Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält die bewährten Methoden für das Senden von E-Mails in DNS-Einträgen und die Verwendung der Methoden zur Absenderauthentifizierung, die verhindern, dass Angreifer Nachrichten senden, die wie aus Ihrer Domäne stammen.
E-Mail-Authentifizierung und DNS-Einrichtung
Das Senden einer E-Mail erfordert mehrere Schritte, einschließlich der Überprüfung, ob der Absender der E-Mail tatsächlich der Besitzer der Domäne ist, die Überprüfung des Domänenreputs, die Virenüberprüfung, das Filtern nach Spam, Phishingversuchen, Schadsoftware usw. Das Konfigurieren der richtigen E-Mail-Authentifizierung ist ein grundlegendes Prinzip für die Vertrauensstellung in E-Mails und zum Schutz des Rufs Ihrer Domäne. Wenn eine E-Mail die Authentifizierungsprüfungen besteht, kann die empfangende Domäne Richtlinien auf diese E-Mail anwenden, entsprechend der Reputation, die bereits für die Identitäten festgelegt wurde, die diesen Authentifizierungsprüfungen zugeordnet sind. Der Empfänger kann sicher sein, dass diese Identitäten gültig sind.
MX-Eintrag (Mail Exchange)
Der MX-Eintrag (Mail Exchange) wird verwendet, um E-Mails an den richtigen Server weiterzuleiten. Er gibt den E-Mail-Server an, der für die Annahme von E-Mail-Nachrichten im Auftrag Ihrer Domäne verantwortlich ist. DNS muss mit den neuesten Informationen zu MX-Einträgen Ihrer E-Mail-Domäne aktualisiert werden, andernfalls führt es zu Zustellungsfehlern.
SPF (Sender Policy Framework)
SPF RFC 7208 ist ein Mechanismus, mit dem Domänenbesitzer über einen standardmäßigen DNS TXT-Eintrag eine Liste der Systeme veröffentlichen und verwalten können, die zum Senden von E-Mails in ihrem Auftrag autorisiert sind. Dieser Eintrag wird verwendet, um anzugeben, welche E-Mail-Server berechtigt sind, E-Mails im Auftrag Ihrer Domäne zu senden. Es hilft, E-Mail-Spoofing zu verhindern und die E-Mail-Zustellbarkeit zu erhöhen.
DKIM (DomainKeys Identified Mail, auf Deutsch: Domain-Schlüssel identifizierte Mail)
DKIM RFC 6376 ermöglicht es einer Organisation, die Verantwortung für die Übertragung einer Nachricht in einer Weise geltend zu machen, die der Empfänger überprüfen kann. Dieser Eintrag wird auch verwendet, um die Domäne zu authentifizieren, von der die E-Mail gesendet wird, und hilft, E-Mail-Spoofing zu verhindern und die E-Mail-Zustellbarkeit zu erhöhen.
DMARC (domänenbasierte Nachrichtenauthentifizierung, Berichterstellung und Konformität)
DMARC RFC 7489 ist ein skalierbarer Mechanismus, mit dem eine E-Mail-ursprungsorganisation Richtlinien und Einstellungen auf Domänenebene für die Nachrichtenüberprüfung, Löschung und Berichterstellung ausdrücken kann. E-Mail-Empfangende Organisationen können RFC 7489 verwenden, um die E-Mail-Behandlung zu verbessern. Sie können auch RFC 7489 verwenden, um anzugeben, wie E-Mail-Empfänger Nachrichten behandeln sollen, die SPF- und DKIM-Prüfungen nicht bestehen. Dies verbessert die E-Mail-Zustellbarkeit und trägt dazu bei, E-Mail-Spoofing zu verhindern.
ARC (Authentifizierte Empfangskette)
Das ARC-Protokoll RFC 8617 bietet eine authentifizierte Aufbewahrungskette für eine Nachricht, die es jeder Entität, die die Nachricht verarbeitet, ermöglicht, die Entitäten, die die Nachricht zuvor verarbeitet haben, sowie die Authentifizierungsbewertung der Nachricht bei jedem Hop zu bestimmen. ARC ist noch kein Internetstandard, aber die Akzeptanz nimmt zu.
Funktionsweise der E-Mail-Authentifizierung
Die E-Mail-Authentifizierung überprüft, ob E-Mail-Nachrichten von einem Absender (z. B. notification@contoso.com) legitim sind und aus den erwarteten Quellen für diese Domain stammen (z. B. contoso.com).
Eine E-Mail-Nachricht kann mehrere Absender- oder Absenderadressen enthalten. Diese Adressen werden für unterschiedliche Zwecke verwendet. Betrachten Sie beispielsweise die folgenden Adressen:
Die Mail-From-Adresse identifiziert den Absender und gibt an, wohin Rückmeldungen gesendet werden sollen, falls Probleme mit der Zustellung der Nachricht auftreten, wie zum Beispiel Benachrichtigungen über Nichtzustellung. Rückgabehinweise werden im Umschlagteil einer E-Mail-Nachricht angezeigt und nicht von Ihrer E-Mail-Anwendung angezeigt. Sie wird auch als 5321.MailFrom- oder Reverse-Path-Adresse bezeichnet.
Die „Von“-Adresse ist die Adresse, die in Ihrer E-Mail-Anwendung als Adresse in „Von“ angezeigt wird. Diese Adresse identifiziert den Autor der E-Mail. Das heißt, das Postfach der Person oder des Systems, die für das Schreiben der Nachricht verantwortlich ist. Sie wird auch als 5322.From-Adresse bezeichnet.
Sender Policy Framework (SPF) hilft bei der Überprüfung ausgehender E-Mails, die von Ihrer MAIL FROM-Domäne gesendet werden (von der Person stammen, die sie vorgibt zu sein).
DomainKeys Identified Mail (DKIM) trägt dazu bei, sicherzustellen, dass Ziel-E-Mail-Systeme nachrichten vertrauen, die von Ihrer Domäne ausgehend gesendet wurden.
Domänenbasierte Nachrichtenauthentifizierung, Berichterstellung und Konformität (DMARC) funktioniert mit Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) zur Authentifizierung von E-Mail-Absendern. Dieser Ansatz stellt sicher, dass Ziel-E-Mail-Systeme Nachrichten vertrauen, die von Ihrer Domäne gesendet werden.
Implementieren von DMARC
Die Implementierung von DMARC mit SPF und DKIM bietet umfassenden Schutz vor Spoofing- und Phishing-E-Mails. SPF verwendet einen DNS TXT-Eintrag, um eine Liste der autorisierten sendenden IP-Adressen für eine bestimmte Domäne bereitzustellen. Normalerweise werden SPF-Prüfungen nur für die 5321.MailFrom-Adresse ausgeführt. Dies bedeutet, dass die 5322.From-Adresse nicht authentifiziert wird, wenn Sie SPF selbst verwenden. Dies ermöglicht ein Szenario, in dem ein Benutzer eine Nachricht empfangen kann, die eine SPF-Prüfung besteht, aber eine manipulierte 5322.From-Absenderadresse aufweist.
Wie bei den DNS-Einträgen für SPF ist der Eintrag für DMARC ein DNS-Texteintrag (TXT), der Spoofing und Phishing verhindert. Sie veröffentlichen DMARC TXT-Einträge in DNS. DMARC TXT-Einträge überprüfen den Ursprung von E-Mail-Nachrichten, indem die IP-Adresse des Autors einer E-Mail gegen den angeblichen Besitzer der sendenden Domäne überprüft wird. Der DMARC TXT-Eintrag identifiziert autorisierte ausgehende E-Mail-Server. Ziel-E-Mail-Systeme können dann überprüfen, ob empfangene Nachrichten von autorisierten ausgehenden E-Mail-Servern stammen. Dadurch entsteht ein Konflikt zwischen den 5321.MailFrom- und 5322.From-Adressen in allen E-Mails, die von Ihrer Domäne gesendet werden, und DMARC schlägt für diese E-Mails fehl. Um dies zu vermeiden, müssen Sie DKIM für Ihre Domäne einrichten.
Mit einem DMARC-Richtlinieneintrag kann eine Domäne ankündigen, dass ihre E-Mails die Authentifizierung verwenden. Der Richtliniendatensatz stellt eine E-Mail-Adresse bereit, um Feedback zur Verwendung ihrer Domäne zu sammeln. Der Richtliniendatensatz gibt auch eine angeforderte Richtlinie für die Verarbeitung von Nachrichten an, die keine Authentifizierungsprüfungen bestehen. Es wird Folgendes empfohlen:
- Richtlinienanweisungen mit Domänen, die DMARC-Einträge veröffentlichen, sollten nach Möglichkeit „p=reject“ lauten, andernfalls „p=quarantine“.
- Behandeln Sie die Richtlinienaussage "p=none", "sp=none" und "pct<100" als Übergangszustände, mit dem Ziel, sie so schnell wie möglich zu entfernen.
- Alle veröffentlichten DMARC-Richtlinieneinträge sollten mindestens ein
rua-Tag enthalten, das auf ein Postfach für den Empfang von DMARC-Aggregatberichten verweist, und sollten beim Empfang von Berichten aufgrund von Datenschutzbedenken keine Antworten zurücksenden.
Nächste Schritte
Verwandte Artikel
- Machen Sie sich mit der E-Mail-Clientbibliothek vertraut.
- Wie können Sie E-Mails mit benutzerdefinierten überprüften Domänen senden? Fügen Sie benutzerdefinierte Domänen hinzu.
- Wie senden Sie E-Mails mit azure Managed Domains? Fügen Sie azure Managed Domains hinzu.