Einrichten von SPF, DKIM und DMARC in Exchange Online

SPF (Sender Policy Framework), DKIM (Domain Keys Identified Mail) und DMARC (Domain based Message Authentication, Reporting and Conformance) werden zur Prüfung von Emailnachrichten verwendet. In Kombination wird mit den drei Verfahren eine hohe Sicherheit in Bezug auf Echtheit des Absenders und Inhalt einer Email erreicht.

In dieser Anleitung wird SPF, DKIM und DMARC für Exchange Online eingerichtet.

Voraussetzungen und Lizenzierung

Folgende Voraussetzungen für die Konfiguration von SPF, DKIM und DMARC müssen erfüllt sein:

1. eigene Maildomain
2. Verwaltungszugriff auf den Public DNS der Maildomain
3. Microsoft 365 Lizenzplan, der Exchange Online enthält

Eine Übersicht der Microsoft 365 Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden.

SPF (Sender Policy Framework)

SPF legt fest, welche IP Adressen Emails für eine Domain versenden dürfen. In der Praxis sind das oft IP-Adressen von Web- und Mailserver. Der empfangende Mailserver prüft anhand des SPF Records im DNS, ob der sendende Mailserver berechtigt ist, für die Domain Emails zu versenden. Liegt keine Berechtigung vor, wird die Email als Spam gekennzeichnet oder abgelehnt (abhängig von der Konfiguration des SPF Records).

Der SPF Record wird bei der Aktivierung der Domain in Microsoft 365 vorgegeben und überprüft. SPF ist also bereits aktiviert und es benötigt keine weiteren Tasks mehr dazu.
Der vorgegebene SPF Record lehnt alle Emails ab, welche nicht autorisiert sind (v=spf1 include:spf.protection.outlook.com -all).

SPF prüfen

Auf MXToolbox lässt sich der SPF Record überprüfen.

1. MXToolbox SuperTool aufrufen
2. Maildomain eingeben
3. SPF Record Lookup auswählen

Sämtliche Tests müssen bestanden sein.

DKIM (Domain Keys Identified Mail)

DKIM signiert die Mail mit dem Private Key digital. Der Empfangsserver entschlüsselt diese digitale Signatur mit dem Public Key. Dadurch ist sichergestellt, dass die Email tatsächlich von einem autorisierten Server versendet und der Inhalt der Email nicht verändert wurde.

Die Konfiguration von DKIM erfolgt Security Portal von Microsoft 365.

https://security.microsoft.com > Policies & rules > Threat policies > Email authentication settings

1. DKIM auswählen
2. Domain auswählen

Für die ausgewählte Domain sind noch keine DKIM Keys erstellt. Mit Create DKIM Keys werden diese generiert.

Nachdem die DKIM Keys erstellt sind, werden die notwendigen CNAME Records im DNS der Domain eröffnet. Es benötigt zwei CNAME Einträge:

selector1._domainkey
selector2._domainkey

Nachdem die neuen CNAME Records weltweit über die DNS propagiert wurden, lässt sich DKIM für die Domain in Microsoft 365 aktivieren. Die Propagation prüft man mit dnschecker.org.

https://security.microsoft.com > Policies & rules > Threat policies > Email authentication settings > Domain auswählen > Toggle aktivieren

Microsoft 365 prüft nun die notwendigen CNAME Records im DNS und aktiviert danach DKIM.

DKIM prüfen

Die Webseite https://dkimvalidator.com/ stellt kostenlos ein Tools für die Prüfung von DKIM zu Verfügung. Für die Prüfung versendet man ein Email. Beim Aufruf der Webseite https://dkimvalidator.com/ erhält man die dafür notwendige, zufällig generierte Empfängeradresse für die Validierung der eigenen DKIM Konfiguration.

An die zufällige Empfängeradresse muss ein Test Email von der Mail Domain mit der DKIM Konfiguration gesendet werden.

Ein paar Minuten nach dem Versand der Email auf dkimvalidator.com die Prüfung der DKIM Konfiguration mit View Results starten.

Die Prüfung muss den folgenden Test erfolgreich durchlaufen.

DKIM Signatur
result = pass

DMARC (Domain based Message Authentication, Reporting and Conformance)

DMARC legt fest, wie mit Mails, welche die Anforderungen an SPF oder DKIM nicht erfüllen, umgegangen werden soll. Ein Domaininhaber kann damit die Emails seiner Domain überwachen und sicherstellen, dass eine Emailnachricht tatsächlich von der angegebenen Domain stammt. Die Konfiguration und Aktivierung von DMARC erfolgt mit einem TXT Record im DNS.

Der DMARC Generator von MXToolbox erstellt den TXT Record für den DNS der Domain.

1. Webseite https://mxtoolbox.com/dmarcrecordgenerator.aspx öffnen
2. Domain eingeben

Folgende Optionen für DMARC können den eigenen Bedürfnissen angepasst werden.

1. None
   Dies ist der Beobachtungsmodus. Emails werden überwacht und Berichte erstellt. Der Server lehnt keine Emails ab oder verschiebt diese in den Spam Ordner. Dies ist die empfohlene Einstellung, um mit DMARC zu beginnen.
   
   Quarantine
   Emails, welche die SPF- oder DKIM Prüfung nicht bestanden haben, werden in die Quarantäne verschoben. Durch diese Einstellung können auch legitime Emails betroffen und unter Quarantäne gestellt werden (False/Positive). Mit der Angabe eines Prozentsatzes wird festgelegt, wie dieses Verhältnis ist. Ohne den Parameter p= wird DMARC 100% der Emails, welche die Quarantine Prüfung nicht bestehen, unter Quarantäne stellen. In der Praxis ist dies nicht sinnvoll, ein Wert von 10% ist empfohlen.
   
   Reject
   Der Mailserver lehnt Emails, welche die SPF- oder DKIM Prüfung nicht bestanden haben, ab.
   Durch diese Einstellung können auch legitime Emails betroffen und unter Quarantäne gestellt werden (False/Positive). Mit der Angabe eines Prozentsatzes wird festgelegt, wie dieses Verhältnis ist. Ohne den Parameter p= wird DMARC 100% der Emails, welche die Prüfung nicht bestehen, ablehnen. In der Praxis ist dies nicht sinnvoll, ein Wert von 10% ist empfohlen. Dadurch werden Emails, die die Prüfung nicht bestehen, zu 90% unter Quarantäne gestellt und 10% vom Server beim Empfang abgelehnt.
   
2. Emailadresse, an welche DMARC Berichte mit RUA Informationen gesendet werden. RUA sind Berichte mit Informationen über Emails, welche SPF-, DKIM- und DMARC-Prüfung bestanden haben und welche nicht.
3. Emailadresse, an welche DMARC Berichte mit RUF Informationen gesendet werden.
   RUF Berichte haben eine gewisse Ähnlichkeit mit RUA. Die Berichte enthalten ebenfalls Informationen über die SPF-, DKIM und DMARC-Prüfung, jedoch mit detaillierten Diagnoseinformationen, welche unterstützend bei der Behebung der Quellursache nützlich sind.

Der Generator zeigt nun den fertigen DNS Eintrag an. Im DNS wird der Eintrag als TXT Record publiziert.

DMARC prüfen

Die Webseite https://www.dmarctester.com/ prüft DMARC automatisch. Nach dem Versand einer Email an eine zufällig generierte Emailadresse startet der Test automatisch.

Der vollständige DMARC Test startet automatisch.
Der Test läuft in folgenden Schritte ab:

1. SPF Record Test
2. DKIM Test
3. DMARC Test

Der Test gilt als erfolgreich abgeschlossen, wenn am Ende DMARC Result PASS ausgegeben wird.

DMARC Report auswerten

Report manuell auswerten

Mailanbieter senden regelmässig DMARC Berichte an die angegebene Emailadresse im DNS Record.
Die Berichte im XML Format können über MXToolbox ausgewertet werden.

1. https://mxtoolbox.com/DmarcReportAnalyzer.aspx öffnen
2. XML Bericht hochladen

Aufgrund des Reports können jetzt weitere Schritte zur Absicherung der Emailkommunikation der Domain eingeleitet werden.

Eine weitere kostenlose Alternative für die Auswertung der DMARC Berichte bietet DMARC Analyzer – DMARC Advisor.

Report automatisiert auswerten

Wer die DMARC Auswertungen automatisiert haben möchte, dem ist ein Besuch bei https://www.valimail.com/ empfohlen.

Wiederkehrende Aufgaben und bewährte Methoden

DKIM Schlüssel rotieren

DKIM Schlüssel sollten regelmässig rotiert werden um das Risiko zu verringern, dass diese kompromittiert sind. Nach folgenden Ereignissen ist die Rotation der DKIM Schlüssel empfohlen:

• Lebensdauer des aktuellen DKIM Schlüssels ist grösser als 6 Monate
• Auf die Domain wurde eine Cyber Attacke ausgeführt
• Nach einem Datendiebstahl

Die Rotation des DKIM Schüssel in Microsoft 365 ist mit kleinem Aufwand ausgeführt:

https://security.microsoft.com > Policies & rules > Threat policies > Email authentication settings

1. DKIM auswählen
2. Domain auswählen

Rotate DKIM keys anklicken

Während die DKIM Schlüssel rotiert werden, erscheint der Status Rotating keys for this domain and signing DKIM signatures

Die DKIM Schlüssel sind nach einiger Zeit erfolgreich rotiert.

Folge mir auf LinkedIn und lasse Dich über meine aktuellen Beiträge informieren.

Auf LinkedIn folgen

War dieser Beitrag hilfreich für dich? Zeige deine Begeisterung mit dem herrlichen Duft eines frisch gebrühten Kaffees!