Freigeben über


So überprüft EOP die From-Adresse, um Phishing zu verhindern

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.

Phishingangriffe stellen eine ständige Bedrohung für alle E-Mail-organization dar. Zusätzlich zur Verwendung gefälschter (gefälschter) Absender-E-Mail-Adressen verwenden Angreifer häufig Werte in der From-Adresse, die gegen Internetstandards verstoßen. Um diese Art von Phishing zu verhindern, erfordern Exchange Online Protection (EOP) und Outlook.com, dass eingehende Nachrichten eine RFC-kompatible From-Adresse enthalten, wie in diesem Artikel beschrieben.

  • Wenn Sie regelmäßig E-Mails von Organisationen erhalten, die wie in diesem Artikel beschrieben über falsch formatierte Von-Adressen verfügen, empfehlen Sie diesen Organisationen, ihre E-Mail-Server so zu aktualisieren, dass sie den modernen Sicherheitsstandards entsprechen.

  • Das zugehörige Absenderfeld (verwendet von "Im Auftrag senden" und "Adressenlisten") ist von diesen Anforderungen nicht betroffen. Weitere Informationen finden Sie im folgenden Blogbeitrag: Was bedeuten wir, wenn wir auf den "Absender" einer E-Mail verweisen?.

Übersicht über E-Mail-Nachrichtenstandards

Eine standardmäßige SMTP-E-Mail besteht aus einem Nachrichten-Envelope und dem Nachrichteninhalt. Der Nachrichtenumschlag enthält Informationen, die für die Übermittlung und Zustellung der Nachricht zwischen SMTP-Servern erforderlich sind. Der Nachrichteninhalt enthält Nachrichtenkopffelder (zusammenfassend als Nachrichtenkopf bezeichnet) sowie den Nachrichtentext. Der Nachrichtenumschlag wird in RFC 5321 und der Nachrichtenheader in RFC 5322 beschrieben. Empfänger bekommen den aktuellen Nachrichtenumschlag nicht angezeigt, da er vom Nachrichtenübermittlungsprozess generiert wird und nicht tatsächlicher Bestandteil der Nachricht ist.

  • Die MAIL FROM-Adresse (auch als 5321.MailFrom Adresse, P1-Absender oder Umschlagsender bezeichnet) ist die E-Mail-Adresse, die bei der SMTP-Übertragung der Nachricht verwendet wird. Diese E-Mail-Adresse wird in der Regel im Return-Path-Kopfzeilenfeld im Nachrichtenkopf aufgezeichnet (obwohl es möglich ist, dass der Absender eine andere Return-Path-E-Mail-Adresse angibt).

  • Die Von-Adresse (auch als 5322.From Adresse oder P2-Absender bezeichnet) ist die E-Mail-Adresse im Kopfzeilenfeld Von und ist die E-Mail-Adresse des Absenders, die in E-Mail-Clients angezeigt wird. Die Von-Adresse ist der Schwerpunkt der Anforderungen in diesem Artikel.

Die From-Adresse wird in mehreren RFCs detailliert definiert (z. B. RFC 5322 Abschnitte 3.2.3, 3.4 und 3.4.1 und RFC 3696). Es gibt viele Variationen in Bezug auf die Adressierung und das, was als gültig oder ungültig angesehen wird. Um dies einfach zu halten, empfehlen wir die folgenden Formate und Definitionen:

From: "Display Name" <EmailAddress>

  • Anzeigename: Ein optionaler Ausdruck, der den Besitzer der E-Mail-Adresse beschreibt.

    • Es wird empfohlen, den Anzeigenamen immer wie gezeigt in doppelte Anführungszeichen (") einzuschließen. Wenn der Anzeigename ein Komma enthält, müssen Sie die Zeichenfolge gemäß RFC 5322 in doppelte Anführungszeichen setzen.
    • Wenn die From-Adresse einen Anzeigenamen enthält, muss der EmailAddress-Wert wie gezeigt in spitzen Klammern (<>) eingeschlossen werden.
    • Microsoft empfiehlt dringend, ein Leerzeichen zwischen dem Anzeigenamen und der E-Mail-Adresse einzufügen.
  • EmailAddress: Eine E-Mail-Adresse verwendet das Format local-part@domain:

    • local-part: Eine Zeichenfolge, die das Postfach identifiziert, das der Adresse zugeordnet ist. Dieser Wert ist innerhalb der Domäne eindeutig. Häufig wird der Benutzername oder die GUID des Postfachbesitzers verwendet.
    • domain: Der vollqualifizierte Domänenname (FQDN) des E-Mail-Servers, auf dem das Postfach gehostet wird, das durch den lokalen Teil der E-Mail-Adresse identifiziert wird.

    Ferner gilt Folgendes:

    • Nur eine E-Mail-Adresse.
    • Es wird empfohlen, die spitzen Klammern nicht durch Leerzeichen zu trennen.
    • Fügen Sie keinen Text hinter der E-Mail-Adresse ein.

Beispiele für gute und schlechte From-Adressen

Die folgende Tabelle enthält Beispiele für gültige From-Adressen:

Adresse Kommentare
From: sender@contoso.com OK
From: <sender@contoso.com> OK
From: < sender@contoso.com > OK, aber nicht empfohlen, da zwischen den spitzen Klammern und der E-Mail-Adresse Leerzeichen vorhanden sind.
From: "Sender, Example" <sender.example@contoso.com> OK
From: "Microsoft 365" <sender@contoso.com> OK
From: Microsoft 365 <sender@contoso.com> OK, aber nicht empfohlen, da der Anzeigename nicht in doppelte Anführungszeichen eingeschlossen ist.

Die folgende Tabelle enthält Beispiele für ungültige From-Adressen:

Adresse Kommentare
Keine Von-Adresse Wenn eine Nachricht bei Microsoft 365 oder Outlook.com ohne Eine Von-Adresse eingeht, versuchen wir, die MAIL FROM-Adresse der Von-Adresse zuzuweisen, um sicherzustellen, dass die Nachricht zugestellt werden kann. Derzeit werden diese Nachrichten vom Dienst akzeptiert, auch wenn die ursprüngliche From-Adresse ist From: <>.
From: <firstname lastname@contoso.com> Die E-Mail-Adresse enthält ein Leerzeichen.
From: Microsoft 365 sender@contoso.com Der Anzeigename ist vorhanden, aber die E-Mail-Adresse ist nicht in spitzen Klammern eingeschlossen.
From: "Microsoft 365" <sender@contoso.com> (Sent by a process) TEXT hinter der E-Mail-Adresse.
From: Sender, Example <sender.example@contoso.com> Der Anzeigename enthält ein Komma, ist aber nicht in doppelte Anführungszeichen eingeschlossen.
From: "Microsoft 365 <sender@contoso.com>" Der gesamte Wert ist fälschlicherweise in doppelte Anführungszeichen eingeschlossen.
From: "Microsoft 365 <sender@contoso.com>" sender@contoso.com Der Anzeigename ist vorhanden, aber die E-Mail-Adresse ist nicht in spitzen Klammern eingeschlossen.
From: Microsoft 365<sender@contoso.com> Kein Leerzeichen zwischen dem Anzeigenamen und der linken spitzen Klammer.
From: "Microsoft 365"<sender@contoso.com> Kein Leerzeichen zwischen dem schließende doppelten Anführungszeichen und der linken spitzen Klammer.

Unterdrücken von automatischen Antworten auf benutzerdefinierte Domänen

Sie können den Wert From: <> nicht verwenden, um automatische Antworten zu unterdrücken. Stattdessen müssen Sie einen NULL-MX-Eintrag für die benutzerdefinierte Domäne einrichten. Nachdem Sie den NULL-MX-Eintrag eingerichtet haben, werden alle Antworten natürlich unterdrückt, da es keine veröffentlichte Adresse gibt, an die der antwortende Server Nachrichten senden kann.

Wählen Sie für den NULL-MX-Eintrag eine E-Mail-Domäne aus, die keine E-Mails empfangen kann. Wenn die primäre Domäne beispielsweise contoso.com ist, können Sie noreply.contoso.com auswählen. Der NULL-MX-Eintrag für diese Domäne besteht aus einem einzelnen Punkt. Zum Beispiel:

noreply.contoso.com IN MX .

Weitere Informationen zum Einrichten von MX-Einträgen finden Sie unter Erstellen von DNS-Einträgen bei jedem DNS-Hostinganbieter für Microsoft 365.

Weitere Informationen zum Veröffentlichen eines NULL-MX finden Sie unter RFC 7505.

Außerkraftsetzen der Erzwingung von Adressen

Um die Anforderungen von Von-Adressen für eingehende E-Mails zu umgehen, können Sie die Regeln für die Ip-Zulassungsliste (Verbindungsfilterung) oder nachrichtenflussregeln (auch als Transportregeln bezeichnet) verwenden, wie unter Erstellen von Listen sicherer Absender in Microsoft 365 beschrieben. Outlook.com lässt keine Außerkraftsetzungen zu, auch nicht über Supportanfragen.

Sie können die Von-Adressanforderungen für ausgehende E-Mails, die Sie von Microsoft 365 oder Outlook.com senden, nicht außer Kraft setzen.

Weitere Möglichkeiten zum Verhindern und Schutz vor Cyberkriminalität in Microsoft 365

Weitere Informationen dazu, wie Sie Ihre organization gegen Phishing, Spam, Datenschutzverletzungen und andere Bedrohungen stärken können, finden Sie unter Bewährte Methoden zum Schützen von Microsoft 365 business-Plänen.