Sicherheit in Exchange 2019
Den Riegel vorschieben
Veröffentlicht in Ausgabe 06/2025 - PRAXIS
Der Großteil der Nutzer einer lokalen Exchange-Version hat ein eigenständiges Antispam- und Antimalware-Produkt im Einsatz. Dies liegt nicht zuletzt daran, dass Exchange 2019 nur einige wenige Bordmittel mitbringt, die nicht viel mehr als eine Grundabsicherung bieten. Die Möglichkeiten von Microsoft 365 sind hingegen so umfangreich, dass sie eine Alternative zu selbstgehosteten Security-Tools darstellen.
Spamfilter einrichten
Das Exchange-2019-eigene, kostenlose Antispam-Modul ist standardmäßig nicht installiert. Sie nehmen das Feature über das Skript "Install-AntispamAgents.ps1" in Betrieb, das sich im Installationsverzeichnis von Exchange befindet. Diesen Ordner rufen Sie am schnellsten über die Variable "$ExSkripts" auf.
Im Anschluss an die Installation starten Sie den Transportdienst mit
Restart-Service MSExchangeTransport neu und machen mit dem BefehlDer Großteil der Nutzer einer lokalen Exchange-Version hat ein eigenständiges Antispam- und Antimalware-Produkt im Einsatz. Dies liegt nicht zuletzt daran, dass Exchange 2019 nur einige wenige Bordmittel mitbringt, die nicht viel mehr als eine Grundabsicherung bieten. Die Möglichkeiten von Microsoft 365 sind hingegen so umfangreich, dass sie eine Alternative zu selbstgehosteten Security-Tools darstellen.
Spamfilter einrichten
Das Exchange-2019-eigene, kostenlose Antispam-Modul ist standardmäßig nicht installiert. Sie nehmen das Feature über das Skript "Install-AntispamAgents.ps1" in Betrieb, das sich im Installationsverzeichnis von Exchange befindet. Diesen Ordner rufen Sie am schnellsten über die Variable "$ExSkripts" auf.
Im Anschluss an die Installation starten Sie den Transportdienst mit
Restart-Service MSExchangeTransport neu und machen mit dem BefehlSet-TransportConfig -InternalSMTPServers @{Add="192.168.0.110"}
die internen SMTP-Server bekannt. Jetzt helfen Ihnen verschiedene Agenten, um Spam-E-Mails auszusperren. Die Konfiguration der Filter findet in Exchange 2019 komplett in der Exchange Management Shell (EMS) statt. Die wichtigsten Befehle entnehmen Sie der Tabelle.
Auf einem Postfachserver stehen nun einige Spamfilter zur Verfügung. Die "Absenderfilterung" prüft den Absender im SMTP-Befehl "MAIL FROM:" gegen eine definierte Liste der Absender oder Absenderdomänen, die keine Nachrichten an die Organisation senden dürfen. Der "Empfängerfilter" vergleicht die Nachrichtenempfänger im SMTP-Befehl "RCPT TO:" mit einer vom Administrator definierten Sperrliste. Bei einer Übereinstimmung darf die Nachricht nicht in die Organisation gelangen. Der Empfängerfilter vergleicht darüber hinaus das Ziel eingehender Nachrichten mit dem lokalen Empfängerverzeichnis, um zu bestimmen, ob die Nachricht an gültige Adressaten gerichtet ist. Ist dies nicht der Fall, wird sie zurückgewiesen.
Als weiterer Filter verwendet der "Sender ID-Agent" die IP-Adresse des sendenden Servers und die angegebene Antwortadresse (Purported Responsible Address; PRA) des Absenders, um zu bestimmen, ob letzterer gefälscht ist. Die "Inhaltsfilterung" beurteilt den Inhalt einer Nachricht und führt definierte Aktionen aus. Um zu verhindern, dass fälschlicherweise erkannte E-Mails nicht mehr zugestellt werden können, landen diese in einem Spam-Quarantänepostfach. Der "Protokollanalyse-Agent" schließlich implementiert die Absenderzuverlässigkeitsfunktion (Sender Reputation Level; SRL), die eine E-Mail aufgrund verschiedener Merkmale klassifiziert.
Der Empfängerfilter ist auf Mailbox-Servern zwar vorhanden, von einer Konfiguration sehen Sie aber besser ab. Denn findet der Filter in einer E-Mail sowohl gültige als auch ungültige Empfänger, würde er die Nachricht für alle ablehnen.
Neben diesen Filtern bietet die Rolle des Edge-Servers noch einen Verbindungsfilter-Agenten, der die IP-Adresse des Remoteservers gegen verschiedene IP-Sperrlisten prüft, sowie einen Anlagenfilter-Agent, der die Anlagen tiefergehend unter die Lupe nimmt.
| Cmdlet | Beschreibung |
|---|---|
| Set-SenderFilterConfig | Über das Cmdlet ändern Sie die Konfiguration des Absenderfilter-Agenten. |
| Set-SenderIDConfig | Verwenden Sie diesen Befehl, um die Konfiguration des Sender ID-Agenten durchzuführen. |
| Set-ContentFilterConfig | Durch das Kommando ändern Sie die Inhaltsfilterkonfiguration. |
| Set-SenderReputationConfig | Steuert die Konfiguration der Absenderzuverlässigkeit. |
| Set-IPAllowListConfig | Das Cmdlet ändert die Konfiguration der Liste zugelassener IP-Adressen, die vom Verbindungsfilter-Agent auf Edge-Transport-Servern Verwendung findet. |
| Set-IPBlockListConfig | Ändert die Konfiguration der Liste der blockierten IP-Adressen, die vom Verbindungsfilter-Agent auf Edge-Transport-Servern verwendet wird. |
| Set-IPAllowListProvidersConfig | Durch das Cmdlet ändern Sie die Einstellungen der konfigurierten IP-Zulassungslistenanbieter auf dem Edge-Transport-Server. |
| Set-IPBlockListProvidersConfig | Dient dem Anpassen der Einstellungen, die sich auf alle auf dem Edge-Transport-Server konfigurierten IP-Sperrlistenanbieter auswirken. |
Spam klassifizieren
Sämtliche Prüfungen werden im Header einer E-Mail vermerkt, sodass Sie jederzeit nachvollziehen können, wie eine E-Mail bewertet wurde und wie vertraulich diese ist. Dazu zählt der "SpamConfidence-Level" (SCL), der die Nachricht beurteilt. Über den SCL definieren Sie verschiedene Regeln, zum Beispiel, wann eine E-Mail abgelehnt oder in ein Quarantänepostfach beziehungsweise in den Outlook-Junk-Ordner verschoben wird. Die Konfiguration erfolgt über das Set-ContentFilterConfig-Cmdlet mit folgenden Attributen:
- SCLDeleteEnabled
- SCLDeleteThreshold
- SCLRejectEnabled
- SCLRejectThreshold
- SCLQuarantineEnabled
- SCLQuarantineThreshold
- SCLJunkThreshold
In den Organisationseinstellungen definieren Sie über das Set-OrganizationConfig-Cmdlet allgemein gültige Schwellenwerte, die Sie bei Bedarf für Mailboxen gezielt anpassen:
Set-Mailbox User -SCLJunkEnabled $True -SCLJunkThreshold 6
SCL kann Werte zwischen "-1" und "9" aufweisen, die grob gesagt Folgendes bedeuten: Eine SCL-Bewertung von "-1" kennzeichnet eine E-Mail als kein Spam von einem sicheren Absender, Empfänger oder einer als sicher gelisteten IP-Adresse (vertrauenswürdiger Partner). Die Werte "0" und "1" besagen, dass es sich ebenfalls nicht um Spam handelt, weil die Nachricht überprüft und als Spam-frei eingestuft wurde. Werte von "5" oder "6" deuten auf eine Spam-Nachricht hin, bei einem Wert von "9" können Sie ganz sicher von Spam ausgehen.
Für einen Überblick der durch die Antispam-Agenten getätigten Aktionen bleibt Ihnen nur das Auswerten der Agentenprotokolle. Deren Eigenschaften inklusive des Ablageorts prüfen Sie mit dem Befehl
Get-TransportService | fl Agent*
Über
Get-AgentLog und das Skript "Get-AntiSpamFilteringReport.ps1" durchsuchen Sie die Protokolle. Letzteres liegt im Exchange-Skript-Verzeichnis, wo Sie auch weitere Skripte, wie "Get-AntispamTopBlockedSenderDomains.ps1"oder "Get-AntispamTopRecipients.ps1", finden.Mehr Antispam mit Exchange Online
Als Alternative zum lokalen Antispam-Feature hat Microsoft die "Exchange Online Protection" (EOP) im Angebot. EOP buchen Sie direkt als Abonnement über Microsoft 365, sofern es nicht schon Bestandteil einer bestehenden Exchange-Online-Subskription ist. Die Lizenzierung erfolgt direkt über einzelne Benutzer. Die Kosten liegen aktuell bei 0,94 Euro je Benutzer und Monat. Alternativ gibt es aus der lokalen Exchange-Umgebung eine spezielle Enterprise-CAL mit Diensten, die ebenfalls die Nutzung von EOP beinhaltet.
Dient der lokale Ansatz einer Grundabsicherung, ist EOP die bessere Wahl, da die Erkennungsrate wesentlich höher ausfällt. Nachdem sich Microsoft aus dem Bereich der lokalen Sicherheitswerkzeuge mit Forefront zurückgezogen hat, ist EOP der von Microsoft favorisierte Weg zur Absicherung von lokalen Exchange-Umgebungen. EOP punktet unter anderem mit einer einfacheren Konfiguration. Diese wurde aus dem Exchange Admin Center (EAC) ausgelagert und ist online im Microsoft Defender zu finden, in dem alle Sicherheitsthemen zusammenlaufen.
Die PowerShell-Befehle können Sie für Exchange Online nicht nutzen. Gegenüber dem lokalen Exchange-Setup bietet Microsoft 365 ebenfalls ein wesentlich besseres Reporting und bringt einige Berichte zum Thema gleich mit.
Darüber hinaus kommt EOP mit einer verbesserten Verbindungsfilterung, die ansonsten einen Edge-Transport-Server bedingt sowie einen umfangreicheren Inhaltsfilter.
Schutz vor Schadsoftware mit Bordmitteln
Exchange 2019 bringt auch eine Antimalware-Funktion mit, die die Groupware vor Schadsoftware wie Viren oder Spyware schützt. Im Gegensatz zum Antispam-Feature erfolgt die Konfiguration nicht mehr über die EAC im Menüpunkt "Schutz / Schadsoftware". Stattdessen nutzen Sie in der PowerShell die Set-MalwareFilterPolicy- und Set-MalwareFilterRule-Cmdlets.
Über Antischadsoftware-Richtlinien definieren Sie organisationsweit Aktionen, die bei einer Erkennung Anwendung finden. Als Aktion legen Sie fest, ob nur die Anlage oder die gesamte E-Mail zu löschen ist und wer benachrichtigt wird. Neben der Standardrichtlinie erstellen Sie benutzerdefinierte Richtlinien, die auf bestimmte Benutzer oder Gruppen wirken. Damit die Signaturen immer die aktuellen Definitionen erhalten, lädt Exchange diese regelmäßig aus dem Internet nach. Grundsätzlich werden die Definitionsupdates zur Erkennung von Schadsoftware automatisch bei Microsoft heruntergeladen. Den Status prüfen Sie über den Get-EngineUpdateInformation-Befehl. Um diesen ausführen zu können, müssen Sie zuvor das entsprechende Snapin zur PowerShell mit dem Kommando
Add-PSSnapin Microsoft.Forefront.Filtering. Management.Powershell
hinzufügen. Über das Skript "Update-MalwareFilteringServer.ps1" aus dem Skript-Verzeichnis stoßen Sie ein Update gezielt an.
Bedrohungsabwehr in Microsoft 365
Im bereits erwähnten EOP ist direkt eine Antimalware-Funktion eingebunden, die immer aktiv ist und alle E-Mails und Anlagen scannt. Eine Konfiguration durch den Administrator ist nicht nötig und die Signaturen von Viren, Schadsoftware, Rootkits, Würmer werden ständig auf dem Laufenden gehalten. Anders als bei der lokalen Version konfigurieren Sie die Richtlinie nicht mehr direkt in der EAC, sondern über Microsoft Defender. So deaktivieren Sie zum Beispiel spezielle Dateitypen oder passen Benachrichtigungseinstellungen in der Bedrohungsrichtlinie zur Antischadsoftware an.
Die bisher vorgestellten Komponenten bieten einen Grundschutz für Ihr E- Mail-System. Erweitern lässt sich der Schutz durch "Advanced Threat Protection" (ATP), das ausschließlich online zur Verfügung steht und unbekannte Schadsoftware in Schach hält. Dadurch gewährleisten Sie einen besseren Schutz etwa vor Zero-Day-Attacken. Zur Prüfung unterzieht ATP alle Anlagen mit einer unbekannten Signatur einer Verhaltensanalyse. Erst wenn es keine Auffälligkeiten festgestellt hat, landet die E-Mail im Benutzerpostfach. Neben den Anlagen prüft ATP alle Links in E-Mails. Verweise auf böswillige Seiten, die zum Beispiel Anmeldedaten erschleichen wollen, werden automatisch ersetzt.
ATP ist nur in wenigen Microsoft-365-Plänen, wie "Microsoft 365 Business Premium" enthalten. In den meisten Fällen abonnieren Sie ATP als zusätzlichen Dienst für circa 1,30 Euro je Benutzer und Monat. Haben Sie ihn aktiviert, erfolgt die Konfiguration über Microsoft Defender Online im Bereich der "Richtlinien und Regeln". Die Policies für den Schutz vor böswilligen Anlagen und Links sind hier schnell eingerichtet und ermöglichen einen stärkeren Abwehrschild. Die Konfiguration über die EMS erfolgt weiter mit den Set-SafeAttachmentPolicy- und Set-SafeLinkPolicy-Cmdlets.
EOP mit lokalem Server nutzen
EOP lässt sich relativ einfach auch zur Absicherung lokaler Exchange-Versionen einsetzen. Dabei bleiben die Postfächer in der lokalen Instanz und nur der ein- und ausgehende Datenverkehr fließt über EOP. E-Mails innerhalb der Organisation unterliegen dabei keiner Prüfung seitens EOP. Der Vorteil ist, dass Sie keine zusätzliche Hard- beziehungsweise Software benötigen und Sie die Prüfung außerhalb Ihres Netzwerks durchführen können.
Zur Einrichtung verifizieren Sie zunächst in Ihrem Office-365-Mandanten alle Domains, über die Sie E-Mails senden und empfangen. Im Anschluss passen Sie die Connectoren sowohl lokal als auch online an, damit die Nachrichten zwischen der lokalen Instanz und EOP ausgetauscht werden. Als Letztes erfolgt der Schwenk der MX-Records, damit im Anschluss der gesamte E-Mail-Verkehr über Exchange Online geführt wird. Eine genauere Beschreibung zum Vorgehen finden Sie unter [1].
Reputation sichern
Bis hierhin haben wir uns über die eingehende Abwehr von Spam und Malware gekümmert, doch geht das Thema E-Mail-Sicherheit über die eigenen Infrastrukturgrenzen hinaus. Kein Unternehmen möchte, dass sich von seiner E-Mail-Domäne aus bösartige Nachrichten versenden lassen, doch ausschließen können Administratoren entsprechende Versuche von Angreifern nicht. Verfahren in Sachen Sender- und Empfängerreputation gibt es seit Jahren, doch ist die Nutzung in Firmen noch nicht sehr häufig. Durch immer neue und intelligentere Bedrohungen, die in vielen Fällen per E-Mail ihren Weg in die Unternehmen finden, gilt es hier aufzuklären. Denn mit verhältnismäßig geringen Mitteln lässt sich eine wesentlich höhere Sicherheit erreichen.
Dabei gilt es vor allem festzustellen, ob eine E-Mail von dem Absender stammt, von dem sie zu kommen scheint. Darüber hinaus muss die IT herausfinden, ob der sendende Server wirklich berechtigt ist, von dieser Domäne Nachrichten zu schicken. Möglich wird das durch spezielle Methoden der Absenderidentifizierung, die zu Standardinstrumenten der E-Mail-Sicherheit gehören: SPF, DKIM und DMARC. Mit DANE kommt noch eine Möglichkeit zur Validierung des Empfängers hinzu.
Bei allen Verfahren veröffentlichen Sie Informationen, die externen Kommunikationspartnern zur Verfügung gestellt werden. Auf diesem Weg kann zum einen Ihr Partner zweifelsfrei feststellen, ob eine E-Mail tatsächlich von Ihnen kommt, und zum anderen steigt Ihre eigene Reputation.
Während SPF, DKIM und DMARC schnell einzurichten sind, ist die Voraussetzung von DANE (DNS-based Authentication of Named Entities) wesentlich umfangreicher. DANE verknüpft das Zertifikat mit dem Domänenamen. Der Grundschutz mittels einer Transportverschlüsselung (TLS) verhindert nur das Mithören und mit DANE erweitern Sie diese um eine sichere Identifizierungsfunktion. DANE benötigt zwingend DNSSEC und das Veröffentlichen zusätzlicher Informationen im DNS über einen TLSA-Record. Aufgrund der schnellen Einrichtung konzentrieren wir uns im Folgenden auf die Verfahren SPF, DKIM und DMARC.
SPF als erster Schritt
Das Sender Policy Framework (SPF) ist eine einfache Methode, um gefälschte Absender zur identifizieren und zu blockieren. SPF geht von der Annahme aus, dass alle E-Mails einer Senderdomäne von autorisierten Mailservern versendet werden. Um die Mailserver zu autorisieren, hinterlegen Sie in der DNS-Zone ein TXT-Record als SPF-Eintrag. In diesem sind IP-Einträge, A-Records oder MX- Records gespeichert, über die der Versand erfolgt. In folgendem Beispiel darf somit nur der Server von der angegebenen IP- Adresse autorisiert E-Mails versenden:
v=spf1 ip4: 194.59.16.20 -all
Der empfangende Mailserver kann nun im DNS prüfen, ob der sendende Server berechtigt ist, E-Mails zu versenden. Dabei werden bei jedem Verbindungsaufbau die Domänenangaben des Sendeservers ausgelesen und zusammen mit der Absenderadresse verifiziert. Server, für die es keinen Eintrag gibt, sind nicht autorisiert, im Namen der angegebenen Absenderdomäne Nachrichten zu versenden. Wie der Empfangsserver mit dem Fehler umgehen soll, beschreiben wir im Laufe des Workshops unter dem Punkt DMARC ausführlicher.
Im DNS-Eintrag ist auch eine Anweisung für empfangende Server hinterlegt, die bestimmt, wie diese verfahren sollen, wenn E-Mails von unautorisierten Servern eintreffen. Dabei stehen "Hard Fail (-all)", "Soft Fail (~all)" und "Neutral (?all)" zur Auswahl. Bei einem Hard Fail sollen E-Mails direkt abgelehnt werden, während ein Soft Fail noch andere Kriterien zur Bewertung heranzieht. Neutral weist den Empfangsserver an, E-Mails ebenfalls anzunehmen, was die SPF-Funktion mit dieser Einstellung aushebelt. Bei SPF ist zudem darauf zu achten, dass E-Mails oft von verschiedenen Servern stammen, wie zum Beispiel Massenmailern oder der eigenen Homepage, die Sie ebenfalls autorisieren müssen.
Die aktuellen Settings Ihrer Domäne prüfen Sie am besten mit einem der vielen Onlinetools, etwa auf der Webseite von MXToolBox [2]. An gleicher Stelle finden Sie einen SPF-Wizard, der Sie bei der Erstellung eines korrekten Eintrags unterstützt. Sofern Sie Microsoft 365 nutzen, erhalten Sie bei der Domänenkonfiguration automatisch einen SPF-Eintrag angezeigt. Diesen müssen Sie gegebenenfalls noch um zusätzliche Server ergänzen, falls Sie nicht ausschließlich über Microsoft 365 senden.
DKIM stellt Authentizität her
DKIM (DomainKeys Identified Mail) ist ein Verfahren, um die Authentizität einer E-Mail festzustellen. Dabei erzeugt der sendende Server die Prüfsummen des Bodys und des Headers und legt diese im Header einer E-Mail mit einem privaten Schlüssel ab. Der empfangende Server berechnet die Prüfsummen ebenfalls und vergleicht diese mit dem Eintrag. Hierfür nutzt er den öffentlichen Schlüssel, um sicherzustellen, dass der Header-Eintrag von einem gültigen Server stammt. Sind die Werte identisch, gilt die E-Mail als unverfälscht und bedenkenlos zustellbar. Wurde die Nachricht nach dem Absenden verändert, ist die Signatur nicht stimmig und die Manipulation ersichtlich.
Im Unterschied zu SPF kommt bei DKIM die Absenderdomäne aus dem "Body from" der E-Mail zum Tragen. Nutzen Sie sowohl SPF als auch DKIM, werden die Umschlagsadresse aus der SMTP-Kommunikation sowie die Adresse aus dem Nachrichtenkopf geprüft. Gängige E-Mail-Programme zeigen lediglich die "Body from"-Adresse einer E-Mail an und Empfänger lassen sich so leicht täuschen. Diesen Umstand machen sich beispielsweise Angreifer zunutze, die einem Unternehmen mit der Chef-Betrugsmasche, meist als CEO-Fraud bezeichnet, angreifen.
Um DKIM zu nutzen, benötigen Sie zunächst ein Schlüsselpaar bestehend aus einem privaten und einem öffentlichen Schlüssel. Nutzen Sie Exchange Online, übernimmt diesen Teil Microsoft für Sie und Sie müssen nur die DNS-Einträge veröffentlichen und DKIM aktivieren.
Erstellen Sie im DNS zunächst zwei "cname Selector"-Einträge. Der Name des Eintrags lautet "Keyselector" und auf diesen wird im Header einer E-Mail hingewiesen, sodass der richtige Schlüssel auffindbar ist. Das Ziel dieses Eintrags ist dynamisch auf Ihre Subskription bezogen und beinhaltet sowohl einen Hinweis zur E-Mail-Domäne als auch die Initialdomäne bei Microsoft:
Host name: selector1._domainkey
Value: selector1-domainGUID._domainkey.initialDomain
Eine genaue Beschreibung zu den DNS-Einträgen finden Sie unter [3]. Prüfen können Sie den Eintrag im Anschluss wieder mit MXToolBox. Sind die DNS-Einträge gesetzt, aktivieren Sie im Anschluss DKIM über Microsoft Defender in den E-Mail-Authentifizierungseinstellungen für die entsprechende Domäne. Die Konfiguration gestaltet sich in Exchange Online somit sehr einfach und es ist bereits fast alles vorbereitet.
In einer lokalen Exchange-Umgebung müssen Sie ein paar Schritte mehr gehen. Zu beachten ist, dass Exchange selbst kein DKIM unterstützt und die Header-Ergänzung durch Zusatzsoftware oder eigene Appliances erfolgt. Oft ist diese Funktion in den E-Mail-Sicherheitstools der verschiedenen Anbieter integriert. Der private Schlüssel muss in Ihrem Security-Werkzeug hinterlegt und DKIM konfiguriert sein, damit bei ausgehenden E-Mails der Hash gebildet wird.
Um bei Exchange Online oder in einer lokalen Umgebung nun die Header-Erweiterung einer E-Mail zu testen, senden Sie eine E-Mail an die Adresse "check-auth@ verifier.port25.com". Als Antwort erhalten Sie einen ausführlichen Report mit einem Hinweis zur Nutzung von DKIM.
Missbrauch mit DMARC vorbeugen
DMARC (Domain-based Message Authentication, Reporting and Conformance) ist kein eigenständiges Sicherheitsfeature, sondern baut auf SPF und DKIM auf. SPF und DKIM geben nämlich keinen Aufschluss darüber, wie mit einer fehlgeschlagenen Prüfung weiter umzugehen ist. Diese Lücke schließt DMARC.
Das Verfahren hilft, die eigene Domäne zu schützen, indem Sie veröffentlichen, wie der Empfänger einer E-Mail den Domäneninhaber bei Missbrauch informieren soll. Mit DKIM findet also keine zusätzliche Prüfung über SPF und DKIM hinaus statt, sondern es definiert Statusmeldungen und Zusammenfassungen. Dabei zeigt sich, dass Domänen mit DMARC-Einstellungen seltener Opfer von Phishing-Angriffen werden.
Voraussetzung für DMARC ist, dass sowohl SPF als auch DKIM korrekt eingerichtet sind. Zur Nutzung veröffentlichen Sie wieder einen TXT-Eintrag im DNS. Dieser enthält die DMARC-Einstellungen mit den folgenden Möglichkeiten:
- v: Kennzeichnet die aktuelle Version 1.
- p: Definiert, wie der Empfänger mit E-Mails umgehen soll, die sich nicht korrekt mit SPF oder DKIM überprüfen ließen. Zur Wahl stehen "none", "quarantine" und "reject".
- pct: Beschreibt den Prozentsatz der E-Mails, die von "p" gefiltert werden.
- rua: An diese Adresse geht ein Summenbericht, was in der Regel einmal täglich erfolgt.
- ruf: An diese Adresse sendet der Empfänger einen forensischen Report über die fehlerhafte E-Mail.
- adkim: Hier definieren Sie, wie restriktiv die DKIM-Prüfung vorgeht. Bei "s" (=strict) muss die Domäne genau übereinstimmen, während bei "r" (relaxed) auch Subdomänen gestattet sind.
- aspf: Hier definieren Sie, vergleichbar zu adkim, wie restriktiv die SPF-Prüfung ausfällt.
Mit folgendem Beispiel senden Sie lediglich eine Zusammenfassung und der Empfänger soll dabei E-Mails zunächst , unabhängig vom Testergebnis, weiter annehmen:
v=DMARC1; p=none; pct=100; rua=mailto:re+yiboodjkljg@dmarc. postmarkapp.com; sp=none; aspf=r;
Besonders für die ersten Schritte mit DMARC wählen Sie zunächst die Aktion "p=none", um sich mit den Meldungen in Ruhe zu beschäftigen. Damit Sie den Eintrag nicht manuell erstellen müssen, gibt es wieder einige Wizards, die Sie dabei unterstützen [4]. Die Einstellungen testen Sie erneut mit MXToolBox.
Die definierten Reporte kommen klassischerweise in einzelnen E-Mails mit einer XML-Anlage. Die Auswertung kann unter Umständen etwas Zeit in Anspruch nehmen. Hier haben sich einige Anbieter dem Thema angenommen und die Berichte lassen sich an diese direkt senden oder einfach weiterleiten. Die Dienstleister bereiten die Daten auf und Sie bekommen schnell einen guten Überblick. An dieser Stelle sei exemplarisch auf den kostenlosen Service von Postmark [5] verwiesen.
Wie schon erwähnt, stellen Sie durch diese Schutzmaßnahmen sicher, dass die Envelope-Sender-Adresse mit der "Body from"-Adresse einer E-Mail übereinstimmt. Zu beachten ist, dass DMARC über das Reporting gegebenenfalls vertrauliche Daten weitergibt, weshalb nicht alle Funktionen mit der EU-Datenschutz-Grundverordnung vereinbar sind. So sind aggregierte Reports (rua) bezogen auf ihre Versand-IP bedenklich, während Failure Reports (ruf) eine Vielzahl personenbezogener Daten enthalten und von der Nutzung abzuraten ist.
Eine Empfehlung zur Vereinbarkeit von DMARC mit der EU- Datenschutz-Grundverordnung hat die eco-Kompetenzgruppe E-Mail unter [6] veröffentlicht.
Fazit
E-Mails stellen ein zentrales Einfallstor für Cyberattacken dar. Phishing- und Virennachrichten sehen oft täuschend echt aus und lassen sich von Mitarbeitern nur schwer von seriösen E-Mails unterscheiden. Microsoft bietet mit seinen Antispam- und Antimalware-Funktionen einen Schutz, der mit Office 365 Advanced Threat Protection auch eine Alternative zur selbst gehosteten Lösung darstellt. Mit den vorgestellten Features SPF, DKIM und DMAC sichern Sie Ihre Domäne zusätzlich ab. Vergessen Sie nicht, diese Funktionen selbst zu nutzen, wenn Sie E-Mails annehmen. Je mehr Filter Sie einsetzen, desto besser lassen sich SPAM und Co. frühzeitig aussortieren.
(ln)
Link-Codes
[1] Exchange Online Protection lokal nutzen: https://learn.microsoft.com/de-de/exchange/standalone-eop/standalone-eop
[2] MXToolBox: https://mxtoolbox.com/
[3] Einrichten von DKIM in Microsoft 365: https://learn.microsoft.com/de-de/defender-office-365/email-authentication-dkim-configure
[4] DMARC Deployment Tools: https://dmarc.org/resources/deployment-tools/
[5] DMARC monitoren mit Postmark: https://dmarc.postmarkapp.com/
[6] Gutachten zur Vereinbarkeit von DMARC mit der DSGVO (PDF): https://certified-senders.org/wp-content/uploads/2018/08/Gutachten_DMARC_und_DSGVO.pdf