Wenn Sie sich mit der Microsoft 365-E-Mail-Konfiguration befassen, müssen Sie von Microsoft einen SPF-Datensatz (Sender Policy Framework) einrichten, der Ihrem Exchange Online-Mandanten entspricht. Dies ist ein DNS-Textdatensatz, mit dem Microsoft 365-E-Mail-Nachrichtenserver E-Mails für Ihre Domain senden können. Lassen Sie uns erläutern, was Sie über den Einstieg in Microsoft 365 SPF Records wissen müssen.
Der Eintrag, den Sie zu externem DNS hinzugefügt haben, sieht folgendermaßen aus. v = spf1 include: spf.protection.outlook.com -all
Microsoft 365 Email SPF-Datensätze sind alles, was ich brauche, oder?
Falsch! Da immer mehr Cloud-Anbieter mit Software als Service auftauchen, der im Auftrag Ihres Unternehmens E-Mails senden kann, treten langsam Probleme mit dem SPF-Datensatz auf. Das Problem mit einem SPF-Eintrag besteht darin, dass er auf nicht mehr als 10 DNS-basierte Namen pro Eintrag beschränkt ist und die IP-Adressen unbegrenzt sind. Bei der Arbeit mit diesen Einträgen stelle ich fest, dass SaaS-Anbieter, die DNS-basierte Namen verwenden, mehrere Einträge verwenden können, wenn sie ähnliche Untereinträge haben. Ein Unternehmen, das ich im Namen meiner Organisation E-Mails senden darf, kann also mehrere meiner 10 DNS-basierten Namen pro Eintrag verwenden. Sobald Ihre Organisation 10 Einträge hat, müssen Sie entweder IP-Adressen eingeben oder Sie stecken ohne zusätzliche Optionen fest, damit Entitäten E-Mails im Namen Ihrer Organisation senden können, ohne dass diese durch Spam-Filter blockiert werden.
Denken Sie auch daran, dass Sie nur einen SPF-Eintrag für Ihre sendende Domain haben können, was meiner Meinung nach etwas einschränkend sein kann.
Was kann man noch tun?
Das Schöne am Thema des Versendens von E-Mails im Namen einer Organisation ist, dass Sie mehr tun können, wenn Sie darauf vorbereitet sind. Es sind zwei weitere Punkte zu berücksichtigen, die unter das Thema „Markenschutz“ fallen. DMARC und DKIM. Jetzt können Sie sich diese Dinge ansehen und sagen, was dies bedeutet. Lassen Sie uns das als nächstes diskutieren.
Microsoft 365 Email und DMARC
DMARC (Domain-Based Message Authentication, Reporting und Conformance) für Ihren externen DNS-Eintrag. DMARC ist ein Protokoll, mit dem betrügerische E-Mail-Nachrichten erkannt und zugestellt oder zugestellt werden können. DMARC-Datensätze sollten zunächst so konfiguriert werden, dass sie in einem Überwachungsmodus ausgeführt werden, damit Sie die Daten vor dem Einrichten und der Form eines schweren Fehlers analysieren können. DMARC funktioniert am besten, wenn Sie eine 3 verwendenrd Party-Lösung für die Berichterstattung. Ohne diese Lösung gibt es keine andere Möglichkeit, Daten über Markenmissbrauch zu sammeln.
Die Syntax eines DMARC-Datensatz-Setups nur zur Überwachung sieht normalerweise folgendermaßen aus:
Name: _dmarc.domainname.com
Typ: TXT
V = DMARC1; p = keine; fo = 1; rua = mailto:[E-Mail geschützt]
Sobald DMARC aktiviert ist, kann Ihre Organisation SPF oder eine andere DKIM-Signatur verwenden, damit andere Entitäten im Namen Ihrer Organisation senden können. Lassen Sie uns als nächstes in DKIM eintauchen.
DKIM
Mit DKIM können Sie von Ihrer Organisation gesendete E-Mail-Nachrichten elektronisch signieren. DKIM fügt in seiner einfachsten Form Ihrem E-Mail-Nachrichtenkopf eine „Signatur“ hinzu, wenn Ihre gültigen E-Mail-Nachrichten Ihre Organisation auf dem Weg zum vorgesehenen Empfänger verlassen. Diese Signatur sollte in Ihrem E-Mail-Gateway-Produkt für jede Ihrer E-Mail-Sendedomänen aktiviert sein. Es ist jedoch wichtig, dass diese Signatur erst dann vollständig funktioniert, wenn Sie Ihrem nach außen gerichteten DNS einen TXT-Eintrag hinzufügen, der diese Signatur enthält. Dieser Datensatz sieht ähnlich aus wie unten gezeigt.
domainname._domainkey.domainname.com
v=DKIM1;k=rsa; t=s; p=ABCiJKLgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAx2lmftvQ
TIkIEWQniuSnLXZTQfKoq5PIc7XKNAj7i8zzLljCghlm5Cou1CNRu0ckxHBC9rOpV+cPAyZ9gF
qXS5EluzAJY5ydXd4/28gcaGi5tWOCtQckTm27T82ni8Xm3Yyk3ttV2m9ijfFZh39nYPXikm5v
S+mDDvm1/kWnf9CxzNNlsKeQBnKs+6YO7oa9rk++yNSY91hAPVBDvpPEZVGJlHnTE+nPywCUFs
BMYpRdYBt4TIBtazoKSvUA86U2J5Lqn82DK1xMk645MrvjW1CQ8EqjmJAyUpM1CxmuPyYnRswB
agz/lt5V4SJKoJbKaPF19G+Nb/jE6eeYMi2MiwIHDILE
Die DKIM-Signatur ist einfach und eine der besten Möglichkeiten, um zu überprüfen, ob die von Ihrer Organisation gesendete E-Mail Ihnen gehört. Gehen Sie jetzt noch einen Schritt weiter und bitten Sie Ihre SaaS-Anbieter, eine DKIM-Signatur für die E-Mail zu generieren, die sie für Sie senden. Fügen Sie die DKIM-Signatur in einen DNS-Eintrag ein, und dieser kann jetzt anstelle von SPF verwendet werden.
Abschließende Gedanken zu Microsoft 365 Email SPF
Für Microsoft 365 Email SPF-Einträge und die Verhinderung von Spoofing benötigen Sie mehr als die SPF-Konfiguration. Dies alles funktioniert nur, wenn DMARC sowohl DKIM als auch SPF überprüft, um zu überprüfen, ob eine gesendete E-Mail wirklich Ihnen gehört. DMARC ermöglicht die Verwendung von SPF oder DKIM anstelle von beiden. Auf diese Weise können Sie einen Teil Ihres DNS-Texteintrags freigeben oder Platz im SPF-Eintrag für das nächste Szenario sparen, in dem die Verwendung des SPF-Eintrags nicht vermieden werden kann.
Markenschutz ist ein Muss und so können Sie mit Microsoft 365 SPF Records beginnen!
Lernen Sie weiter mit einigen unserer anderen M365-Inhalte hier!
English
Arabic
Bengali
Dutch
English
French
German
Greek
Hindi
Irish
Italian
Japanese
Portuguese
Spanish
Swedish
