Einleitung:
E-Mail-Kommunikation ist für jedes Unternehmen unverzichtbar. Doch mit der Zunahme an Cyberangriffen wird auch die Gefahr durch gefälschte E-Mails immer größer. Angreifer nutzen oft Phishing oder Spoofing, um sich als vertrauenswürdige Absender auszugeben und sensible Informationen zu erschleichen. Microsoft 365 bietet robuste Tools, um dieses Risiko zu verringern, aber nur, wenn die richtigen Sicherheitsprotokolle aktiviert sind.

In diesem Artikel zeigen wir, wie man DKIM, SPF und DMARC einrichtet und so das Risiko von E-Mail-Spoofing minimiert.

Problem: E-Mail-Spoofing und mangelnde Authentifizierung

E-Mail-Spoofing ist ein weit verbreiteter Angriff, bei dem Angreifer eine E-Mail senden, die aussieht, als käme sie aus einer vertrauenswürdigen Quelle. Ohne ordentliche Sicherheitsprotokolle (SPF, DKIM, DMARC) können Empfänger nicht sicherstellen, dass die E-Mails authentisch sind. Das führt zu Sicherheitsrisiken, erhöhtem Phishing und untergräbt das Vertrauen in die Unternehmenskommunikation.

Die Lösung: SPF, DKIM und DMARC für Microsoft 365 einrichten

Schritt 1: SPF (Sender Policy Framework) einrichten

SPF stellt sicher, dass nur autorisierte Server im Namen Ihrer Domain E-Mails senden können.

• Vorgehen: Gehe in das Admin-Center von Microsoft 365 und suche die Einstellungen für DNS-Einträge.
• DNS-Eintrag hinzufügen: Füge einen neuen TXT-DNS-Eintrag mit folgendem Format hinzu:
  v=spf1 include:spf.protection.outlook.com -all

• Erklärung: Dieser Eintrag autorisiert Microsoft 365 (Outlook) als E-Mail-Server und verhindert, dass andere Server E-Mails in Ihrem Namen versenden.

Schritt 2: DKIM (DomainKeys Identified Mail) konfigurieren

DKIM fügt jeder ausgehenden E-Mail eine verschlüsselte Signatur hinzu, die der Empfänger überprüfen kann.

• DKIM aktivieren: Gehe im Microsoft 365 Admin Center zu „Exchange“, dann zu „Schutz“ und „DKIM“.
• Domänensignaturen einrichten: Wähle Deine Domäne aus und klicke auf „Aktivieren“.
• DNS-Eintrag aktualisieren: Füge die beiden CNAME-Einträge hinzu, die Microsoft 365 bereitstellt.
  selector1._domainkey.deine-domain.de CNAME selector1-deine-domain-com._domainkey.domain.mail.protection.outlook.com

  
selector2._domainkey.deine-domain.de CNAME selector2-deine-domain-com._domainkey.domain.mail.protection.outlook.com

• Prüfen: Sende eine Test-Mail und überprüfe die DKIM-Signatur im E-Mail-Header, um sicherzustellen, dass sie korrekt signiert ist.

Schritt 3: DMARC (Domain-based Message Authentication, Reporting & Conformance) einrichten

DMARC baut auf SPF und DKIM auf, um zu entscheiden, was mit nicht autorisierten E-Mails passiert.

• DNS-Eintrag für DMARC hinzufügen: Füge einen TXT-DNS-Eintrag mit folgender Struktur hinzu:
  v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@deine-domain.de; ruf=mailto:dmarc-failures@deine-domain.de; sp=reject; aspf=s
• Erklärung der Einträge:
  • p=quarantine: Nicht authentifizierte E-Mails werden in den Spam-Ordner verschoben.
  • rua: Gibt eine E-Mail-Adresse für Berichte über E-Mails an, die die DMARC-Prüfung bestanden haben.
  • sp=reject: Alle E-Mails von Subdomains, die DMARC nicht bestehen, werden abgelehnt.
  • aspf=s: Gibt eine strikte Überprüfung für Subdomains an.

Schritt 4: Testen und Berichte überprüfen

• Nutze ein Tool wie MXToolbox oder DMARC Analyzer, um die Funktionalität und die Konfiguration zu testen.
• Überprüfe die Berichte, um sicherzustellen, dass legitime E-Mails durchgelassen und gefälschte E-Mails blockiert werden.

Zusammenfassung:

Mit der Einrichtung von SPF, DKIM und DMARC schützt Ihr Unternehmen effektiv vor Phishing und Spoofing-Angriffen und verbessert die Zustellbarkeit und Sicherheit Ihrer E-Mail-Kommunikation. Bei der Implementierung dieser Maßnahmen können sich Unternehmen nicht nur auf die Sicherheit verlassen, sondern auch auf die Unterstützung durch Nexaris, die Ihnen gerne bei der technischen Umsetzung hilft.