Erstellen Sie eine Liste mit vertrauenswürdigen ARC-Absendern, um legitimen indirekten E-Mails zu vertrauen

  • Artikel
  • 4 Minuten Lesedauer

Gilt für

  • Exchange Online Protection
  • Microsoft Defender für Office 365 Plan 1 und Plan 2
  • Microsoft 365 Defender

E-Mail-Authentifizierungsmechanismen wie SPF, DKIM, DMARC werden verwendet, um die Absender von E-Mails zur Sicherheit von E-Mail-Empfängern zu überprüfen, aber einige legitime Dienste können Änderungen an der E-Mail zwischen Absender und Empfänger vornehmen. In Microsoft 365 Defender trägt ARC dazu bei, SPF-, DKIM- und DMARC-Übermittlungsfehler zu reduzieren, die aufgrund legitimer indirekter Nachrichtenflüsse auftreten.

Authenticated Received Chain (ARC) in Microsoft 365 Defender für Office

Dienste, die den Nachrichteninhalt während der Übertragung vor der Übermittlung an Ihre Organisation ändern, können DKIM-E-Mail-Signaturen ungültig machen und sich auf die Authentifizierung der Nachricht auswirken. Wenn diese zwischengeschalteten Dienste solche Aktionen ausführen, können sie ARC verwenden, um Details zur ursprünglichen Authentifizierung bereitzustellen, bevor die Änderungen vorgenommen wurden. Ihre Organisation kann dann diesen Details vertrauen, um die Authentifizierung der Nachricht zu unterstützen.

Mit vertrauenswürdigen ARC-Sealern können Administratoren dem Microsoft 365 Defender-Portal eine Liste vertrauenswürdiger Vermittler hinzufügen. Vertrauenswürdige ARC-Sealer ermöglichen es Microsoft, ARC-Signaturen von diesen vertrauenswürdigen Vermittlern anzuerkennen und zu verhindern, dass diese legitimen Nachrichten die Authentifizierungskette nicht bestehen.

Hinweis

Trusted ARC Sealers ist eine vom Administrator erstellte Liste von Zwischendomänen, die ARC-Versiegelung implementiert haben. Wenn eine E-Mail über einen vertrauenswürdigen ARC-Vermittler des Office 365 Mandanten an Office 365 weitergeleitet wird, überprüft Microsoft die ARC-Signatur und kann basierend auf den ARC-Ergebnissen die bereitgestellten Authentifizierungsdetails berücksichtigen.

Wann sollte man vertrauenswürdige ARC-Versiegelungen verwenden?

Eine Liste vertrauenswürdiger ARC-Sealer wird nur benötigt, wenn Vermittler Teil des E-Mail-Flusses einer Organisation sind und:

  1. Kann den E-Mail-Header oder den E-Mail-Inhalt ändern.
  2. Kann dazu führen, dass die Authentifizierung aus anderen Gründen fehlschlägt (z. B. durch Entfernen von Anhängen).

Durch das Hinzufügen eines vertrauenswürdigen ARC-Sealers validiert und vertraut Office 365 den Authentifizierungsergebnissen, die der Sealer beim Zustellen von E-Mails an Ihren Mandanten in Office 365 bereitstellt.

Administratoren sollten nur legitime Dienste als vertrauenswürdige ARC-Sealer hinzufügen. Das Hinzufügen nur von Diensten, die die Organisation ausdrücklich verwendet und kennt, hilft Nachrichten, die zuerst einen Dienst durchlaufen müssen, um E-Mail-Authentifizierungsprüfungen zu bestehen, und verhindert, dass legitime Nachrichten aufgrund von Authentifizierungsfehlern an Junk gesendet werden.

Schritte zum Hinzufügen eines vertrauenswürdigen ARC-Sealers zu Microsoft 365 Defender

Vertrauenswürdige ARC-Versiegelungen im Microsoft 365 Defender-Portal zeigt alle ARC-Versiegelungen an, die von Ihrem Mandanten bestätigt und ihm hinzugefügt wurden.

Um eine neue vertrauenswürdige ARC-Versiegelung im Microsoft 365 Defender-Portal hinzuzufügen:

  1. Navigieren Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.comzu Email & Richtlinienfür &die Zusammenarbeit > Regeln >Bedrohungsrichtlinien>Email Authentifizierungseinstellungen im Abschnitt >RegelnARC . Um direkt zur ARC-Seite zu wechseln, verwenden Sie Email-Authentifizierungseinstellungen.

  2. Wenn Sie zum ersten Mal einen vertrauenswürdigen ARC-Sealer hinzufügen, klicken Sie auf die Schaltfläche Hinzufügen.

  3. Fügen Sie im angezeigten Textfeld vertrauenswürdige ARC-Sealer hinzu.

    1. Beachten Sie, dass Sie die Domänen hinzufügen (Beispiel fabrikam.com).
    2. Der Domänenname, den Sie hier eingeben, muss mit der Domäne übereinstimmen, die im Domänen-„d“-Tag in den ARC-Seal- und ARC-Message-Signature-Kopfzeilen (in den E-Mail-Kopfzeilen für die Nachricht) angezeigt wird.
    3. Diese können Sie in den Eigenschaften der Nachricht in Outlook einsehen.

Schritte zur Validierung Ihres vertrauenswürdigen ARC-Sealers

Wenn ein ARC-Siegel von einem Drittanbieter vorhanden ist, bevor die Nachricht Microsoft 365 Defender erreicht, überprüfen Sie die Kopfzeilen, sobald die E-Mail empfangen wurde, und zeigen Sie die neuesten ARC-Kopfzeilen an.

Überprüfen Sie im letzten ARC-Authentication-Results-Header, ob die ARC-Validierung als erfolgreich aufgeführt ist.

Ein ARC-Header, der ein „oda“ von 1 auflistet, zeigt an, dass der vorherige ARC verifiziert wurde, der vorherige ARC-Sealer vertrauenswürdig ist und das Ergebnis des vorherigen Durchgangs verwendet werden kann, um den aktuellen DMARC-Fehler zu überschreiben.

Ein ARC-Pass-Header, der oda=1 anzeigt

Siehe die E-Mail-Authentifizierungsmethoden am Ende dieses Header-Blocks für das oda-Ergebnis.

ARC-Authentication-Results: i=2; mx.microsoft.com 1; spf=pass (sender ip is
40.107.65.78) smtp.rcpttodomain=microsoft.com
smtp.mailfrom=sampledoamin.onmicrosoft.com; dmarc=bestguesspass action=none
header.from=sampledoamin.onmicrosoft.com; dkim=none (message not signed);
arc=pass (0 oda=1 ltdi=1
spf=[1,1,smtp.mailfrom=sampledoamin.onmicrosoft.com]
dkim=[1,1,header.d=sampledoamin.onmicrosoft.com]
dmarc=[1,1,header.from=sampledoamin.onmicrosoft.com])

Um zu überprüfen, ob das ARC-Ergebnis verwendet wurde, um einen DMARC-Fehler zu überschreiben, suchen Sie nach dem Compauth-Ergebnis und einem Grund für Code (130) im Header.

Sehen Sie sich den letzten Eintrag in diesem Header-Block an, um compauth und reason zu finden.

Authentication-Results: spf=fail (sender IP is 51.163.158.241)
smtp.mailfrom=contoso.com; dkim=fail (body hash did not verify)
header.d=contoso.com;dmarc=fail action=none
header.from=contoso.com;compauth=pass reason=130

PowerShell-Schritte zum Hinzufügen oder Entfernen eines vertrauenswürdigen ARC-Sealers

Administratoren können ARC-Konfigurationen auch mit Exchange Online PowerShell einrichten.

  1. Stellen Sie eine Verbindung mit Exchange Online PowerShell her.

  2. Connect-ExchangeOnline.

  3. So fügen Sie eine Domäne zu einem vertrauenswürdigen ARC-Sealer hinzu oder aktualisieren sie:

    Set-ArcConfig -Identity default -ArcTrustedSealers {a list of arc signing domains split by comma}

    oder

    Set-ArcConfig -Identity {tenant name/tenanid}\default -ArcTrustedSealers {a list of arc signing domains split by comma}

    Sie müssen den Identitätsparameter -Identity default angeben, wenn Sie Set-ArcConfig ausführen. Die vertrauenswürdigen Versiegelungen sollten mit dem Wert des 'd'-Tags im ARC-Seal-Header abgeglichen werden.

  4. Sehen Sie sich die vertrauenswürdigen ARC-Versiegler an:

    Get-ArcConfig

    oder

    Get-ArcConfig - Organization {tenant name}

Vertrauenswürdige ARC Sealer Mailflow-Grafiken

Diese Diagramme vergleichen Nachrichtenflussvorgänge mit und ohne einen vertrauenswürdigen ARC-Versiegeler, wenn eine der SPF-, DKIM- und DMARC-E-Mail-Authentifizierungen verwendet wird. In beiden Grafiken gibt es legitime Dienste, die vom Unternehmen verwendet werden, die in den E-Mail-Fluss eingreifen müssen, wobei manchmal E-Mail-Authentifizierungsstandards verletzt werden, indem sie sendende IP-Adressen ändern und in den E-Mail-Header schreiben. Im ersten Fall zeigt der indirekte Nachrichtenfluss das Ergebnis, bevor Administratoren einen vertrauenswürdigen ARC-Sealer hinzufügen.

In dieser Grafik veröffentlicht Contoso SPF, DKIM und DMARC als Teil der standardmäßigen E-Mail-Sicherheit. Ein Absender, der SPF verwendet, sendet E-Mails von innerhalb von „contoso.com“ an „fabrikam.com“, und diese E-Mail wird durch einen Drittanbieterdienst geleitet, den Contoso beauftragt hat, und dieser Dienst ändert die sendende IP-Adresse im E-Mail-Header. Die E-Mail scheitert bei SPF aufgrund der geänderten IP und bei DKIM, weil der Inhalt bei einem Drittanbieter während der DNS-Prüfung bei EOP geändert wurde. DMARC schlägt aufgrund der SPF- und DKIM-Fehler fehl. Die Nachricht wird an Junk, Quarantäne oder Abgelehnt gesendet.

Hier sehen Sie dieselbe Organisation, nachdem sie die Möglichkeit genutzt haben, einen vertrauenswürdigen ARC-Sealer zu erstellen.

In der zweiten Grafik hatte das Unternehmen Contoso eine Liste mit vertrauenswürdigen ARC-Sealern erstellt. Derselbe Benutzer sendet eine zweite E-Mail von contoso.com an fabrikam.com. Der von Contoso beauftragte Drittanbieterdienst ändert die IP-Adresse des Absenders im Header der E-Mail. Aber dieses Mal hat der Dienst die ARC-Versiegelung implementiert, und da der Mandantenadministrator die Domäne des Drittanbieters bereits zu vertrauenswürdigen ARC-Versiegelungen hinzugefügt hat, wird die Änderung akzeptiert. SPF schlägt für die neue IP-Adresse fehl. DKIM schlägt aufgrund der Inhaltsänderung fehl. DMARC schlägt aufgrund der früheren Fehler fehl. Aber ARC erkennt die Änderungen an, stellt einen Pass aus und akzeptiert die Änderungen. Spoof erhält auch einen Pass. Die Nachricht wird an den Posteingang gesendet.

Nächste Schritte: Nachdem Sie ARC für Microsoft 365 Defender für Office eingerichtet haben

Überprüfen Sie nach der Einrichtung Ihre ARC-Header mit Message Header Analyzer.

Überprüfen Sie die Konfigurationsschritte für SPF, DKIM, DMARC.