SPF (Sender Policy Framework), DKIM (Domain Keys Identified Mail) und DMARC (Domain based Message Authentication, Reporting and Conformance) werden zur Prüfung von Emailnachrichten verwendet. In Kombination wird mit den drei Verfahren eine hohe Sicherheit in Bezug auf Echtheit des Absenders und Inhalt einer Email erreicht.
In dieser Anleitung wird SPF, DKIM und DMARC für Exchange Online eingerichtet.
Voraussetzungen und Lizenzierung
Folgende Voraussetzungen für die Konfiguration von SPF, DKIM und DMARC müssen erfüllt sein:
- eigene Maildomain
- Verwaltungszugriff auf den Public DNS der Maildomain
- Microsoft 365 Lizenzplan, der Exchange Online enthält
Eine Übersicht der Microsoft 365 Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden.
SPF (Sender Policy Framework)
SPF legt fest, welche IP Adressen Emails für eine Domain versenden dürfen. In der Praxis sind das oft IP-Adressen von Web- und Mailserver. Der empfangende Mailserver prüft anhand des SPF Records im DNS, ob der sendende Mailserver berechtigt ist, für die Domain Emails zu versenden. Liegt keine Berechtigung vor, wird die Email als Spam gekennzeichnet oder abgelehnt (abhängig von der Konfiguration des SPF Records).
Der SPF Record wird bei der Aktivierung der Domain in Microsoft 365 vorgegeben und überprüft. SPF ist also bereits aktiviert und es benötigt keine weiteren Tasks mehr dazu.
Der vorgegebene SPF Record lehnt alle Emails ab, welche nicht autorisiert sind (v=spf1 include:spf.protection.outlook.com -all).
Microsoft 365 Admin Center (https://admin.microsoft.com) > Settings > Domains > Domain auswählen > DNS records
SPF prüfen
Auf MXToolbox lässt sich der SPF Record überprüfen.
- MXToolbox SuperTool aufrufen
- Maildomain eingeben
- SPF Record Lookup auswählen
Sämtliche Tests müssen bestanden sein.
DKIM (Domain Keys Identified Mail)
DKIM signiert die Mail mit dem Private Key digital. Der Empfangsserver entschlüsselt diese digitale Signatur mit dem Public Key. Dadurch ist sichergestellt, dass die Email tatsächlich von einem autorisierten Server versendet und der Inhalt der Email nicht verändert wurde.
Die Konfiguration von DKIM erfolgt im Security Portal von Microsoft 365.
https://security.microsoft.com > Email & collaboration > Policies & rules > Threat policies > Email authentication settings
- DKIM auswählen
- Domain auswählen
Für die ausgewählte Domain sind noch keine DKIM Keys erstellt. Mit Create DKIM Keys werden diese generiert.
Nachdem die DKIM Keys erstellt sind, werden die notwendigen CNAME Records im DNS der Domain eröffnet. Es benötigt zwei CNAME Einträge:
selector1._domainkey
selector2._domainkey
Nachdem die neuen CNAME Records weltweit über die DNS propagiert wurden, lässt sich DKIM für die Domain in Microsoft 365 aktivieren. Die Propagation prüft man mit dnschecker.org.
https://security.microsoft.com > Email & collaboration > Policies & rules > Threat policies > Email authentication settings > Domain auswählen > Toggle aktivieren
Microsoft 365 prüft nun die notwendigen CNAME Records im DNS und aktiviert danach DKIM.
DKIM prüfen
Die Webseite https://dkimvalidator.com/ stellt kostenlos ein Tools für die Prüfung von DKIM zu Verfügung. Für die Prüfung versendet man ein Email. Beim Aufruf der Webseite https://dkimvalidator.com/ erhält man die dafür notwendige, zufällig generierte Empfängeradresse für die Validierung der eigenen DKIM Konfiguration.
An die zufällige Empfängeradresse muss ein Test Email von der Mail Domain mit der DKIM Konfiguration gesendet werden.
Ein paar Minuten nach dem Versand der Email auf dkimvalidator.com die Prüfung der DKIM Konfiguration mit View Results starten.
Die Prüfung muss den folgenden Test erfolgreich durchlaufen.
DKIM Signature
result = pass
DMARC (Domain based Message Authentication, Reporting and Conformance)
DMARC legt fest, wie mit Mails, welche die Anforderungen an SPF oder DKIM nicht erfüllen, umgegangen werden soll. Ein Domaininhaber kann damit die Emails seiner Domain überwachen und sicherstellen, dass eine Emailnachricht tatsächlich von der angegebenen Domain stammt. Die Konfiguration und Aktivierung von DMARC erfolgt mit einem TXT Record im DNS.
Der DMARC Generator von MXToolbox erstellt den TXT Record für den DNS der Domain.
- Webseite https://mxtoolbox.com/dmarcrecordgenerator.aspx öffnen
- Domain eingeben
Folgende Optionen für DMARC können den eigenen Bedürfnissen angepasst werden.
- None
Dies ist der Beobachtungsmodus. Emails werden überwacht und Berichte erstellt. Der Server lehnt keine Emails ab oder verschiebt diese in den Spam Ordner. Dies ist die empfohlene Einstellung, um mit DMARC zu beginnen.
Quarantine
Emails, welche die SPF- oder DKIM Prüfung nicht bestanden haben, werden in die Quarantäne verschoben. Durch diese Einstellung können auch legitime Emails betroffen und unter Quarantäne gestellt werden (False/Positive). Mit der Angabe eines Prozentsatzes wird festgelegt, wie dieses Verhältnis ist. Ohne den Parameter p= wird DMARC 100% der Emails, welche die Quarantine Prüfung nicht bestehen, unter Quarantäne stellen. In der Praxis ist dies nicht sinnvoll, ein Wert von 10% ist empfohlen.
Reject
Der Mailserver lehnt Emails, welche die SPF- oder DKIM Prüfung nicht bestanden haben, ab.
Durch diese Einstellung können auch legitime Emails betroffen und unter Quarantäne gestellt werden (False/Positive). Mit der Angabe eines Prozentsatzes wird festgelegt, wie dieses Verhältnis ist. Ohne den Parameter p= wird DMARC 100% der Emails, welche die Prüfung nicht bestehen, ablehnen. In der Praxis ist dies nicht sinnvoll, ein Wert von 10% ist empfohlen. Dadurch werden Emails, die die Prüfung nicht bestehen, zu 90% unter Quarantäne gestellt und 10% vom Server beim Empfang abgelehnt. - Emailadresse, an welche DMARC Berichte mit RUA Informationen gesendet werden. RUA sind Berichte mit Informationen über Emails, welche SPF-, DKIM- und DMARC-Prüfung bestanden haben und welche nicht.
- Emailadresse, an welche DMARC Berichte mit RUF Informationen gesendet werden.
RUF Berichte haben eine gewisse Ähnlichkeit mit RUA. Die Berichte enthalten ebenfalls Informationen über die SPF-, DKIM und DMARC-Prüfung, jedoch mit detaillierten Diagnoseinformationen, welche unterstützend bei der Behebung der Quellursache nützlich sind.
Der Generator zeigt nun den fertigen DNS Eintrag an. Im DNS wird der Eintrag als TXT Record publiziert.
DMARC prüfen (…und auch gleich SPF und DKIM)
Für die Überprüfung der Konfiguration von SPF, DKIM und DMARC eignen sich beispielsweise die Dienste der Webseiten Campaign Cleaner oder DMARC Tester. Die folgenden Tests werden dort angeboten.
campaigncleaner.com
Die Webseite campaigncleaner.com bietet verschiedene Tools zur Analyse und Verbesserung der E-Mail-Zustellung an. Unter anderem wird mit dem Mail Tester (https://campaigncleaner.com/tools/mail-tester) geprüft, ob SPF, DKIM und DMARC korrekt konfiguriert sind. Der Test erfolgt in nur wenigen einfachen Schritten.
Zufällig generierte Emailadresse kopieren.
Eine E-Mail aus der gerade konfigurierten Maildomain an die zufällig generierte Adresse senden.
Nachdem die E-Mail versendet wurde, auf Then Check Your Results klicken.
Der Test wird jetzt gestartet.
Nach kurzer Zeit wird das Testergebnis angezeigt.
dmarctester.com
Die Webseite https://www.dmarctester.com/ prüft SPF, DKIM und DMARC automatisch. Nach dem Versand einer Email an eine zufällig generierte Emailadresse startet der Test automatisch.
Der vollständige DMARC Test startet automatisch.
Der Test läuft in folgenden Schritte ab:
- SPF Record Test
- DKIM Test
- DMARC Test
Der Test gilt als erfolgreich abgeschlossen, wenn am Ende DMARC Result PASS ausgegeben wird.
DMARC Report auswerten
Report manuell auswerten
Mailanbieter senden regelmässig DMARC Berichte an die angegebene Emailadresse im DNS Record.
Die Berichte im XML Format können über MXToolbox ausgewertet werden.
- https://mxtoolbox.com/DmarcReportAnalyzer.aspx öffnen
- XML Bericht hochladen
Aufgrund des Reports können jetzt weitere Schritte zur Absicherung der Emailkommunikation der Domain eingeleitet werden.
Eine weitere kostenlose Alternative für die Auswertung der DMARC Berichte bietet DMARC Analyzer – DMARC Advisor.
Report automatisiert auswerten
Wer die DMARC Auswertungen automatisiert haben möchte, dem ist ein Besuch bei https://www.valimail.com/ empfohlen.
Wiederkehrende Aufgaben und bewährte Methoden
DKIM Schlüssel rotieren
DKIM Schlüssel sollten regelmässig rotiert werden um das Risiko zu verringern, dass diese kompromittiert sind. Nach folgenden Ereignissen ist die Rotation der DKIM Schlüssel empfohlen:
- Lebensdauer des aktuellen DKIM Schlüssels ist grösser als 6 Monate
- Auf die Domain wurde eine Cyber Attacke ausgeführt
- Nach einem Datendiebstahl
Die Rotation des DKIM Schüssel in Microsoft 365 ist mit kleinem Aufwand ausgeführt:
https://security.microsoft.com > Email & collaboration > Policies & rules > Threat policies > Email authentication settings
- DKIM auswählen
- Domain auswählen
Rotate DKIM keys anklicken
Während die DKIM Schlüssel rotiert werden, erscheint der Status Rotating keys for this domain and signing DKIM signatures
Nach Ablauf von 96 Stunden (4 Tagen) beginnt der neue DKIM-Schlüssel ausgehende Nachrichten für die benutzerdefinierte Domäne zu signieren. Bis dahin bleibt der aktuelle DKIM-Schlüssel in Verwendung.
Folge mir auf LinkedIn und BlueSky, um stets über meine neuesten Beiträge auf dem Laufenden zu bleiben.
War dieser Beitrag hilfreich für dich? Zeige deine Begeisterung mit dem herrlichen Aroma eines frisch gebrühten Kaffees für mich!