Bewährte Methoden für Unterstützung der Absenderauthentifizierung in Azure Communication Services-E-Mail

  • Artikel

Dieser Artikel enthält die bewährten Methoden für das Senden von E-Mails in DNS-Einträgen und die Verwendung der Methoden zur Absenderauthentifizierung, die Verhindern, dass Angreifer Nachrichten senden, die wie von Ihnen stammen Standard.

E-Mail-Authentifizierung und DNS-Einrichtung

Der Versand einer E-Mail erfordert mehrere Schritte, darunter die Überprüfung, ob der Absender der E-Mail tatsächlich Besitzer der Domäne ist, die Überprüfung der Domänenzuverlässigkeit, Virenscans, Filterung auf Spam, Phishingversuche, Schadsoftware usw. Das Konfigurieren einer ordnungsgemäßen E-Mail-Authentifizierung ist ein grundlegendes Prinzip, um Vertrauen in E-Mail zu schaffen und die Zuverlässigkeit Ihrer Domäne zu schützen. Wenn eine E-Mail die Authentifizierungsprüfungen besteht, kann die empfangende Domäne Richtlinien auf diese E-Mail anwenden, die der Zuverlässigkeit der Identitäten entsprechen, die den Authentifizierungsprüfungen zugeordnet sind, und der Empfänger kann sicher sein, dass diese Identitäten gültig sind.

MX-Eintrag (Mail Exchange)

Der MX-Eintrag (Mail Exchange) wird verwendet, um E-Mails an den richtigen Server weiterzuleiten. Er gibt den E-Mail-Server an, der für die Annahme von E-Mail-Nachrichten im Auftrag Ihrer Aufgaben verantwortlich ist Standard. DNS muss mit den neuesten Informationen zu MX-Einträgen Ihrer E-Mail aktualisiert werden Standard andernfalls führt es zu Zustellungsfehlern.

SPF (Sender Policy Framework)

SPF RFC 7208 ist ein Mechanismus, der es Domänenbesitzern ermöglicht, über einen standardmäßigen DNS-TXT-Eintrag eine Liste von Systemen zu veröffentlichen und zu pflegen, die autorisiert sind, in ihrem Auftrag E-Mail zu senden. Dieser Datensatz wird verwendet, um anzugeben, welche E-Mail-Server berechtigt sind, E-Mails im Auftrag Ihrer Aktion zu senden Standard. Es hilft, E-Mail-Spoofing zu verhindern und die E-Mail-Zustellbarkeit zu erhöhen.

DKIM (Domain Keys Identified Mail)

DKIM RFC 6376 ermöglicht es einer Organisation, die Verantwortung für die Übertragung einer Nachricht in einer Weise geltend zu machen, die vom Empfänger überprüft werden kann. Dieser Datensatz wird auch verwendet, um die Funktion zu authentifizieren Standard die E-Mail gesendet wird, und hilft, E-Mail-Spoofing zu verhindern und die E-Mail-Zustellbarkeit zu erhöhen.

DMARC (Domain-based Message Authentication, Reporting, and Conformance)

DMARC RFC 7489 ist ein skalierbarer Mechanismus, mit dem eine E-Mail sendende Organisation Richtlinien und Einstellungen auf Domänenebene für die Überprüfung, Bereitstellung und Meldung von Nachrichten ausdrücken kann, die eine E-Mail empfangende Organisation nutzen kann, um die Handhabung von E-Mails zu verbessern. Es wird auch verwendet, um anzugeben, wie E-Mail-Empfänger Nachrichten behandeln sollen, die SPF- und DKIM-Prüfungen nicht bestehen. Dies verbessert die E-Mail-Zustellbarkeit und trägt dazu bei, E-Mail-Spoofing zu verhindern.

ARC (Authenticated Received Chain)

Das ARC-Protokoll RFC 8617 bietet eine authentifizierte Aufbewahrungskette für eine Nachricht, die es jeder Entität, die die Nachricht verarbeitet, ermöglicht, die Entitäten, die die Nachricht zuvor verarbeitet haben, sowie die Authentifizierungsbewertung der Nachricht bei jedem Hop zu bestimmen. ARC ist noch kein Internetstandard, wird aber immer häufiger genutzt.

Funktionsweise der E-Mail-Authentifizierung

Bei der E-Mail-Authentifizierung wird überprüft, ob E-Mail-Nachrichten von einem Absender (z. B. notification@contoso.com) legitim sind und von erwarteten Quellen für diese E-Mail-Domäne stammen (z. B. contoso.com.) Eine E-Mail-Nachricht kann mehrere Ursprungs- bzw. Absenderadressen enthalten. Diese Adressen können für verschiedene Zwecke verwendet werden. Sehen Sie sich beispielsweise die folgenden Adressen an:

  • Die „Mail From“-Adresse (E-Mail von) bestimmt Absender und Ziel zurückgegebener Hinweise, wenn bei der Zustellung der Nachricht Probleme auftreten, z. B. für Hinweise zur Unzustellbarkeit. Sie befindet sich im Umschlagteil einer E-Mail-Nachricht und wird von Ihrer Anwendung nicht angezeigt. Sie wird auch als 5321.MailFrom- oder Reverse-Path-Adresse bezeichnet.

  • Die „Von“-Adresse ist die Adresse, die in Ihrer E-Mail-Anwendung als Adresse in „Von“ angezeigt wird. Diese Adresse identifiziert den Autor der E-Mail. Das heißt, das Postfach der Person oder des Systems, die bzw. das für das Verfassen der Nachricht verantwortlich ist. Sie wird auch als 5322.From-Adresse bezeichnet.

  • Sender Policy Framework (SPF) hilft bei der Überprüfung ausgehender E-Mails, die von Ihrer MAIL FROM-Domäne gesendet werden (von der Person stammen, die sie vorgibt zu sein).

  • DomainKeys Identified Mail (DKIM) trägt dazu bei, dass E-Mail-Zielsysteme Nachrichten, die von Ihrer Domäne stammen, vertrauen.

  • DMARC (Domain-based Message Authentication, Reporting, and Conformance) arbeitet mit SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) zusammen, um E-Mail-Absender zu authentifizieren und sicherzustellen, dass E-Mail-Zielsysteme den von Ihrer Domäne gesendeten Nachrichten vertrauen.

Implementieren von DMARC

Die Implementierung von DMARC mit SPF und DKIM bietet umfassenden Schutz vor Spoofing und Phishing-E-Mails. SPF verwendet einen DNS-TXT-Eintrag, um eine Liste der autorisierten sendenden IP-Adressen für eine bestimmte Domäne bereitzustellen. In der Regel werden SPF-Prüfungen nur für die „5321.MailFrom"-Adresse durchgeführt. Das bedeutet, dass die 5322.From-Adresse nicht authentifiziert wird, wenn Sie SPF allein verwenden. Dies ermöglicht ein Szenario, in dem ein Benutzer eine Nachricht empfangen kann, die zwar eine SPF-Prüfung besteht, aber eine gefälschte 5322.From-Absenderadresse hat.

Wie die DNS-Einträge für SPF ist der Eintrag für DMARC ein DNS-Texteintrag (TXT), der vor Spoofing- und Phishing-E-Mails schützt. Sie veröffentlichen DMARC-TXT-Einträge in DNS. DMARC-TXT-Einträge überprüfen die Herkunft von E-Mail-Nachrichten, indem sie die IP-Adresse des Verfassers einer E-Mail mit dem angeblichen Besitzer der absendenden Domäne abgleichen. Durch den DMARC-TXT-Eintrag werden autorisierte Server für ausgehende E-Mails gekennzeichnet. Die Ziel-E-Mail-Systeme können dann überprüfen, ob die empfangenen Nachrichten von autorisierten Servern für ausgehende E-Mails stammen. Dies führt dazu, dass die 5321.MailFrom- und die 5322.From-Adresse in allen von Ihrer Domäne gesendeten E-Mails nicht übereinstimmen und DMARC für diese E-Mails fehlschlägt. Um dies zu vermeiden, müssen Sie DKIM für Ihre Domäne einrichten.

Ein DMARC-Richtlinieneintrag ermöglicht einer Domäne die Ankündigung, dass für ihre E-Mail eine Authentifizierung erfolgt. Dieser Eintrag stellt eine E-Mail-Adresse bereit, um Feedback über die Verwendung der eigenen Domäne einzuholen und gibt eine angeforderte Richtlinie für die Handhabung von Nachrichten an, die die Authentifizierungsprüfungen nicht bestehen. Wir empfehlen Folgendes:

  • Richtlinienanweisungen mit Domänen, die DMARC-Einträge veröffentlichen, sollten nach Möglichkeit „p=reject“ lauten, andernfalls „p=quarantine“.
  • Die Richtlinienanweisungen „p=none“, „sp=none“ und „pct<100“ sollten nur als Übergangszustand betrachtet werden, wobei das Ziel ist, sie so schnell wie möglich zu entfernen.
  • Alle veröffentlichten DMARC-Richtlinieneinträge sollten mindestens ein „rua“-Tag enthalten, das auf ein Postfach für den Empfang von DMARC-Aggregatberichten verweist, und sollten beim Empfang von Berichten aufgrund von Datenschutzbedenken keine Antworten zurücksenden.

Nächste Schritte

Die Artikel zu den folgenden Themen könnten Sie auch interessieren: