Einrichten von SPF zum Verhindern von Spoofing

  • Artikel
  • 6 Minuten Lesedauer

In diesem Artikel wird beschrieben, wie Sie einen DNS-Eintrag (Domain Name Service) aktualisieren, sodass Sie die SPF-E-Mail-Authentifizierung (Sender Policy Framework) mit Ihrer benutzerdefinierten Domäne in Office 365 verwenden können.

SPF hilft bei der Validierung ausgehender E-Mails, die von Ihrer benutzerdefinierten Domäne gesendet werden (also von dort kommen, wo sie sagen, dass sie kommen). Es ist ein erster Schritt bei der Einrichtung der gesamten empfohlenen E-Mail-Authentifizierungsmethoden von SPF, DKIM und DMARC.

Voraussetzungen

Wichtig

Wenn Sie ein kleines Unternehmen sind oder mit IP-Adressen oder DNS-Konfiguration nicht vertraut sind, rufen Sie Ihre Internetdomänenregistrierungsstelle (z. B. GoDaddy, Bluehost, web.com) auf, um Hilfe bei der DNS-Konfiguration von SPF (und einer anderen E-Mail-Authentifizierungsmethode) & zu bitten.

Wenn Sie keine benutzerdefinierte URL verwenden (und die für Office 365 verwendete URL auf onmicrosoft.com endet), wurde SPF bereits im Office 365-Dienst für Sie eingerichtet.

Lassen Sie uns beginnen.

Der SPF TXT-Eintrag für Office 365 wird für alle benutzerdefinierten Domänen und Subdomänen in einem externen DNS erstellt. Sie benötigen einige Informationen, um den Datensatz zu erstellen. Sammeln Sie diese Informationen:

  • Den SPF TXT-Eintrag für Ihre benutzerdefinierte Domäne (falls vorhanden). Anweisungen finden Sie unter Sammeln der zum Erstellen von Office 365-DNS-Einträgen erforderlichen Informationen.

  • Gehen Sie zu Ihrem/Ihren Nachrichten-Server(n) und ermitteln Sie die externen IP-Adressen (die von allen lokalen Nachrichten-Servern benötigt werden). Beispiel: 131.107.2.200.

  • Domänennamen für alle Domänen von Drittanbietern, die Sie in Ihren SPF TXT-Eintrag einschließen müssen. Einige Massen-E-Mail-Anbieter haben Unterdomänen für ihre Kunden eingerichtet. Das Unternehmen MailChimp hat beispielsweise servers.mcsv.net eingerichtet.

  • Finden Sie heraus, welche Erzwingungsregel Sie für Ihren SPF TXT-Eintrag verwenden möchten. Die Regel -all wird empfohlen. Weitere Informationen zu anderen Syntaxoptionen finden Sie unter Syntax des SPF TXT-Eintrags für Office 365.

Wichtig

Für die Verwendung einer benutzerdefinierten Domäne erfordert Office 365, einen SPF (Sender Policy Framework) TXT-Eintrag Ihrem DNS-Eintrag hinzuzufügen, um Spoofing zu verhindern.

Erstellen oder aktualisieren Sie Ihren SPF TXT-Eintrag

  1. Machen Sie sich mit der SPF-Syntax in der folgenden Tabelle vertraut.

    Element Wenn Sie Folgendes verwenden... Für Kunden üblich? Fügen Sie Folgendes hinzu ...
    1 Beliebiges E-Mail-System (erforderlich) Standard. Alle SPF TXT-Einträge beginnen mit dem folgenden Wert v=spf1
    2 Exchange Online Standard include:spf.protection.outlook.com
    3 Nur dediziert für Exchange Online Kein Standard ip4:23.103.224.0/19
    ip4:206.191.224.0/19
    ip4:40.103.0.0/16
    include:spf.protection.outlook.com
    4 Office 365 Deutschland, nur Microsoft Cloud Deutschland Kein Standard include:spf.protection.outlook.de
    5 Drittanbieter-E-Mail-System Kein Standard include:<domain_name>

    <> domain_name ist die Domäne des E-Mail-Systems von Drittanbietern.
    6 Lokales E-Mail-System. Beispiel: Exchange Online Protection plus ein anderes E-Mail-System Kein Standard Verwenden Sie einen der folgenden Einträge für jedes zusätzliche E-Mail-System:

    ip4:<IP_address>
    ip6:<IP_address>
    include:<domain_name>

    <> IP_address und <domain_name> sind die IP-Adresse und Domäne des anderen E-Mail-Systems, das E-Mails im Namen Ihrer Domäne sendet.
    7 Beliebiges E-Mail-System (erforderlich) Standard. Alle SPF TXT-Einträge enden mit diesem Wert <enforcement rule>

    Kann einer von mehreren Werten sein. Empfohlen wird der Wert -all.

  2. Erstellen Sie Ihren SPF TXT-Eintrag, falls noch nicht geschehen, indem Sie die Syntax aus der Tabelle verwenden.

    Wenn Sie beispielsweise vollständig in Office 365 gehostet werden (wenn Sie also keine lokalen E-Mail-Server haben), würde Ihr SPF TXT-Eintrag die Zeilen 1, 2 und 7 enthalten und wie folgt aussehen:

    v=spf1 include:spf.protection.outlook.com -all

    Das obige Beispiel ist der häufigste SPF TXT-Eintrag. Dieser Eintrag eignet sich für fast alle Benutzer, unabhängig davon, ob sich Ihr Microsoft-Rechenzentrum in den USA, in Europa (einschließlich Deutschland) oder an einem anderen Standort befindet.

    Wenn Sie jedoch Office 365 Deutschland erworben haben, das Teil von Microsoft Cloud Deutschland ist, sollten Sie die Include-Anweisung aus Zeile 4 anstelle von Zeile 2 verwenden. Wenn Sie z. B. vollständig in Office 365 Deutschland gehostet werden, also keine lokalen E-Mail-Server haben, würde Ihr SPF TXT-Eintrag die Zeilen 1, 4 und 7 enthalten und wie folgt aussehen:

    v=spf1 include:spf.protection.outlook.de -all

    Wenn Sie bereits in Office 365 bereitgestellt und Ihre SPF TXT-Einträge für Ihre benutzerdefinierte Domäne eingerichtet haben und anschließend zu Office 365 Deutschland migrieren möchten, müssen Sie Ihren SPF TXT-Eintrag aktualisieren. Ändern Sie dazu include:spf.protection.outlook.com in include:spf.protection.outlook.de.

  3. Nachdem Sie Ihren SPF TXT-Eintrag erstellt haben, müssen Sie den Eintrag in DNS aktualisieren. Sie dürfen nur einen SPF TXT-Eintrag für eine Domäne haben. Wenn ein SPF TXT-Eintrag vorhanden ist, müssen Sie den vorhandenen Eintrag aktualisieren, statt einen neuen hinzuzufügen. Wechseln Sie zu Erstellen von DNS-Einträgen für Office 365, und wählen Sie dann den Link für Ihren DNS-Hostinganbieter aus.

  4. Testen Sie Ihren SPF TXT-Eintrag.

Wie kann ich Subdomänen behandeln?

Es ist wichtig zu beachten, dass Sie für jede Subdomäne einen separaten Eintrag erstellen müssen, da Subdomänen nicht den SPF-Eintrag der Domäne der obersten Ebene erben.

Ein Platzhalter-SPF-Eintrag (*.) ist für jede Domäne und Subdomäne erforderlich, um Angreifer daran zu hindern, E-Mails zu versenden, die vorgeben, von nicht existierenden Subdomänen zu stammen. Zum Beispiel:

*.subdomain.contoso.com. IN TXT "v=spf1 -all"

Problembehandlung von SPF

Gibt es Probleme mit Ihrem SPF TXT-Eintrag? Lesen Sie Problembehandlung: Bewährte Methoden für SPF in Office 365.

Was ist der Zweck der SPF-E-Mail-Authentifizierung?

SPF identifiziert, welche E-Mail-Server E-Mails in Ihrem Auftrag senden dürfen. Im Grunde trägt SPF zusammen mit DKIM, DMARC und anderen von Office 365 unterstützten Technologien dazu bei, Spoofing und Phishing zu verhindern. SPF wird als TXT-Eintrag hinzugefügt, der von DNS verwendet wird, um zu identifizieren, welche E-Mail-Server E-Mails im Auftrag Ihrer benutzerdefinierten Domäne senden können. Empfänger können auf den SPF TXT-Eintrag zugreifen, um festzustellen, ob eine Nachricht von Ihrer benutzerdefinierten Domäne über einen autorisierten Messagingserver kommt.

Nehmen wir beispielsweise an, dass Ihre benutzerdefinierte Domäne „contoso.com" Office 365 verwendet. Sie fügen einen SPF TXT-Eintrag hinzu, der die Office 365-Messagingserver als berechtigte E-Mail-Server für Ihre Domäne auflistet. Wenn der empfangende Nachrichtenserver eine Nachricht von joe@contoso.comerhält, sucht der Server den SPF TXT-Eintrag nach contoso.com und ermittelt, ob die Nachricht gültig ist. Wenn der empfangende Server herausfindet, dass die Nachricht von einem anderen Server als den Office 365-Messagingservern kommt, die im SPF-Eintrag aufgelistet sind, kann der empfangende E-Mail-Server die Nachricht als Spam ablehnen.

Wenn Ihre benutzerdefinierte Domäne keinen SPF TXT-Eintrag aufweist, können einige empfangende Server die Nachricht auch sofort ablehnen. Das liegt daran, dass der empfangende Server nicht überprüfen kann, ob die Nachricht von einem autorisierten Messagingserver stammt.

Wenn Sie bereits E-Mail für Office 365 eingerichtet haben, haben Sie bereits die Messagingserver von Microsoft in DNS als SPF TXT-Eintrag hinzugefügt. Es gibt jedoch einige Fälle, in denen Sie Ihren SPF TXT-Eintrag in DNS möglicherweise aktualisieren müssen. Beispiel:

  • In früheren Versionen mussten Sie Ihrer benutzerdefinierten Domäne einen anderen SPF TXT-Eintrag hinzufügen, wenn Sie SharePoint Online verwendet haben. Dies ist nicht mehr erforderlich. Diese Änderung sollte das Risiko reduzieren, dass SharePoint Online-Benachrichtigungsnachrichten im Junk-E-Mail-Ordner landen. Aktualisieren Sie Ihren SPF TXT-Eintrag, wenn Sie die Beschränkung von 10 Lookups erreichen und Fehlermeldungen erhalten wie z. B. „Suchlimit überschritten“ und „Zu viele Hops“.

  • Wenn Sie eine Hybridumgebung mit Office 365 und Exchange (lokal) haben.

  • Sie möchten DKIM und DMARC einrichten (empfohlen).

Weitere Informationen zu SPF

Erweiterte Beispiele, eine ausführlichere Erläuterung zur unterstützten SPF-Syntax, zu Spoofing, zur Problembehandlung und zur Unterstützung von SPF durch Office 365 finden Sie unter How SPF works to prevent spoofing and phishing in Office 365.

Nächste Schritte: DKIM und DMARC

SPF ist dafür vorgesehen, Spoofing möglichst zu verhindern, es gibt aber Spoofing-Techniken, vor denen SPF nicht schützen kann. Um sich dagegen zu verteidigen, sollten Sie nach dem Einrichten von SPF auch DKIM und DMARC für Office 365 konfigurieren.

Das Ziel der DKIM-E-Mail-Authentifizierung ist es, zu beweisen, dass die Inhalte der E-Mail nicht manipuliert wurden.

Das Ziel der DMARC-E-Mail-Authentifizierung ist es, sicherzustellen, dass die SPF- und DKIM-Informationen mit der Absenderadresse übereinstimmen.

Erweiterte Beispiele und eine ausführlichere Erläuterung zur unterstützten SPF-Syntax finden Sie unter Funktionsweise von SPF zur Verhinderung von Spoofing und Phishing in Office 365.

Verwenden vertrauenswürdiger ARC-Absender für legitime Nachrichtenflüsse

Wählen Sie unter „Feedback“ die Option „Diese Seite“ aus, wenn Sie Feedback zu dieser Dokumentation haben.