1. Home
  2. Wissensdatenbank
  3. Microsoft
  4. Exchange
  5. E-Mail Spoofing verhindern – SPF, DKIM und DMARC im Detail
  1. Home
  2. Wissensdatenbank
  3. Microsoft
  4. Microsoft Defender
  5. E-Mail Spoofing verhindern – SPF, DKIM und DMARC im Detail

E-Mail Spoofing verhindern – SPF, DKIM und DMARC im Detail

Mailspoofing stellt eine ernste Bedrohung in der digitalen Welt dar, die sowohl große Organisationen als auch Einzelpersonen betrifft. Wenn Angreifer in der Lage sind, die Absenderadresse in E-Mails zu fälschen, öffnen sie die Tür zu einer Vielzahl von betrügerischen Aktivitäten, einschließlich Phishing und Verbreitung von Malware. Um solche Angriffe abzuwehren und die Integrität der E-Mail-Kommunikation zu gewährleisten, sind robuste Authentifizierungs- und Validierungsmechanismen erforderlich. Hier kommen Technologien wie SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting, and Conformance) ins Spiel. Diese Technologien sind entscheidend, um Mailspoofing zu verhindern und eine sichere E-Mail-Umgebung zu schaffen. Darüber hinaus gibt es auch weitere Maßnahmen und Best Practices, die helfen können, die E-Mail-Sicherheit zu verbessern, besonders in Umgebungen wie Exchange Online und M365 Defender.

Tools wie „mxtoolbox.com“ können eine große Hilfe bei der Analyse der aktuellen Konfigurationen sein.

SPF (Sender Policy Framework):

Identifizierung der Mailserver: Zuerst musst du alle Mailserver identifizieren, die berechtigt sind, E-Mails für deine Domain zu senden. Dazu gehören deine primären und sekundären Mailserver sowie möglicherweise genutzte Drittanbieter-Dienste.

Erstellung des SPF-Datensatzes: Erstelle einen TXT-Datensatz in deiner DNS-Zone. Der Datensatz beginnt immer mit der Version (v=spf1), gefolgt von den IP-Adressen der autorisierten Mailserver und einer abschließenden Policy.

Beispiel:

v=spf1 ip4:203.0.113.42/24 ip4:198.51.100.123 a:mail.example.com -all

SPF Qualifiers: Mit Qualifiers kannst du angeben, wie Empfänger mit nicht übereinstimmenden E-Mails umgehen sollen:

  • + Pass (akzeptiert die E-Mail)
  • - Fail (lehnt die E-Mail ab)
  • ~ SoftFail (akzeptiert die E-Mail, aber markiert sie)
  • ? Neutral (keine Aktion)

SPF Mechanismen: Verwende verschiedene Mechanismen, um deine Mailserver zu spezifizieren:

  • ip4: oder ip6: für IP-Adressen
  • a: für DNS-Namen
  • mx: für Mail Exchanger
  • include: für andere Domains‘ SPF-Datensätze

Testen des SPF-Datensatzes: Nach der Veröffentlichung deines SPF-Datensatzes solltest du überprüfen, ob er korrekt funktioniert, indem du SPF-Validierungstools online nutzt.

DKIM (DomainKeys Identified Mail):

Erstellen eines Schlüsselpaares: Erstelle ein öffentlich-privates Schlüsselpaar mit einem DKIM-Schlüsselgenerator.

Veröffentlichen des öffentlichen Schlüssels: Der öffentliche Schlüssel wird in einem TXT-Datensatz in deiner DNS-Zone veröffentlicht. Der Datensatz wird mit einem Selector, der den Schlüssel identifiziert, und deiner Domain kombiniert.

Beispiel:

selector1._domainkey.example.com. 3600 IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBA..."

Konfigurieren des Mailservers: Konfiguriere deinen Mailserver so, dass er ausgehende E-Mails mit dem privaten Schlüssel signiert.

Testen der DKIM-Konfiguration: Sende Test-E-Mails und verwende DKIM-Validierungstools, um sicherzustellen, dass deine E-Mails korrekt signiert werden.

DMARC (Domain-based Message Authentication, Reporting, and Conformance):

Erstellen des DMARC-Datensatzes: Der DMARC-Datensatz wird als TXT-Datensatz in deiner DNS-Zone erstellt. Die DMARC-Policy legt fest, wie Empfänger nicht authentifizierte E-Mails behandeln sollen.

Beispiel:

_dmarc.example.com. 3600 IN TXT "v=DMARC1; p=reject; rua=mailto:[email protected]"

Wählen einer DMARC-Policy:

  • p=none für keine spezielle Behandlung
  • p=quarantine zum Markieren von E-Mails als Spam
  • p=reject zum Ablehnen nicht authentifizierter E-Mails

Berichterstattungsoptionen festlegen: Du kannst Berichterstattungsoptionen festlegen, um Feedback über die DMARC-Überprüfungen zu erhalten.

Testen der DMARC-Konfiguration: Sende Test-E-Mails und überprüfe die DMARC-Berichte, um sicherzustellen, dass deine Konfiguration korrekt ist.

Weitere Maßnahmen zur Verhinderung von Mailspoofing:

Neben SPF, DKIM und DMARC gibt es auch andere Maßnahmen, die du ergreifen kannst, um Mailspoofing zu verhindern:

  • Authentifizierte SMTP-Relays: Verwende authentifizierte SMTP-Relays, um sicherzustellen, dass nur autorisierte Benutzer und Systeme E-Mails senden können.
  • Regelmäßige Überprüfung von Mailserver-Konfigurationen: Überprüfe die Konfigurationen deiner Mailserver regelmäßig, um sicherzustellen, dass sie auf dem neuesten Stand der Sicherheits-bestpractices sind.
  • Schulung der Endbenutzer: Schulung der Benutzer in deinem Netzwerk über die Gefahren von Phishing und wie man verdächtige E-Mails erkennt.

Best Practices für Exchange Online und M365 Defender:

Konfiguration und Best Practices:

    1. Anti-Phishing-Richtlinie in Microsoft 365 Defender konfigurieren:
      • Lege eine Anti-Phishing-Richtlinie fest, die speziell auf deine Organisation zugeschnitten ist, um dich vor Phishing-Angriffen und Mailspoofing zu schützen. Gehe zu Microsoft 365-Sicherheitszentrum > Richtlinien & Regeln > Threat Policies > Anti-Phishing.
      • Du kannst auch benutzerdefinierte Domänen hinzufügen, die geschützt werden sollen, und die Aktionen konfigurieren, die bei erkannten Phishing-Versuchen unternommen werden sollen.
        1. Sicherheitsrichtlinien für E-Mail-Fluss in Exchange Online:
          • Erstelle Mailflussregeln (auch bekannt als Transportregeln), um die Zustellung von E-Mails zu steuern und potenzielle Spoofing-Versuche zu erkennen und zu blockieren. Gehe zu Exchange Admin Center > Mail Flow > Rules.
          • Diese Regeln können auf verschiedenen Kriterien basieren, einschließlich Absenderdomäne, IP-Adresse und bestimmten Inhalt innerhalb der E-Mail.
        2. Microsoft Threat Protection aktivieren:
          • Aktiviere Microsoft Threat Protection, um eine umfassende Sicht auf Bedrohungen über E-Mail, Identität und andere Vektoren hinweg zu erhalten. Gehe zu Microsoft 365 Sicherheitszentrum > Microsoft 365 Defender.
        3. Verbesserung der Benutzeraufklärung:
          • Stelle Schulungsmaterialien zur Verfügung und führe regelmäßige Phishing-Simulationen durch, um das Bewusstsein und die Erkennung von Phishing- und Spoofing-Versuchen zu verbessern. Du kannst das über Microsoft 365 Sicherheitszentrum > Angriffssimulator tun.
        4. Automatisierte Untersuchungen und Reaktionen:
          • Nutze die Funktionen für automatisierte Untersuchungen und Reaktionen in Microsoft 365, um auf verdächtige Aktivitäten zu reagieren und diese zu korrigieren, was die Zeitspanne zwischen der Entdeckung und der Behebung von Bedrohungen verringert. Gehe zu Microsoft 365 Sicherheitszentrum > Automatisierte Untersuchung & Reaktion.
        5. Office 365 Advanced Threat Protection (ATP) konfigurieren:
          • Konfiguriere Office 365 ATP-Richtlinien für den sicheren Anhang und sichere Links, um zusätzlichen Schutz vor schädlichen Anhängen und Links zu bieten. Du findest diese Optionen unter Microsoft 365 Sicherheitszentrum > Richtlinien & Regeln > Threat Policies > ATP Safe Attachments und ATP Safe Links.
        6. Berichterstattung und Analyse:
          • Nutze die Berichterstattungstools und das Dashboard in Exchange Online und Microsoft 365 Defender, um Einblicke in den E-Mail-Fluss, Phishing-Versuche und die Effektivität deiner Sicherheitsmaßnahmen zu erhalten. Gehe zu Microsoft 365 Sicherheitszentrum > Berichte.
        7. Externen E-Mail-Header analysieren:
          • Erkläre deinen Benutzern, wie sie E-Mail-Header analysieren können, um die ursprüngliche Quelle einer E-Mail zu überprüfen, und fördere die Verwendung des Berichterstattungstools für verdächtige Nachrichten in Outlook.

        Die konsequente Anwendung und Überprüfung dieser Best Practices sowie die Nutzung der integrierten Sicherheitsfunktionen von Exchange Online und Microsoft 365 Defender können erheblich dazu beitragen, das Risiko von Mailspoofing zu minimieren und die allgemeine E-Mail-Sicherheit zu verbessern.

Dieser Beitrag ist auch verfügbar auf: English (Englisch)

War dieser Artikel hilfreich?

Ähnliche Artikel

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Skip to content