Exchange Online Protection fügt Tools zur Bekämpfung von Spammern hinzu

Exchange Online Protection (EOP) ist das E-Mail-Filtertool, das alle Office 365-Mandanten verwenden. Microsoft aktualisiert ständig die Funktionen, um Spam- und Viren-E-Mail-Angriffe durch E-Mail-Hygiene für Tausende von Kunden besser zu bekämpfen.

Zwei der neuen Funktionen, die es wert sind, untersucht zu werden, sind DomainKeys Identified Mail (DKIM) und Domain-based Messaging and Reporting Compliance (DMARC). Werfen wir einen Blick auf die Vorteile, die diese Funktionen bieten.

DomainKeys Identified Mail-Schutz

DKIM ist ein Verschlüsselungsmethode mit öffentlichem Schlüssel Dies funktioniert mit dem Sender Policy Framework (SPF), indem jede Nachricht mit der sendenden Domäne verknüpft wird. Der SPF Datensätze für eine Domain legen fest, welche Server berechtigt sind, E-Mails für diese Domain zu senden. Wenn ein Server eine E-Mail von einer Domäne mit konfigurierten SPF-Datensätzen empfängt, prüft er, ob die E-Mail von den autorisierten Servern stammt. Wenn nicht, handelt es sich bei der E-Mail höchstwahrscheinlich um Spam.
DKIM fügt eine digitale Signatur hinzu zur E-Mail dass Ihre Domain sendet. Der Server überprüft die E-Mail, um festzustellen, ob die Signatur übereinstimmt. In diesem Fall wurde die E-Mail nicht geändert und stammt von einem echten Absender.
Da SPF-Einträge für jede E-Mail-Domain öffentlich verfügbar sind, können Spammer dies tun fälschen ihre E-Mail von diesen IP-Adressen kommen. DKIM hilft, diese Spam-Nachrichten zu verhindern, indem Empfängerserver aufgefordert werden, in den E-Mail-Headern nach einer gültigen Signatur zu suchen.
DomainKeys Identified Mail verwendet Domain Name System (DNS) einen öffentlichen Schlüssel zu veröffentlichen, damit jeder die DKIM-Signatur validieren kann. Wenn ein Benutzer eine E-Mail sendet, berechnet der Server, von dem die E-Mail gesendet wird, a Kryptosignatur mit dem privaten Schlüssel. Die Signatur wird dann in die Nachrichtenkopfzeilen eingefügt. Der Empfängerserver kann den Header mit dem öffentlichen Schlüssel validieren.
Große E-Mail-Anbieter wie Google bieten DKIM seit Jahren an, und Microsoft holt die Technologie mit der Einführung von DKIM ein Funktion in Exchange Online Protection. E-Mail-Administratoren müssen auf Ihrem Office 365-Mandanten nichts tun, damit DKIM funktioniert. Wenn Sie die Funktion testen möchten, senden Sie eine E-Mail von Ihrem Google-Konto an Ihr Office 365-Postfach und analysieren Sie die Nachrichtenkopfzeilen.
Der Abschnitt Authentifizierungsheader sollte die von Exchange Online Protection durchgeführten DKIM-Überprüfungen zusammenfassen.
Authentifizierungsergebnisse: spf = pass (Absender-IP ist 209.85.212.176)
smtp.mailfrom = gmail.com; theucguy.onmicrosoft.com; dkim = pass (Unterschrift
wurde überprüft) header.d = gmail.com; infraexperts.onmicrosoft.com; dmarc = pass
action = none header.from = gmail.com;
Wenn eine Nachricht die DKIM-Überprüfung nicht besteht, wird im Header angezeigt dkim = fehlschlagen mit dem Grund, wie ungültigem Body-Hash, Zeitlimit für Schlüsselabfragen oder keinem Schlüssel für die Signatur, in Klammern.

Domänenbasierte Messaging- und Berichtskonformität

DMARC wurde entwickelt, um E-Mail-Spoofing zu verhindern, und ist auch nützlich gegen Phishing-Angriffe. Spammer fälschen häufig die “Von” -Adresse (5322.From), die in E-Mail-Clients wie Outlook angezeigt wird.
Wenn Sie einen Consumer-E-Mail-Dienst wie Hotmail oder Gmail verwenden, haben Sie möglicherweise eine E-Mail von Ihrer eigenen E-Mail-Adresse erhalten – ein typisches Beispiel für Spoofing 5322.From.
Die Adresse 5321.MailFrom wird zum Überprüfen von SPF-Datensätzen verwendet. Ein typischer gefälschter Nachrichtenkopf ist unten dargestellt:
5321.MailFrom: [email protected]
5322.Von: [email protected]
Betreff: Hallo
Domänenbasierte Messaging- und Berichtskonformität schützt Benutzer durch Auswerten von SPF und DKIM und anschließendes Bestimmen, ob eine der Domänen mit der Domäne in der 5322.From-Adresse übereinstimmt. Im obigen Beispiel richtet der Spammer SPF-Einträge für die Domain abc.com unter der IP-Adresse ein, die er zum Senden von E-Mails verwendet. Daher werden die empfangenden SPF-Prüfungen bestanden, aber da abc.com nicht gleich xyz.com ist, schlägt DMARC fehl.
Im Abschnitt Authentifizierungsergebnisse in den Nachrichtenkopfzeilen wird aufgeführt, ob DMARC bestanden oder nicht bestanden wurde. Wenn DMARC fehlgeschlagen ist, wird der Empfängerserver aufgefordert, die Nachricht unter Quarantäne zu stellen oder abzulehnen.
Authentifizierungsergebnisse: spf = pass (Absender-IP ist 209.85.212.176)
smtp.mailfrom = gmail.com; theucguy.onmicrosoft.com; dkim = pass (Unterschrift
wurde überprüft) header.d = gmail.com; infraexperts.onmicrosoft.com; dmarc = pass
Aktion = keine header.from = gmail.com;
Exchange Online Protection hat DMARC aktiviert und fügt seine Ergebnisse den Headern eingehender E-Mail-Nachrichten hinzu. DMARC-Richtlinien werden mit DNS-TXT-Ressourceneinträgen veröffentlicht und weisen E-Mail-Empfänger an, was mit der fehlgeschlagenen DMARC-Mail zu tun ist.

Lassen Sie uns den DMARC-Datensatz für Microsoft untersuchen:
_dmarc.microsoft.com. 3600 IN TXT “v = DMARC1; p = keine; pct = 100; rua = mailto:[email protected]; ruf=mailto:[email protected];; fo = 1
Der Wert “p” gibt die Richtlinie für die Organisationsdomäne an. Die Werte stehen für none, quarantäne und ablehnen. “Pct” steht für den Prozentsatz der Nachrichten, die einer Aktion ausgesetzt sind. “Rua” gibt an, wohin die aggregierten Berichte gesendet werden sollen.
Wenn die DMARC fehlschlägt, weist der Microsoft-Datensatz den Empfängerserver an, keine Maßnahmen zu ergreifen und aggregierte Berichte an Agari zu senden. A. Sicherheitsunternehmen von Drittanbietern. Die “p” -Werte können unter Quarantäne gestellt oder abgelehnt werden, wodurch der Empfängerserver angewiesen wird, die E-Mail unter Quarantäne zu stellen bzw. abzulehnen. Für einen DMARC-Datensatz sind nur die Tags “v” (Version) und “p” (Richtlinie) erforderlich.
Der Austausch von Online-Schutz mit SPF-, DKIM- und DMARC-Prüfungen erschwert das Leben des Spammers erheblich.

Similar Posts

Leave a Reply