Microsoft hat vor kurzem vertrauenswürdige ARC-Siegel eingeführt, um legitime indirekte E-Mail-Verkehrsströme zu autorisieren, und um ehrlich zu sein, ist dies ein ausgezeichneter Schritt. Hier ist der Grund dafür: 

• Ihre gängigen E-Mail-Authentifizierungsprotokolle (DMARC, SPFund DKIM) sind unzureichend, wenn es um die Authentifizierung von indirekt versandten E-Mails geht
• Dies kann dazu führen, dass Ihre legitimen E-Mails nicht authentifiziert werden. 
• In der Folge führt dies zu Problemen bei der E-Mail-Zustellung 

Hier kommt das vertrauenswürdige ARC-Siegel von Microsoft zum Einsatz und rettet den Tag. Durch das Hinzufügen von ARC-Signaturen zu ausgehenden Nachrichten kann die E-Mail-Quelle bei der Absenderüberprüfung leicht identifiziert und autorisiert werden, selbst wenn ihre Kopfzeile und ihr Inhalt von einer vertrauenswürdigen Vermittler.

DasDokument von Microsoft finden Sie hier.

Für welche Kategorie von Benutzern gilt das Microsoft Trusted ARC-Siegel?

Dieses vertrauenswürdige ARC-Siegel kann von Benutzern eingesetzt werden, die sich bei den folgenden Microsoft-Diensten angemeldet haben: 

• Exchange Online-Schutz
• Microsoft Defender für Office 365 Plan 1 und Plan 2
• Microsoft 365 Defender

Was ist ein direkter E-Mail-Verkehr? 

Dies ist der Fall, wenn eine von einer Quelldomäne gesendete E-Mail direkt den E-Mail-Server des Empfängers erreicht. Sofern die Kommunikation nicht von einer böswilligen dritten Partei abgefangen wird, bleibt die E-Mail unangetastet und die Kopfzeilen der Nachricht bleiben erhalten, so dass die DMARC-Authentifizierungsprüfungen bestanden werden. 

Was sind indirekte Mailflows?

Dies ist der Fall, wenn eine von der Quelldomäne gesendete E-Mail über einen oder mehrere Zwischenserver geleitet wird (wie im Falle einer E-Mail-Weiterleitung). Diese Vermittler können die Nachricht verändern, indem sie Änderungen an den Kopfzeileninformationen und dem Textkörper vornehmen, wodurch die E-Mail DMARC nicht mehr erfüllt.  

Warum ist das Trusted ARC-Siegel notwendig?

Authentifizierungsfehler in indirekten E-Mail-Flüssen

Unternehmen lagern ihre E-Mail-Marketingkampagnen häufig über einen Dritten aus, der die Nachrichten von der Domäne des Eigentümers über einen oder mehrere Zwischenserver an die Empfänger weiterleitet. Dies ist vor allem bei der Weiterleitung von E-Mails oder der Nutzung von Mailinglisten zu beobachten. 

Die Header-Informationen für diese E-Mails werden dabei verändert, da sie die Header-Informationen des jeweiligen Zwischenhändlers übernehmen. Dies führt zu einer Inkonsistenz in den Kopfzeilen "Mail from:" und "Return-path", wodurch SPF nicht funktioniert. Vermittler können auch den Inhalt innerhalb des E-Mail-Körpers ändern, indem sie Fußzeilen hinzufügen, wodurch DKIM noch weiter verletzt wird. 

Letzteres ist zwar selten, aber es kommt vor. Wenn sowohl SPF als auch DKIM für die Nachrichten versagen, schlägt DMARC unweigerlich fehl und die Nachricht wird (obwohl legitim) als betrügerisch angesehen. Wenn der Absender auf p=reject steht, würden diese legitimen Nachrichten niemals zugestellt werden! 

Angabe von vertrauenswürdigen Vermittlern durch Microsofts vertrauenswürdiges ARC-Siegel

Administratoren, die im Microsoft 365 Defender-Portal angemeldet sind, können im Admin-Portal vertrauenswürdige Vermittler hinzufügen. Während der Absenderüberprüfung verifiziert Microsoft den DMARC ARC Signaturen von E-Mails, die von diesen vertrauenswürdigen ARC-Siegeln gesendet werden, und hilft ihnen, Authentifizierungsprüfungen zu bestehen und sicher zugestellt zu werden.

Dies geschieht im Hinblick darauf, wie ARC die ursprünglichen Authentifizierungsinformationen für Nachrichten bewahrt, bevor Änderungen durch einen Mittelsmann vorgenommen werden, die von den Empfangsservern überprüft werden können.  

Wichtige Punkte, die bei der Verwendung des Trusted ARC Seal zu beachten sind

Das ARC-Siegel muss von den vertrauenswürdigen Zwischenhändlern konfiguriert werden

Wenn Sie als Domain-Administrator eine Liste von vertrauenswürdigen Vermittlern haben, über die Sie Ihre E-Mails weiterleiten möchten, müssen Sie sich noch heute mit diesen in Verbindung setzen! Führen Sie ein offenes Gespräch mit ihnen und bitten Sie sie, ARC für die jeweiligen Vermittlerdomänen zu konfigurieren. 

Laden Sie diese Liste vertrauenswürdiger ARC-Versiegeler in Ihr Verteidigerportal hoch

Als Nächstes sollten Sie sich bei Ihrem Microsoft Defender Portal anmelden und die Liste der vertrauenswürdigen ARC-Versiegeler hochladen. Hier können Sie die Domänennamen dieser vertrauenswürdigen Vermittler hinzufügen, die ARC auf Ihre Anfrage hin aktiviert haben. Sie können dies tun, indem Sie zu Ihrer Seite mit den Einstellungen für die E-Mail-Authentifizierung in Ihrem Portal-Dashboard und klicken Sie auf die Schaltfläche "Hinzufügen".

Alternativ dazu, 

Sie können Ihre Liste der vertrauenswürdigen ARC-Sealer auch über Exchange Online Powershell hinzufügen, indem Sie das folgende von Microsoft erwähnte Powershell-Skript ausführen: 

Set-ArcConfig -Identity default -ArcTrustedSealers {gefolgt von den durch Kommata getrennten Domänennamen Ihrer Vermittler}

So finden Sie den Domänennamen Ihres Trusted ARC Sealers

Gehen Sie wie folgt vor, um den Domänennamen der vertrauenswürdigen ARC-Absender in Ihrem Outlook-Postfach zu finden: 

• Öffnen Sie die E-Mail mit einem Doppelklick auf die E-Mail 
• Gehen Sie zu Datei > Eigenschaften
• Das Fenster Eigenschaften wird angezeigt. Im Feld Internet-Kopfzeilen können Sie die Kopfzeileninformationen Ihrer Nachricht einsehen
• Hier finden Sie den Domänennamen, der im "d="-Tag in der ARC-Signatur der E-Mail angegeben ist. Dies ist die Domäne Ihres vertrauenswürdigen ARC-Siegels.

Sie können auch die Header-Informationen Ihrer E-Mail verwenden, um Ihr vertrauenswürdiges ARC-Siegel zu validieren indem Sie in Ihren ARC-Authentifizierungsergebnissen nach "pass" suchen.

Ist ARC ein Ersatz für DMARC? 

Lange Rede, kurzer Sinn: Nein, ist es nicht. Um optimale Ergebnisse zu erzielen, sollte ARC in Verbindung mit DMARC, SPF und DKIM verwendet werden. ARC ist eine zusätzliche Sicherheitsmaßnahme, mit der Sie verhindern können, dass die Authentifizierung Ihrer legitimen E-Mails fehlschlägt, wenn die E-Mail einen Zwischenserver durchläuft, der Änderungen an der Kopfzeile und dem Inhalt vornimmt. 

Um die Vorteile des Microsoft Trusted ARC-Siegels zu nutzen, konfigurieren Sie DMARC noch heute in Ihrem Unternehmen. Nehmen Sie eine kostenlose DMARC-Testversion mit PowerDMARC.

Verwandte Artikel

• DMARC office365 Einrichtungsanleitung
• Microsoft Office 365 DKIM-Einrichtung
• Microsoft Office 365 SPF-Einrichtung

• Über
• Neueste Beiträge

Yunes Tarada

Yunes ist Operations Team Lead bei PowerDMARC und verfügt über Expertenwissen im Bereich E-Mail-Authentifizierung und -Sicherheit. Yunes ist ein Microsoft-zertifizierter Azure Administrator Associate mit Zertifizierungen in CompTIA A+ und vielen mehr.

Neueste Beiträge von Yunes Tarada (alle anzeigen)

• Wie richtet man DMARC in Office 365 ein? Schritt-für-Schritt-Anleitung - 6. Mai 2024
• SMTP Yahoo Fehler Codes erklärt - 1. Mai 2024
• SPF Softfail vs. Hardfail: Was ist der Unterschied? - April 26, 2024