

Was ist ein direkter E-Mail-Verkehr? 

Dies ist der Fall, wenn eine von einer Quelldomäne gesendete E-Mail direkt den E-Mail-Server des Empfängers erreicht. Sofern die Kommunikation nicht von einer böswilligen dritten Partei abgefangen wird, bleibt die E-Mail unangetastet und die Kopfzeilen der Nachricht bleiben erhalten, so dass die DMARC-Authentifizierungsprüfungen bestanden werden. 

Was sind indirekte Mailflows?

Dies ist der Fall, wenn eine von der Quelldomäne gesendete E-Mail über einen oder mehrere Zwischenserver geleitet wird (wie im Falle einer E-Mail-Weiterleitung). Diese Vermittler können die Nachricht verändern, indem sie Änderungen an den Kopfzeileninformationen und dem Textkörper vornehmen, wodurch die E-Mail DMARC nicht mehr erfüllt.  

Warum ist das Trusted ARC-Siegel notwendig?

Authentifizierungsfehler in indirekten E-Mail-Flüssen

Unternehmen lagern ihre E-Mail-Marketingkampagnen häufig über einen Dritten aus, der die Nachrichten von der Domäne des Eigentümers über einen oder mehrere Zwischenserver an die Empfänger weiterleitet. Dies ist vor allem bei der Weiterleitung von E-Mails oder der Nutzung von Mailinglisten zu beobachten. 

Die Header-Informationen für diese E-Mails werden dabei verändert, da sie die Header-Informationen des jeweiligen Zwischenhändlers übernehmen. Dies führt zu einer Inkonsistenz in den Kopfzeilen "Mail from:" und "Return-path", wodurch SPF nicht funktioniert. Vermittler können auch den Inhalt innerhalb des E-Mail-Körpers ändern, indem sie Fußzeilen hinzufügen, wodurch DKIM noch weiter verletzt wird. 

Letzteres ist zwar selten, aber es kommt vor. Wenn sowohl SPF als auch DKIM für die Nachrichten versagen, schlägt DMARC unweigerlich fehl und die Nachricht wird (obwohl legitim) als betrügerisch angesehen. Wenn der Absender eine DMARC-Richtlinie von p=reject verwendet, würden diese legitimen Nachrichten niemals zugestellt werden! 

Angabe von vertrauenswürdigen Vermittlern durch Microsofts vertrauenswürdiges ARC-Siegel

Administratoren, die im Microsoft 365 Defender-Portal angemeldet sind, können im Admin-Portal vertrauenswürdige Vermittler hinzufügen. Während der Absenderüberprüfung verifiziert Microsoft den DMARC ARC Signaturen von E-Mails, die von diesen vertrauenswürdigen ARC-Siegeln gesendet werden, und hilft ihnen, Authentifizierungsprüfungen zu bestehen und sicher zugestellt zu werden.

Dies geschieht im Hinblick darauf, wie ARC die ursprünglichen Authentifizierungsinformationen für Nachrichten bewahrt, bevor Änderungen durch einen Mittelsmann vorgenommen werden, die von den Empfangsservern überprüft werden können.  

Wichtige Punkte, die bei der Verwendung des Trusted ARC Seal zu beachten sind

Das ARC-Siegel muss von den vertrauenswürdigen Zwischenhändlern konfiguriert werden

Wenn Sie als Domain-Administrator eine Liste von vertrauenswürdigen Vermittlern haben, über die Sie Ihre E-Mails weiterleiten möchten, müssen Sie sich noch heute mit diesen in Verbindung setzen! Führen Sie ein offenes Gespräch mit ihnen und bitten Sie sie, ARC für die jeweiligen Vermittlerdomänen zu konfigurieren. 

Laden Sie diese Liste vertrauenswürdiger ARC-Versiegeler in Ihr Verteidigerportal hoch

Als Nächstes sollten Sie sich bei Ihrem Microsoft Defender Portal anmelden und die Liste der vertrauenswürdigen ARC-Versiegeler hochladen. Hier können Sie die Domänennamen dieser vertrauenswürdigen Vermittler hinzufügen, die ARC auf Ihre Anfrage hin aktiviert haben. Sie können dies tun, indem Sie zu Ihrer Seite mit den Einstellungen für die E-Mail-Authentifizierung in Ihrem Portal-Dashboard und klicken Sie auf die Schaltfläche "Hinzufügen".

Alternativ dazu, 

Sie können Ihre Liste der vertrauenswürdigen ARC-Sealer auch über Exchange Online Powershell hinzufügen, indem Sie das folgende von Microsoft erwähnte Powershell-Skript ausführen: 

Set-ArcConfig -Identity default -ArcTrustedSealers {gefolgt von den durch Kommata getrennten Domänennamen Ihrer Vermittler}

So finden Sie den Domänennamen Ihres Trusted ARC Sealers

Gehen Sie wie folgt vor, um den Domänennamen der vertrauenswürdigen ARC-Absender in Ihrem Outlook-Postfach zu finden: 

  • Öffnen Sie die E-Mail mit einem Doppelklick auf die E-Mail 
  • Gehen Sie zu Datei > Eigenschaften
  • Das Fenster Eigenschaften wird angezeigt. Im Feld Internet-Kopfzeilen können Sie die Kopfzeileninformationen Ihrer Nachricht einsehen
  • Hier finden Sie den Domänennamen, der im "d="-Tag in der ARC-Signatur der E-Mail angegeben ist. Dies ist die Domäne Ihres vertrauenswürdigen ARC-Siegels.

Sie können auch die Header-Informationen Ihrer E-Mail verwenden, um Ihr vertrauenswürdiges ARC-Siegel zu validieren indem Sie in Ihren ARC-Authentifizierungsergebnissen nach "pass" suchen.

Ist ARC ein Ersatz für DMARC? 

Lange Rede, kurzer Sinn: Nein, ist es nicht. Um optimale Ergebnisse zu erzielen, sollte ARC in Verbindung mit DMARC, SPF und DKIM verwendet werden. ARC ist eine zusätzliche Sicherheitsmaßnahme, mit der Sie verhindern können, dass die Authentifizierung Ihrer legitimen E-Mails fehlschlägt, wenn die E-Mail einen Zwischenserver durchläuft, der Änderungen an der Kopfzeile und dem Inhalt vornimmt. 

Um die Vorteile des Microsoft Trusted ARC-Siegels zu nutzen, konfigurieren Sie DMARC noch heute in Ihrem Unternehmen. Nehmen Sie eine kostenlose DMARC-Testversion mit PowerDMARC.

Neueste Beiträge von Yunes Tarada (alle anzeigen)
Die 10 wichtigsten DMARC-Regeln, die Sie im Jahr 2022 befolgen solltenDie 10 wichtigsten DMARC-Regeln, die Sie im Jahr 2022 befolgen solltenVon DMARC blockierte Antworten auf Google Kalender-EinladungenVon DMARC blockierte Antworten auf Google Kalender-Einladungen