So überprüft EOP die Absenderadresse, um Phishing zu verhindern

Hinweis

Sie möchten Microsoft 365 Defender ausprobieren? Erfahren Sie mehr darüber, wie Sie Microsoft 365 Defender auswerten und testen können.

Gilt für

Phishingangriffe stellen eine ständige Bedrohung für jede E-Mail-Organisation dar. Zusätzlich zur Verwendung von gefälschten (gefälschten) Absender-E-Mail-Adressen verwenden Angreifer häufig Werte in der Absenderadresse, die gegen Internetstandards verstoßen. Um diese Art von Phishing zu verhindern, benötigen Exchange Online Protection (EOP) und Outlook.com jetzt eingehende Nachrichten, um eine RFC-kompatible Absenderadresse einzuschließen, wie in diesem Artikel beschrieben. Diese Erzwingung wurde im November 2017 aktiviert.

Hinweise:

  • Wenn Sie regelmäßig E-Mails von Organisationen erhalten, deren Absenderadressen wie in diesem Artikel beschrieben falsch formatiert sind, sollten Sie diese Organisationen ermutigen, ihre E-Mail-Server so zu aktualisieren, dass sie den modernen Sicherheitsstandards entsprechen.

  • Das zugehörige Feld "Absender" (verwendet von "Senden im Auftrag" und "Mailinglisten") ist von diesen Anforderungen nicht betroffen. Weitere Informationen finden Sie im folgenden Blogbeitrag: Was bedeuten wir, wenn wir auf den "Absender" einer E-Mail verweisen?

Eine Übersicht über E-Mail-Nachrichtenstandards

Eine standardmäßige SMTP-E-Mail besteht aus einem Nachrichten-Envelope und dem Nachrichteninhalt. Der Nachrichtenumschlag enthält Informationen, die für die Übermittlung und Zustellung der Nachricht zwischen SMTP-Servern erforderlich sind. Der Nachrichteninhalt enthält Nachrichtenkopffelder (zusammenfassend als Nachrichtenkopf bezeichnet) sowie den Nachrichtentext. Der Nachrichtenumschlag wird in RFC 5321 beschrieben, und der Nachrichtenkopf wird in RFC 5322 beschrieben. Empfänger bekommen den aktuellen Nachrichtenumschlag nicht angezeigt, da er vom Nachrichtenübermittlungsprozess generiert wird und nicht tatsächlicher Bestandteil der Nachricht ist.

  • Die 5321.MailFrom-Adresse (auch als E-MAIL VON-Adresse, P1-Absender oder Umschlag-Absender bezeichnet) ist die E-Mail-Adresse, die bei der SMTP-Übertragung der Nachricht verwendet wird. Diese E-Mail-Adresse wird in der Regel im Return-Path-Kopfzeilenfeld im Nachrichtenkopf aufgezeichnet (obwohl es möglich ist, dass der Absender eine andere Return-Path-E-Mail-Adresse angibt).

  • Das 5322.From (auch als Von-Adresse oder P2-Absender bezeichnet) ist die E-Mail-Adresse im Von-Kopfzeilenfeld und die E-Mail-Adresse des Absenders, die in E-Mail-Clients angezeigt wird. Die From-Adresse steht im Mittelpunkt der Anforderungen in diesem Artikel.

Die From-Adresse ist in mehreren RFCs detailliert definiert (z. B. RFC 5322-Abschnitte 3.2.3, 3.4 und 3.4.1 und RFC 3696). Es gibt viele Unterschiede beim Adressieren und was als gültig oder ungültig betrachtet wird. Um dies einfach zu halten, empfehlen wir das folgende Format und die folgenden Definitionen:

From: "Display Name" <EmailAddress>

  • Anzeigename: Ein optionaler Ausdruck, der den Besitzer der E-Mail-Adresse beschreibt.

    • Es wird empfohlen, den Anzeigenamen immer wie dargestellt in doppelte Anführungszeichen (") einzuschließen. Wenn der Anzeigename ein Komma enthält, müssen Sie die Zeichenfolge gemäß RFC 5322 in doppelte Anführungszeichen setzen.
    • Wenn die Absenderadresse einen Anzeigenamen enthält, muss der EmailAddress-Wert wie dargestellt in eckige Klammern (< >) eingeschlossen werden.
    • Microsoft empfiehlt dringend, zwischen dem Anzeigenamen und der E-Mail-Adresse ein Leerzeichen einzufügen.
  • EmailAddress: Eine E-Mail-Adresse verwendet das Format local-part@domain:

    • local-part: Eine Zeichenfolge, die das postfach identifiziert, das der Adresse zugeordnet ist. Dieser Wert ist innerhalb der Domäne eindeutig. Häufig wird der Benutzername oder die GUID des Postfachbesitzers verwendet.
    • domäne: Der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) des E-Mail-Servers, der das postfach hostet, das durch den lokalen Teil der E-Mail-Adresse identifiziert wurde.

    Dies sind einige zusätzliche Überlegungen für den EmailAddress-Wert:

    • Nur eine E-Mail-Adresse.
    • Es wird empfohlen, die spitzen Klammern nicht durch Leerzeichen zu trennen.
    • Fügen Sie nach der E-Mail-Adresse keinen zusätzlichen Text ein.

Beispiele für gültige und ungültige From-Adressen

Die folgenden From-E-Mail-Adressen sind gültig:

  • From: sender@contoso.com

  • From: <sender@contoso.com>

  • From: < sender@contoso.com > (Nicht zu empfehlen, da leerzeichen zwischen den eckigen Klammern und der E-Mail-Adresse vorhanden sind.)

  • From: "Sender, Example" <sender.example@contoso.com>

  • From: "Microsoft 365" <sender@contoso.com>

  • From: Microsoft 365 <sender@contoso.com> (Nicht empfohlen, da der Anzeigename nicht in doppelte Anführungszeichen eingeschlossen ist.)

Die folgenden Von-E-Mail-Adressen sind ungültig:

  • Keine Absenderadresse: Einige automatisierte Nachrichten enthalten keine Absenderadresse. Als Microsoft 365 oder Outlook.com in der Vergangenheit eine Nachricht ohne Absenderadresse erhalten haben, hat der Dienst die folgende Standardadresse hinzugefügt: "Von", um die Nachricht zuzustellen:

    From: <>

    Nachrichten mit einer leeren Absenderadresse werden jetzt nicht mehr akzeptiert.

  • From: Microsoft 365 sender@contoso.com (Der Anzeigename ist vorhanden, die E-Mail-Adresse ist jedoch nicht in eckige Klammern eingeschlossen.)

  • From: "Microsoft 365" <sender@contoso.com> (Sent by a process) (Text hinter der E-Mail-Adresse.)

  • From: Sender, Example <sender.example@contoso.com> (Der Anzeigename enthält ein Komma, ist jedoch nicht in doppelte Anführungszeichen eingeschlossen.)

  • From: "Microsoft 365 <sender@contoso.com>" (Der gesamte Wert ist fälschlicherweise in doppelte Anführungszeichen eingeschlossen.)

  • From: "Microsoft 365 <sender@contoso.com>" sender@contoso.com (Der Anzeigename ist vorhanden, die E-Mail-Adresse ist jedoch nicht in eckige Klammern eingeschlossen.)

  • From: Microsoft 365<sender@contoso.com> (Kein Leerzeichen zwischen dem Anzeigenamen und der linken eckigen Klammer.)

  • From: "Microsoft 365"<sender@contoso.com> (Kein Leerzeichen zwischen dem schließenden doppelten Anführungszeichen und der linken eckigen Klammer.)

Unterdrücken automatischer Antworten auf Ihre benutzerdefinierte Domäne

Sie können den Wert From: <> nicht verwenden, um automatische Antworten zu unterdrücken. Stattdessen müssen Sie einen NULL-MX-Eintrag für Ihre benutzerdefinierte Domäne einrichten. Automatische Antworten (und alle Antworten) werden natürlich unterdrückt, da es keine veröffentlichte Adresse gibt, an die der antwortende Server Nachrichten senden kann.

  • Wählen Sie eine E-Mail-Domäne aus, die keine E-Mails empfangen kann. Wenn Ihre primäre Domäne beispielsweise contoso.com ist, können Sie noreply.contoso.com auswählen.

  • Der NULL-MX-Eintrag für diese Domäne besteht aus einem einzigen Punkt.

Beispiel:

noreply.contoso.com IN MX .

Weitere Informationen zum Einrichten von MX-Einträgen finden Sie unter Erstellen von DNS-Einträgen bei einem beliebigen DNS-Hostinganbieter für Microsoft 365.

Weitere Informationen zum Veröffentlichen eines NULL-MX finden Sie unter RFC 7505.

Außerkraftsetzen von Adresserzwingung

Um die Anforderungen an die Absenderadresse für eingehende E-Mails zu umgehen, können Sie die IP-Zulassungsliste (Verbindungsfilterung) oder Nachrichtenflussregeln (auch als Transportregeln bezeichnet) verwenden, wie unter "Erstellen von Listen sicherer Absender" in Microsoft 365 beschrieben.

Sie können die From-Adressanforderungen für ausgehende E-Mails, die Sie von Microsoft 365 senden, nicht überschreiben. Darüber hinaus lässt Outlook.com keine Außerkraftsetzungen jeglicher Art zu, auch nicht durch Support.

Andere Möglichkeiten, Cyberkriminalität in Microsoft 365 zu verhindern und vor Cyberkriminalität zu schützen

Weitere Informationen dazu, wie Sie Ihre Organisation gegen Phishing, Spam, Datenschutzverletzungen und andere Bedrohungen stärken können, finden Sie unter Bewährte Methoden zum Sichern von Microsoft 365 für Business-Pläne.