Antispoofingschutz in Office 365Anti-spoofing protection in Office 365

In diesem Artikel wird beschrieben, wie Office 365 vor Phishingangriffen schützt, die gefälschte Absenderdomänen verwenden, d. h.Spoofdomänen.This article describes how Office 365 mitigates against phishing attacks that use forged sender domains, that is, domains that are spoofed. Dies wird erzielt, indem Nachrichten analysiert werden und diejenigen blockiert werden, die nicht mithilfe von standardmäßigen E-Mail-Authentifizierungsmethoden und anderen Absenderzuverlässigkeitsmethoden authentifiziert werden können.It accomplishes this by analyzing the messages and blocking the ones that cannot be authenticated using standard email authentication methods, nor other sender reputation techniques. Diese Änderung wurde implementiert, um die Anzahl der Phishingangriffe zu reduzieren, denen Organisationen in Office 365 ausgesetzt sind.This change was implemented to reduce the number of phishing attacks to which organizations in Office 365 are exposed.

In diesem Artikel wird erläutert, warum diese Änderung vorgenommen wurde, wie sich Kunden auf diese Änderung vorbereiten können, wie Sie Nachrichten anzeigen, die betroffen sind, wie Nachrichten gemeldet werden können, wie Sie falsch positive Ergebnisse vermeiden und wie sich Absender, die Nachrichten an Microsoft senden, auf diese Änderung vorbereiten können.This article also describes why this change is being made, how customers can prepare for this change, how to view messages that will be affected, how to report on messages, how to mitigate false positives, as well as how senders to Microsoft should prepare for this change.

Die Antispoofingtechnologie von Microsoft wurde ursprünglich für die Organisationen bereitgestellt, die ein Office 365 Enterprise E5-Abonnement hatten oder das Add-On Office 365 Advanced Threat Protection (ATP) für ihr Abonnement erworben haben.Microsoft's anti-spoofing technology was initially deployed to its organizations that had an Office 365 Enterprise E5 subscription or had purchased the Office 365 Advanced Threat Protection (ATP) add-on for their subscription. Ab Oktober 2018 wurde der Schutz auf Organisationen erweitert, die über Exchange Online Protection (EOP) verfügen.As of October, 2018 we extended the protection to organizations that have Exchange Online Protection (EOP) as well. Darüber hinaus können aufgrund der Art und Weise, wie alle unsere Filter voneinander lernen, Outlook.com-Benutzern ebenfalls betroffen sein.Additionally, because of the way all of our filters learn from each other, Outlook.com users may also be affected.

Verwenden von Spoofing bei PhishingangriffenHow spoofing is used in phishing attacks

Wenn es um den Schutz der Benutzer geht, nimmt Microsoft die Bedrohung durch Phishing ernst.When it comes to protecting its users, Microsoft takes the threat of phishing seriously. Eine der Methoden, die Spammer und Phisher häufig verwenden, ist Spoofing. Hierbei ist der Absender gefälscht, und eine Nachricht stammt von einer anderen Person oder von anderswo als der eigentlichen Quelle.One of the techniques that spammers and phishers commonly use is spoofing, which is when the sender is forged, and a message appears to originate from someone or somewhere other than the actual source. Diese Methode wird häufig bei Phishingkampagnen verwendet, die darauf abzielen, Anmeldeinformationen des Benutzers abzurufen.This technique is often used in phishing campaigns designed to obtain user credentials. Die Antispoofingtechnologie von Microsoft untersucht speziell die Fälschung des „Von-Felds“, das in einem E-Mail-Client wie Outlook angezeigt wird.Microsoft's Anti-spoof technology specifically examines forgery of the 'From: header' which is the one that shows up in an email client like Outlook. Wenn das Von-Feld mit hoher Wahrscheinlichkeit gefälscht ist, wird die Nachricht von der Technologie als Spoof identifiziert.When Microsoft has high confidence that the From: header is spoofed, it identifies the message as a spoof.

Spoofingnachrichten weisen in der Praxis zwei negative Auswirkungen für Benutzer auf:Spoofing messages have two negative implications for real life users:

1. Gefälschte Nachrichten täuschen Benutzer1. Spoofed messages deceive users

Erstens kann eine gefälschte Nachricht einen Benutzer dazu bringen, auf einen Link zu klicken und seine Anmeldeinformationen anzugeben, Malware herunterzuladen oder auf eine Nachricht mit vertraulichen Inhalten zu antworten (Letzteres wird als Business Email Compromise bezeichnet).First, a spoofed message may trick a user into clicking a link and giving up their credentials, downloading malware, or replying to a message with sensitive content (the latter of which is known as Business Email Compromise). Es folgt ein Beispiel für eine Phishingnachricht mit einem gefälschten Absender msoutlook94@service.outlook.com:For example, the following is a phishing message with a spoofed sender of msoutlook94@service.outlook.com:

Phishingnachricht, die die Identität von service.outlook.com angenommen hat

Die obige Nachricht stammt nicht von service.outlook.com, sondern wurde vom Phisher gefälscht, damit es so aussieht, als würde sie von dieser Domäne gesendet.The above did not actually come from service.outlook.com, but instead was spoofed by the phisher to make it look like it did. Mit dieser Nachricht wird versucht, einen Benutzer dazu zu bringen, auf den Link in der Nachricht zu klicken.It is attempting to trick a user into clicking the link within the message.

Im nächsten Beispiel wurde die Identität von contoso.com angenommen:The next example is spoofing contoso.com:

Phishingnachricht – Business Email Compromise

Die Nachricht sieht seriös aus, in Wirklichkeit handelt es sich um Spoof.The message looks legitimate, but in fact is a spoof. Diese Phishingnachricht ist eine Art von BEC-Angriffen (Business Email Compromise), die eine Unterkategorie von Phishing ist.This phishing message is a type of Business Email Compromise which is a subcategory of phishing.

2. Benutzer verwechseln echte und gefälschte Nachrichten2. Users confuse real messages for fake ones

Zweitens sorgen gefälschte Nachrichten für Unsicherheit bei Benutzern, die sich mit Phishingnachrichten auskennen, jedoch nicht den Unterschied zwischen einer echten Nachricht und einer gefälschten Nachricht benennen können.Second, spoofed messages create uncertainty for users who know about phishing messages but cannot tell the difference between a real message and spoofed one. Es folgt ein Beispiel für eine echte Nachricht zur Kennwortzurücksetzung von der E-Mail-Adresse des Microsoft Security-Kontos:For example, the following is an example of an actual password reset from the Microsoft Security account email address:

Seriöse Nachricht zur Kennwortzurücksetzung von Microsoft

Die obige Nachricht wurde von Microsoft gesendet. Gleichzeitig sind Benutzer es Benutzer jedoch gewohnt, Phishingnachrichten zu erhalten, die Sie dazu bringen sollen, auf einen Link zu klicken und ihre Anmeldeinformationen anzugeben, Malware herunterzuladen oder auf eine Nachricht mit vertraulichen Inhalten zu antworten.The above message did come from Microsoft, but at the same time, users are used to getting phishing messages that may trick a user into clicking a link and giving up their credentials, downloading malware, or replying to a message with sensitive content. Da es schwierig ist, zwischen einer echten Kennwortzurücksetzung und einer gefälschten zu unterscheiden, ignorieren viele Benutzer diese Nachrichten, melden sie als Spam oder senden diese Nachrichten als nicht erkannte Phishing-Versuche an Microsoft zurück.Because it is difficult to tell the difference between a real password reset and a fake one, many users ignore these messages, report them as spam, or unnecessarily report the messages back to Microsoft as missed phishing scams.

Um Spoofing zu stoppen, wurden von der E-Mail-Filterungsbranche E-Mail-Authentifizierungsprotokolle wie SPF, DKIM und DMARC entwickelt.To stop spoofing, the email filtering industry has developed email authentication protocols such as SPF, DKIM, and DMARC. DMARC verhindert Spoofing, indem der Absender einer Nachricht – derjenige, der dem Benutzer im E-Mail-Client angezeigt wird (in den obigen Beispielen ist dies service.outlook.com, outlook.com und accountprotection.microsoft.com) – mit der Domäne untersucht wird, die SPF oder DKIM übergeben hat.DMARC prevents spoofing examining a message's sender - the one that the user sees in their email client (in the examples above, this is service.outlook.com, outlook.com, and accountprotection.microsoft.com) - with the domain that passed SPF or DKIM. Die Domäne, die dem Benutzer angezeigt wird, wurde authentifiziert und ist daher nicht gefälscht.That is, the domain that the user sees has been authenticated and is therefore not spoofed. Detaillierte Informationen dazu finden Sie im späteren Verlauf dieses Artikels im Abschnitt „Warum E-Mail-Authentifizierung nicht immer ausreicht, um Spoofing zu stoppen“ For a more complete discussion, see the section "Understanding why email authentication is not always enough to stop spoofing" later on in this article.

Das Problem ist jedoch, dass die E-Mail-Authentifizierungsdatensätze optional sind, nicht erforderlich.However, the problem is that email authentication records are optional, not required. Während Domänen mit Richtlinien für sichere Authentifizierung wie microsoft.com und skype.com vor Spoofing geschützt sind, werden Domänen mit schwächeren oder ohne Authentifizierungsrichtlinien Ziel für Spoofing sind. Seit März 2018 verfügen nur 9 % der Domänen der Fortune 500-Unternehmen über Richtlinien für sichere E-Mail-Authentifizierung.Therefore, while domains with strong authentication policies like microsoft.com and skype.com are protected from spoofing, domains that publish weaker authentication policies, or no policy at all, are targets for being spoofed.As of March 2018, only 9% of domains of companies in the Fortune 500 publish strong email authentication policies. Die verbleibenden 91 % können von einem Phisher gefälscht werden und werden, wenn sie nicht von einem E-Mail-Filter anhand einer anderen Richtlinie als solche erkannt werden, an den Endbenutzer übermittelt und können diesen täuschen:The remaining 91% may be spoofed by a phisher, and unless the email filter detects it using another policy, may be delivered to an end user and deceive them:

DMARC-Richtlinien von Fortune 500-Unternehmen

Der Anteil kleiner und mittelständischer Unternehmen, die keine Fortune 500-Unternehmen sind und Richtlinien für sichere E-Mail-Authentifizierung veröffentlichen, ist kleiner und noch kleiner für Domänen außerhalb von Nordamerika und Westeuropa.The proportion of small-to-medium sized companies that are not in the Fortune 500 that publish strong email authentication policies is smaller, and smaller still for domains that are outside of North America and western Europe.

Dies ist ein großes Problem, denn während Unternehmen möglicherweise nicht wissen, wie die E-Mail-Authentifizierung funktioniert, wissen Phisher den Mangel auszunutzen.This is a big problem because while enterprises may not be aware of how email authentication works, phishers do understand and take advantage of the lack of it.

Informationen zum Einrichten von SPF, DKIM und DMARC finden Sie im späteren Verlauf dieses Dokuments im Abschnitt „Kunden von Office 365“.For information on setting up SPF, DKIM, and DMARC, see the section "Customers of Office 365" later on in this document.

Stoppen von Spoofing mit impliziter E-Mail-AuthentifizierungStopping spoofing with implicit email authentication

Da Phishing und Spear-Phishing ein solches Problem darstellen und die Einführung von Richtlinien für sichere E-Mail-Authentifizierung begrenzt ist, arbeitet Microsoft weiterhin daran, investiert Microsoft weiterhin in Möglichkeiten zum Schutz seiner Kunden.Because phishing and spear phishing is such a problem, and because of the limited adoption of strong email authentication policies, Microsoft continues to invest in capabilities to protect its customers. Daher arbeitet Microsoft daran, die implizite E-Mail-Authentifizierung voranzutreiben – Wenn eine Domäne nicht authentifiziert ist, wird sie von Microsoft so behandelt, als ob sie E-Mail-Authentifizierungsdatensätze veröffentlicht hätte, und wird entsprechend behandelt, wenn sie sie nicht übergibt.Therefore, Microsoft is moving ahead with implicit email authentication - if a domain doesn't authenticate, Microsoft will treat it as if it had published email authentication records and treat it accordingly if it doesn't pass.

Zu diesem Zweck hat Microsoft zahlreiche Erweiterungen zur normalen E-Mail-Authentifizierung entwickelt, darunter Absenderzuverlässigkeit, Absender/Empfängerverlauf, Verhaltensanalyse und weitere erweiterte Methoden.To accomplish this, Microsoft has built numerous extensions to regular email authentication including sender reputation, sender/recipient history, behavioral analysis, and other advanced techniques. Eine Nachricht von einer Domäne, die keine E-Mail-Authentifizierung veröffentlicht, wird als Spoof gekennzeichnet, wenn sie nicht auf andere Weise signalisiert, dass es sich dabei um eine seriöse Nachricht handelt.A message sent from a domain that doesn't publish email authentication will be marked as spoof unless it contains other signals to indicate that it is legitimate.

So können Endbenutzer darauf vertrauen, dass es sich bei einer E-Mail, die an sie gesendet wurde, nicht um eine gefälschte Nachricht handelt und niemand die Identität dieser Domäne angenommen hat. Kunden von Office 365 können sogar besseren Schutz wie Schutz vor Identitätswechsel bieten.By doing this, end users can have confidence that an email sent to them has not been spoofed, senders can be confident that nobody is impersonating their domain, and customers of Office 365 can offer even better protection such as Impersonation protection.

Eine allgemeine Ankündigung von Microsoft finden Sie unter A Sea of Phish Part 2 – Enhanced Anti-spoofing in Office 365.To see Microsoft's general announcement, see A Sea of Phish Part 2 - Enhanced Anti-spoofing in Office 365.

Erkennen, dass eine Nachricht als gefälscht eingestuft istIdentifying that a message is classified as spoofed

Zusammengesetzte AuthentifizierungComposite authentication

Obwohl SPF, DKIM und DMARC an sich hilfreich sind, wird hier der Authentifizierungsstatus nicht ausreichend kommuniziert, wenn eine Nachricht keine expliziten Authentifizierungsdatensätze enthält.While SPF, DKIM, and DMARC are all useful by themselves, they don't communicate enough authentication status in the event a message has no explicit authentication records. Daher hat Microsoft einen Algorithmus entwickelt, der mehrere Signale in einem einzelnen Wert kombiniert, auch als Composite Authentication (zusammengesetzte Authentifizierung) oder Compauth bezeichnet.Therefore, Microsoft has developed an algorithm that combines multiple signals into a single value called Composite Authentication, or compauth for short. Office 365-Kunden verfügen über Compauth-Werte im Authentication-Results-Header in den Nachrichtenköpfen.Customers in Office 365 have compauth values stamped into the Authentication-Results header in the message headers.

Authentication-Results:
  compauth=<fail|pass|softpass|none> reason=<yyy>

CompAuth-ErgebnisCompAuth result BeschreibungDescription
failfail Die explizite Authentifizierung (sendende Domäne hat explizit Datensätze im DNS veröffentlicht) oder implizite Authentifizierung (sendende Domäne hat keine Datensätze im DNS veröffentlicht, sodass Office 365 das Ergebnis interpoliert hat, als ob sie Datensätze veröffentlicht hätte) für die Nachricht ist fehlgeschlagen.Message failed explicit authentication (sending domain published records explicitly in DNS) or implicit authentication (sending domain did not publish records in DNS, so Office 365 interpolated the result as if it had published records).
passpass Die Nachricht hat die explizite Authentifizierung bestanden (Nachricht hat DMARC oder Best Guess Passed DMARC übergeben) oder die implizite Authentifizierung mit einem vertrauenswürdigen Ergebnis bestanden (sendende Domäne hat keine E-Mail-Authentifizierungsdatensätze veröffentlicht, Office 365 hat jedoch starke Back-End-Signale erhalten, die angeben, dass die Nachricht wahrscheinlich seriös ist).Message passed explicit authentication (message passed DMARC, or Best Guess Passed DMARC) or implicit authentication with high confidence (sending domain does not publish email authentication records, but Office 365 has strong backend signals to indicate the message is likely legitimate).
softpasssoftpass Nachricht hat die implizite Authentifizierung mit niedrigem bis mittlerem vertrauenswürdigen Ergebnis bestanden (sendende Domäne hat keine E-Mail-Authentifizierung veröffentlicht, Office 365 hat jedoch starke Back-End-Signale erhalten, die angeben, dass die Nachricht seriös ist, die Stärke des Signals ist jedoch schwächer).Message passed implicit authentication with low-to-medium confidence (sending domain does not publish email authentication, but Office 365 has backend signals to indicate the message is legitimate but the strength of the signal is weaker).
nonenone Die Nachricht wurde nicht authentifiziert (oder wurde authentifiziert, jedoch nicht ausgerichtet), die zusammengesetzte Authentifizierung wurde jedoch aufgrund der Absenderzuverlässigkeit oder anderer Faktoren nicht angewendet.Message did not authenticate (or it did authenticate but did not align), but composite authentication not applied due to sender reputation or other factors.
GrundReason BeschreibungDescription
0xx0xx Die zusammengesetzte Authentifizierung für die Nachricht ist fehlgeschlagen.Message failed composite authentication.
000 gibt an, dass DMARC für die Nachricht mit einer Aktion der Ablehnung oder Quarantäne fehlgeschlagen ist.000 means the message failed DMARC with an action of reject or quarantine.
001 gibt an, dass die implizite E-Mail-Authentifizierung für die Nachricht fehlgeschlagen ist.001 means the message failed implicit email authentication. Das bedeutet, dass die sendende Domäne keinen E-Mail-Authentifizierungsdatensätze veröffentlicht hat, oder wenn sie sie veröffentlicht hat, sie eine schwächere Fehlerrichtlinie hatten (SPF Soft Fail oder neutral, DMARC-Richtlinie von p = none).This means that the sending domain did not have email authentication records published, or if they did, they had a weaker failure policy (SPF soft fail or neutral, DMARC policy of p=none).
002 gibt an, dass die Organisation über eine Richtlinie für das Absender/Domänepaar verfügt, für die das Senden von gefälschten E-Mails explizit untersagt ist. Diese Einstellung wird manuell vom Administrator festgelegt.002 means the organization has a policy for the sender/domain pair that is explicitly prohibited from sending spoofed email, this setting is manually set by an administrator.
010 gibt an, dass DMARC für die Nachricht mit einer Aktion der Ablehnung oder Quarantäne fehlgeschlagen ist und die sendende Domäne eine der in der Organisation zulässigen Domänen ist (Dies ist Teil von Self-to-Self Spoofing oder organisationsinternem Spoofing).010 means the message failed DMARC with an action of reject or quarantine, and the sending domain is one of your organization's accepted-domains (this is part of self-to-self, or intra-org, spoofing).
011 gibt an, dass die implizite E-Mail-Authentifizierung für die Nachricht fehlgeschlagen ist und die sendende Domäne eine der in der Organisation zulässigen Domänen ist (Dies ist Teil von Self-to-Self Spoofing oder organisationsinternem Spoofing).011 means the message failed implicit email authentication, and the sending domain is one of your organization's accepted domains (this is part of self-to-self, or intra-org, spoofing).
Alle sonstigen Codes (1xx, 2xx, 3xx, 4xx, 5xx)All other codes (1xx, 2xx, 3xx, 4xx, 5xx) Entspricht verschiedenen internen Codes, warum die implizite Authentifizierung für eine Nachricht erfolgreich war oder warum keine Authentifizierung stattgefunden hat, aber keine Aktion angewendet wurde.Corresponds to various internal codes for why a message passed implicit authentication, or had no authentication but no action was applied.

Anhand der Kopfzeilen einer Nachricht kann ein Administrator oder ein Endbenutzer erkennen, wie Office 365 zu dem Ergebnis kommt, dass es sich bei dem Absender um einen gefälschten Absender handeln könnte.By looking at the headers of a message, an administrator or even an end user can determine how Office 365 arrives at the conclusion that the sender may be spoofed.

Unterscheidung zwischen verschiedenen Typen von SpoofingDifferentiating between different types of spoofing

Microsoft unterscheidet zwei verschiedene Typen von Spoofingnachrichten:Microsoft differentiates between two different types of spoofing messages:

Organisationsinternes SpoofingIntra-org spoofing

Dies wird auch als Self-to-Self-Spoofing bezeichnet.Dies tritt auf, wenn die Domäne in der „Von“-Adresse der Empfängerdomäne oder wenn die Empfängerdomäne eine der in der Organisation akzeptierten Domänen entspricht; oder wenn die Domäne in der „Von“-Adresse Teil der gleichen Organisation ist.Also known as self-to-self spoofing, this occurs when the domain in the From: address is the same as, or aligns with, the recipient domain (when recipient domain is one of your organization's Accepted Domains); or, when the domain in the From: address is part of the same organization.

Im folgenden Beispiel weist der Absender und der Empfänger die gleiche Domäne (contoso.com) auf.For example, the following has sender and recipient from the same domain (contoso.com). Leerzeichen werden in die E-Mail-Adresse eingefügt, um das Spambot-Harvesting auf dieser Seite zu verhindern):Spaces are inserted into the email address to prevent spambot harvesting on this page):

Von: absender @ contoso.comFrom: sender @ contoso.com

An: empfänger @ contoso.comTo: recipient @ contoso.com

Im Folgenden weisen die Absender- und Empfängerdomäne die Organisationsdomäne (fabrikam.com) auf:The following has the sender and recipient domains aligning with the organizational domain (fabrikam.com):

Von: absender @ foo.fabrikam.comFrom: sender @ foo.fabrikam.com

An: empfänger @ bar.fabrikam.comTo: recipient @ bar.fabrikam.com

Im folgenden Beispiel sind die Absender- und Empfängerdomänen unterschiedlich (microsoft.com und bing.com), sie gehören jedoch derselben Organisation an (d. h. beide sind Teil der in der Organisation akzeptierten Domänen):The following sender and recipient domains are different (microsoft.com and bing.com), but they belong to the same organization (that is, both are part of the organization's Accepted Domains):

Von: absender @ microsoft.comFrom: sender @ microsoft.com

An: empfänger @ bing.comTo: recipient @ bing.com

Nachrichten, für die das organisationsinternte Spoofing fehlschlägt, enthalten die folgenden Werte im Nachrichtenkopf:Messages that fail intra-org spoofing contain the following values in the headers:

X-Forefront-Antispam-Report: ...CAT:SPM/HSPM/PHSH;...SFTY:9.11X-Forefront-Antispam-Report: ...CAT:SPM/HSPM/PHSH;...SFTY:9.11

CAT ist die Kategorie der Nachricht. Sie wird in der Regel als SPM (Spam) gekennzeichnet, gelegentlich kann dies jedoch HSPM (Nachricht mit hoher Spamwahrscheinlichkeit) oder PHISH (Phishing) sein, je nachdem, welche anderen Typen von Mustern in der Nachricht auftreten.The CAT is the category of the message, and it is normally stamped as SPM (spam), but occasionally may be HSPM (high confidence spam) or PHISH (phishing) depending upon what other types of patterns occur in the message.

SFTY ist die Sicherheitsstufe der Nachricht. Die erste Ziffer (9) gibt an, dass es sich bei der Nachricht um Phishing handelt, und die zweite Gruppe von Ziffern nach dem Punkt (11) gibt an, dass es sich um organisationsinternes Spoofing handelt.The SFTY is the safety level of the message, the first digit (9) means the message is phishing, and second set of digits after the dot (11) means it is intra-org spoofing.

Es gibt keinen spezifischen Ursachencode für die zusammengesetzte Authentifizierung für organisationsinternes Spoofing, der später in 2018 gekennzeichnet ist (Zeitachse noch nicht definiert).There is no specific reason code for Composite Authentication for intra-org spoofing, that will be stamped later in 2018 (timeline not yet defined).

Domänenübergreifendes SpoofingCross-domain spoofing

Dies tritt auf, wenn die sendende Domäne in der „Von“-Adresse eine externe Domäne für die empfangende Organisation ist.This occurs when the sending domain in the From: address is an external domain to the receiving organization. Nachrichten, für die die zusammengesetzte Authentifizierung aufgrund von domänenübergreifendem Spoofing fehlschlägt, enthalten die folgenden Werte in der Nachrichtenkopfzeile:Messages that fail Composite Authentication due to cross-domain spoofing contain the following values in the headers:

Authentication-Results: …Authentication-Results: … compauth=fail reason=000/001compauth=fail reason=000/001

X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.22X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.22

In beiden Fällen ist die Nachricht mit einem roten Sicherheitstipp oder einer Entsprechung gekennzeichnet, die an die Sprache des Empfängerpostfachs angepasst ist:In both cases, the following red safety tip is stamped in the message, or an equivalent that is customized to the recipient mailbox's language:

Roter Sicherheitstipp – Betrugserkennung

Sie können anhand der „Von“-Adresse und der Empfänger-E-Mail-Adresse oder anhand der E-Mail-Kopfzeilen zwischen organisationsinternem oder domänenübergreifendem Spoofing unterscheiden.It's only by looking at the From: address and knowing what your recipient email is, or by inspecting the email headers, that you can differentiate between intra-org and cross-domain spoofing.

Vorbereitung von Office 365-Kunden auf den neuen AntispoofingschutzHow customers of Office 365 can prepare themselves for the new anti-spoofing protection

Informationen für AdministratorenInformation for administrators

Als Administrator einer Organisation in Office 365 sollten Sie die folgenden Informationen beachten.As an administrator of an organization in Office 365, there are several key pieces of information you should be aware of.

Warum E-Mail-Authentifizierung nicht immer ausreicht, um Spoofing zu stoppenUnderstanding why email authentication is not always enough to stop spoofing

Der neue Antispoofingschutz basiert auf der E-Mail-Authentifizierung (SPF, DKIM und DMARC), um eine Nachricht nicht als Spoofing zu kennzeichnen.The new anti-spoofing protection relies on email authentication (SPF, DKIM, and DMARC) to not mark a message as spoofing. Ein gängiges Beispiel hierfür ist, wenn die sendende Domäne bisher keine SPF-Datensätze veröffentlicht hat.A common example is when a sending domain has never published SPF records. Wenn SPF-Datensätze nicht vorhanden oder nicht ordnungsgemäß eingerichtet wurden, wird eine gesendete Nachricht als Spoofnachricht gekennzeichnet, solange die Nachricht nicht von der Back-End-Intelligenz von Microsoft als seriös eingestuft wird.If there are no SPF records or they are incorrectly set up, a sent message will be marked as spoofed unless Microsoft has back-end intelligence that says the message is legitimate.

Bevor Antispoofing bereitgestellt wurde, sah eine Nachricht ohne SPF-, DKIM- und DMARC-Datensatz möglicherweise wie folgt aus:For example, prior to anti-spoofing being deployed, a message may have looked like the following with no SPF record, no DKIM record, and no DMARC record:

Authentication-Results: spf=none (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; contoso.com; dkim=none
  (message not signed) header.d=none; contoso.com; dmarc=none
  action=none header.from=example.com;
From: sender @ example.com
To: receiver @ contoso.com

Nach dem Antispoofing wies sie den folgenden CompAuth-Wert auf, wenn Office 365 Enterprise E5, EOP oder ATP verwendet wurde:After anti-spoofing, if you have Office 365 Enterprise E5, EOP, or ATP, the compauth value is stamped:

Authentication-Results: spf=none (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; contoso.com; dkim=none
  (message not signed) header.d=none; contoso.com; dmarc=none
  action=none header.from=example.com; compauth=fail reason=001
From: sender @ example.com
To: receiver @ contoso.com

Wenn example.com dies durch Einrichten eines SPF-Eintrags, aber nicht eines DKIM-Eintrags behoben hat, würde die Nachricht die zusammengesetzte Authentifizierung bestehen, da die Domäne, die SPF übergeben hat, der Domäne in der „Von-Adresse entspricht:If example.com fixed this by setting up an SPF record but not a DKIM record, this would pass composite authentication because the domain that passed SPF aligned with the domain in the From: address:

Authentication-Results: spf=pass (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; contoso.com; dkim=none
  (message not signed) header.d=none; contoso.com; dmarc=bestguesspass
  action=none header.from=example.com; compauth=pass reason=109
From: sender @ example.com
To: receiver @ contoso.com

Wenn ein DKIM-Eintrag jedoch nicht ein SPF-Eintrag eingerichtet wurde, würde die Nachricht die zusammengesetzte Authentifizierung auch bestehen, da die Domäne in der DKIM-Signatur der Domäne in der „Von“-Adresse entspricht:Or, if they set up a DKIM record but not an SPF record, this would also pass composite authentication because the domain in the DKIM-Signature that passed aligned with the domain in the From: address:

Authentication-Results: spf=none (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; contoso.com; dkim=pass
  (signature was verified) header.d=outbound.example.com;
  contoso.com; dmarc=bestguesspass action=none
  header.from=example.com; compauth=pass reason=109
From: sender @ example.com
To: receiver @ contoso.com

Ein Phisher kann möglicherweise auch SPF und DKIM einrichten und die Nachricht mit einer eigenen Domäne signieren, jedoch eine andere Domäne in der „Von“-Adresse angeben.However, a phisher may also set up SPF and DKIM and sign the message with their own domain, but specify a different domain in the From: address. Weder SPF noch DKIM erfordert, dass die Domäne mit der Domäne in der „Von“-Adresse übereinstimmt. Solange also example.com keine DMARC-Datensätze veröffentlicht hat, wird die Nachricht unter Verwendung von DMARC nicht als Spoofnachricht gekennzeichnet:Neither SPF nor DKIM requires the domain to align with the domain in the From: address, so unless example.com published DMARC records, this would not be marked as a spoof using DMARC:

Authentication-Results: spf=pass (sender IP is 5.6.7.8)
  smtp.mailfrom=maliciousDomain.com; contoso.com; dkim=pass
  (signature was verified) header.d=maliciousDomain.com;
  contoso.com; dmarc=none action=none header.from=example.com;
From: sender @ example.com
To: receiver @ contoso.com

Im E-Mail-Client (Outlook, Outlook im Web oder einem anderen E-Mail-Client) wird nur die „Von“-Domäne angezeigt, nicht die Domäne in SPF oder DKIM. Dies kann dazu führen, dass der Benutzer in die Irre geführt wird und davon ausgeht, dass die Nachricht von example.com gesendet wurde, während sie jedoch tatsächlich von maliciousDomain.com stammt.In the email client (Outlook, Outlook on the web, or any other email client), only the From: domain is displayed, not the domain in the SPF or DKIM, and that can mislead the user into thinking the message came from example.com, but actually came from maliciousDomain.com.

Authentifizierte Nachricht, „Von“-Domäne stimmt jedoch nicht mit der Domäne überein, die von SPF oder DKIM übergeben wurde

Aus diesem Grund erfordert Office 365, dass die Domäne in der „Von“-Adresse der Domäne in der SPF- oder DKIM-Signatur entspricht. Wenn dies nicht der Fall ist, muss sie andere interne Signale aufweisen, die darauf hindeuten, dass es sich dabei um eine seriöse Nachricht handelt.For that reason, Office 365 requires that the domain in the From: address aligns with the domain in the SPF or DKIM signature, and if it doesn't, contains some other internal signals that indicates that the message is legitimate. Andernfalls wäre die zusammengesetzte Authentifizierung für die Nachricht fehlgeschlagen.Otherwise, the message would be a compauth fail.

Authentication-Results: spf=none (sender IP is 5.6.7.8)
  smtp.mailfrom=maliciousDomain.com; contoso.com; dkim=pass
  (signature was verified) header.d=maliciousDomain.com;
  contoso.com; dmarc=none action=none header.from=contoso.com;
  compauth=fail reason=001
From: sender@contoso.com
To: someone@example.com

Der Antispoofingschutz von Office 365 schützt folglich vor Domänen ohne Authentifizierung und Domänen, die eine Authentifizierung eingerichtet haben, die Domäne in der „Von“-Adresse jedoch nicht der Domäne entspricht, die dem Benutzer als Absender der Nachricht angezeigt wird.Thus, Office 365 anti-spoofing protects against domains with no authentication, and against domains who set up authentication but mismatch against the domain in the From: address as that is the one that the user sees and believes is the sender of the message. Dies gilt sowohl für Domänen außerhalb und innerhalb Ihrer Organisation.This is true both of domains external to your organization, as well as domains within your organization.

Sollten Sie jemals eine Nachricht empfangen, für die die zusammengesetzte Authentifizierung fehlgeschlagen ist und die als Spoofnachricht gekennzeichnet ist, obwohl SPF und DKIM erfolgreich waren, bedeutet dies, dass die Domäne, für die SPF und DKIM erfolgreich waren, nicht der Domäne in der „Von“-Adresse entspricht.Therefore, if you ever receive a message that failed composite authentication and is marked as spoofed, even though the message passed SPF and DKIM, it's because the domain that passed SPF and DKIM are not aligned with the domain in the From: address.

Grundlegendes zu Änderungen bei Behandlung von Spoof-E-MailsUnderstanding changes in how spoofed emails are treated

Derzeit werden für alle Organisationen in Office 365 – ATP und Nicht-ATP – Nachrichten, für die DMARC mit einer Richtlinie zur Ablehnung oder Quarantäne fehlschlägt, als Spam markiert und es werden Aktionen für Nachrichten mit hoher Spamwahrscheinlichkeit oder normale Spamaktionen durchgeführt (je nachdem, ob andere Spamregeln sie zuerst als Spam kennzeichnen).Currently, for all organizations in Office 365 - ATP and non-ATP - messages that fail DMARC with a policy of reject or quarantine are marked as spam and usually take the high confidence spam action, or sometimes the regular spam action (depending on whether other spam rules first identify it as spam). Bei Erkennung von organisationsinternem Spoofing werden reguläre Spamaktionen durchgeführt.Intra-org spoof detections take the regular spam action. Dieses Verhalten muss nicht aktiviert werden und kann auch nicht deaktiviert werden.This behavior does not need to be enabled, nor can it be disabled.

Für domänenübergreifende Spoofingnachrichten wurden vor dieser Änderung jedoch reguläre Spam-, Phishing- und Malwareprüfungen durchgeführt, und wenn andere Teile des Filters diese als verdächtig eingestuft haben, wurden sie entsprechend als Spam, Phishing oder Malware gekennzeichnet.However, for cross-domain spoofing messages, before this change they would go through regular spam, phish, and malware checks and if other parts of the filter identified them as suspicious, would mark them as spam, phish, or malware respectively. Mit dem neuen domänenübergreifenden Spoofingschutz werden für alle Nachrichten, die standardmäßig nicht authentifiziert werden können, die Aktionen durchgeführt, die unter „Antiphishing“ > „Antispoofingrichtlinie“ definiert sind.With the new cross-domain spoofing protection, any message that can't be authenticated will, by default, take the action defined in the Anti-phishing > Anti-spoofing policy. Wenn eine nicht definiert ist, wird die Nachricht in den Junk-E-Mail-Ordner des Benutzers verschoben.If one is not defined, it will be moved to a users Junk Email folder. In einigen Fällen werden auch verdächtigere Nachrichten mit dem roten Sicherheitstipp versehen.In some cases, more suspicious messages will also have the red safety tip added to the message.

Dies kann dazu führen, dass einige Nachrichten, die zuvor als Spam gekennzeichnet waren, weiterhin als Spam gekennzeichnet und zusätzlich mit einem roten Sicherheitstipp versehen sind; In anderen Fällen werden Nachrichten, die zuvor nicht als Spam gekennzeichnet waren, jetzt als Spam gekennzeichnet (CAT:SPOOF) und mit einem roten Sicherheitstipp versehen.This may result in some messages that were previously marked as spam still getting marked as spam but will now also have a red safety tip; in other cases, messages that were previously marked as non-spam will start getting marked as spam (CAT:SPOOF) with a red safety tip added. In wieder anderen Fällen, werden die Spam- und Phishingnachrichten, die zuvor von Kunden in Quarantäne verschoben wurden, in den Junk-E-Mail-Ordner verschoben (Informationen zum Ändern dieses Verhaltens finden Sie unter Ändern der Antispoofing-Einstellungen).In still other cases, customers that were moving all spam and phish to the quarantine would now see them going to the Junk Mail Folder (this behavior can be changed, see Changing your anti-spoofing settings).

Es gibt viele verschiedene Typen von Spoofing (siehe Unterscheidung zwischen verschiedenen Typen von Spoofing weiter oben in diesem Artikel), seit März 2018 ist jedoch die Art, die diese Nachrichten von Office 365 gehandhabt werden, noch nicht vereinheitlicht.There are multiple different ways a message can be spoofed (see Differentiating between different types of spoofing earlier in this article) but as of March 2018 the way Office 365 treats these messages is not yet unified. Die folgende Tabelle enthält eine kurze Zusammenfassung, wobei das neue Verhalten beim domänenübergreifenden Spoofingschutz berücksichtigt wird:The following table is a quick summary, with Cross-domain spoofing protection being new behavior:

SpoofingtypType of spoof KategorieCategory Sicherheitstipp hinzugefügt?Safety tip added? Gilt fürApplies to
DMARC fehlgeschlagen (Quarantäne oder ablehnen)DMARC fail (quarantine or reject)
HSPM (Standard), kann auch SPM oder PHSH seinHSPM (default), may also be SPM or PHSH
Nein (derzeit nicht)No (not yet)
Alle Office 365-Kunden, Outlook.comAll Office 365 customers, Outlook.com
Self-to-SelfSelf-to-self
SPMSPM
JaYes
Alle Office 365-Organisationen, Outlook.comAll Office 365 organizations, Outlook.com
DomänenübergreifendCross-domain
SPOOFSPOOF
JaYes
Office 365 Advanced Threat Protection (ATP)- und E5-KundenOffice 365 Advanced Threat Protection and E5 customers

Ändern der Antispoofing-EinstellungenChanging your anti-spoofing settings

Um die Antispoofing-Einstellungen zu erstellen oder zu ändern, navigieren Sie im Security & Compliance Center unter der Registerkarte „Bedrohungsmanagement“ > „Richtlinie“ zu „Antiphishing“ > „Antispoofing-Einstellungen“.To create or update your (cross-domain) anti-spoofing settings, navigate to the Anti-phishing > Anti-spoofing settings under the Threat Management > Policy tab in the Security & Compliance Center. Wenn Sie noch keine Antiphishing-Einstellungen erstellt haben, müssen Sie sie erstellen:If you have never created any anti-phishing settings, you will need to create one:

Antiphishing – Erstellen einer neuen Richtlinie

Wenn Sie bereits Einstellungen erstellt haben, können Sie sie zum Ändern auswählen:If you've already created one, you can select it to modify it:

Antiphishing – Ändern eines vorhandenen Richtlinie

Wählen Sie die Richtlinie aus, die Sie soeben erstellt haben, und fahren Sie mit den Schritten unter Weitere Informationen zu Spoofintelligenz fort.Select the policy you just created and proceed through the steps as described in Learn more about spoof intelligence.

Aktivieren oder Deaktivieren von Antispoofing

Aktivieren oder Deaktivieren von Antispoofing-Sicherheitstipps

So erstellen Sie eine neue Richtlinie mithilfe von PowerShell:To create a new policy by using PowerShell:

$org = Get-OrganizationConfig
$name = "My first anti-phishing policy for " + $org.Name
# Note: The name should not exclude 64 characters, including spaces.
# If it does, you will need to pick a smaller name.
# Next, create a new anti-phishing policy with the default values
New-AntiphishPolicy -Name $Name
# Select the domains to scope it to
# Multiple domains are specified in a comma-separated list
$domains = "domain1.com, domain2.com, domain3.com"
# Next, create the anti-phishing rule, scope it to the anti-phishing rule
New-AntiphishRule -Name $name -AntiphishPolicy $name -RecipientDomainIs $domains

Möglicherweise möchten Sie die Antiphishing-Richtlinienparameter mithilfe von PowerShell entsprechend der Dokumentation unter Set-AntiphishPolicy ändern.You may then modify the anti-phishing policy parameters using PowerShell, following the documentation at Set-AntiphishPolicy. Möglicherweise möchten Sie $name als Parameter angeben:You may specify the $name as a parameter:

Set-AntiphishPolicy -Identity $name <fill in rest of parameters>

Später in 2018 wird eine Richtlinie erstellt, die für alle Empfänger in der Organisation gilt, statt dass sie eine Standardrichtlinie erstellen und manuell angeben müssen (die nachstehenden Screenshots können vor der endgültigen Implementierung geändert werden).Later in 2018, rather than you having to create a default policy, one will be created for you that is scoped to all the recipients in your organization so you don't have to specify it manually (the screenshots below are subject to change before the final implementation).

Standardrichtlinie für Antiphising

Im Gegensatz zu einer Richtlinie, die Sie erstellen, können Sie die Standardrichtlinie weder löschen, noch ihre Priorität ändern noch Benutzer, Domänen oder Gruppen auswählen, für die diese gelten soll.Unlike a policy that you create, you cannot delete the default policy, modify its priority, or choose which users, domains, or groups to scope it to.

Details zur Antiphishing-Standardrichtlinie

So richten Sie den Standardschutz mithilfe von PowerShell ein:To set up your default protection by using PowerShell:

$defaultAntiphishPolicy = Get-AntiphishPolicy | ? {$_.IsDefault -eq $true}
Set-AntiphishPolicy -Identity $defaultAntiphishPolicy.Name -EnableAntispoofEnforcement <$true|$false>

Sie sollten den Antispoofingschutz nur deaktivieren, wenn Sie einen anderen E-Mail-Server vor Office 365 verwenden (Weitere Informationen finden Sie unter „Legitime Szenarien zum Deaktivieren von Antispoofing“).You should only disable anti-spoofing protection if you have another mail server or servers in front of Office 365 (see Legitimate scenarios to disable anti-spoofing for more details).

$defaultAntiphishPolicy = Get-AntiphishiPolicy | ? {$_.IsDefault $true}
Set-AntiphishPolicy -Identity $defaultAntiphishPolicy.Name -EnableAntispoofEnforcement $false 

Wichtig

Wenn der erste Hop des E-Mail-Pfads Office 365 ist und zu viele seriöse E-Mails als Spoof gekennzeichnet werden, sollten Sie zunächst Absender festlegen, die Spoofing-E-Mails an Ihre Domäne senden dürfen (siehe Abschnitt „Verwalten seriöser Absender, die nicht authentifiziert E-Mails senden“).If the first hop in your email path is Office 365, and you are getting too many legitimate emails marked as spoof, you should first set up your senders that are allowed to send spoofed email to your domain (see the section "Managing legitimate senders who are sending unauthenticated email" ). Wenn Sie immer noch zu viele falsch positive Ergebnisse erhalten (d. h. wenn seriöse Nachrichten als Spoofingnachrichten gekennzeichnet werden), wird nicht empfohlen, den Antispoofingschutz vollständig zu deaktivieren.If you are still getting too many false positives (that is, legitimate messages marked as spoof), we do NOT recommend disabling anti-spoofing protection altogether. In diesem Fall wird empfohlen, grundlegenden Schutz anstelle von hohem Schutz auszuwählen.Instead, we recommend choosing Basic instead of High protection. Es ist besser, sich durch falsch positive Ergebnisse durchzuarbeiten, als Ihre Organisation Spoofing-E-Mails auszusetzen, die langfristig deutlich höhere Kosten verursachen könnten.It is better to work through false positives than to expose your organization to spoofed email which could end up imposing significantly higher costs in the long term.

Verwalten seriöser Absender, die nicht authentifizierte E-Mails sendenManaging legitimate senders who are sending unauthenticated email

Office 365 verfolgt, wer nicht authentifizierte E-Mails an Ihre Organisation sendet.Office 365 keeps track of who is sending unauthenticated email to your organization. Wenn der Dienst annimmt, dass der Absender nicht seriös ist, wird die Nachricht als Compauth-Fehler gekennzeichnet.If the service thinks the sender is not legitimate, it will mark it as a compauth failure. Die Nachricht wird als SPOOF eingestuft, obwohl dies von der Antispoofingrichtlinie abhängt, die auf die Nachricht angewendet wurde.This will be classified as SPOOF although it depends on your anti-spoofing policy that was applied to the message.

Als Administrator können Sie jedoch angeben, welche Absender Spoofingnachrichten senden dürfen und die Einstufung von Office 365 außer Kraft setzen.However, as an administrator, you can specify which senders are permitted to send spoofed email, overriding Office 365's decision.

Methode 1: Einrichten der E-Mail-Authentifizierung, wenn Ihre Organisation die Domäne besitztMethod 1 - If your organization owns the domain, set up email authentication

Diese Methode kann verwendet werden, um Probleme mit organisationsinternem und domänenübergreifendem Spoofing zu beheben, wenn Sie mehrere Mandanten besitzen oder mit diesen interagieren.This method can be used to resolve intra-org spoofing, and cross-domain spoofing in cases where you own or interact with multiple tenants. Sie kann auch zum Beheben von Problemen mit domänenübergreifenden Spoofing verwendet werden, wenn Sie Nachrichten an andere Kunden innerhalb von Office 365 und an Drittanbieter senden, die von anderen Anbietern gehostet werden.It also helps resolve cross-domain spoofing where you send to other customers within Office 365, and also third parties that are hosted in other providers.

Weitere Informationen finden Sie unter Office 365-Kunden.For more details, see Customers of Office 365.

Methode 2: Verwenden der Spoofingintelligenz zum Konfigurieren zulässiger Absender nicht authentifizierter E-MailsMethod 2 - Use Spoof intelligence to configure permitted senders of unauthenticated email

Sie können Sie auch Spoofingintelligenz verwenden, damit Absender nicht authentifizierte Nachrichten an Ihre Organisation senden können.You can also use Spoof Intelligence to permit senders to transmit unauthenticated messages to your organization.

Für externe Domänen ist der gefälschte Benutzer die Domäne in der „Von“-Adresse. Die sendende Infrastruktur ist entweder die sendende IP-Adresse (aufgeteilt in CIDR-Bereiche von /24) oder die Organisationsdomäne des PTR-Eintrags (im folgenden Screenshot könnte die sendende IP 131.107.18.4 lauten, deren PTR-Eintrag outbound.mail.protection.outlook.com ist. Dies wird als outlook.com für die sendende Infrastruktur angezeigt).For external domains, the spoofed user is the domain in the From address, while the sending infrastructure is either the sending IP address (divided up into /24 CIDR ranges), or the organizational domain of the PTR record (in the screenshot below, the sending IP might be 131.107.18.4 whose PTR record is outbound.mail.protection.outlook.com, and this would show up as outlook.com for the sending infrastructure).

Damit dieser Absender nicht authentifizierte E-Mails senden kann, ändern Sie die Einstellung von No zu Yes.To permit this sender to send unauthenticated email, change the No to a Yes.

Einrichten von zulässigen Spoofingabsendern

Sie können auch PowerShell verwenden, um bestimmten Absendern das Spoofing Ihrer Domäne zu gestatten:You can also use PowerShell to allow specific sender to spoof your domain:

$file = "C:\My Documents\Summary Spoofed Internal Domains and Senders.csv"
Get-PhishFilterPolicy -Detailed -SpoofAllowBlockList -SpoofType External | Export-CSV $file

Abrufen von Spoofingabsendern aus Powershell

In der vorherigen Abbildung wurden zusätzliche Zeilenumbrüche hinzugefügt, damit dieses Screenshot an die Seite angepasst ist.In the previous image, additional line breaks have been added to make this screenshot fit. Normalerweise stehen alle Werte in einer einzelnen Zeile.Normally, all the values would appear on a single line.

Bearbeiten Sie die Datei, und suchen Sie nach der Zeile, die outlook.com und bing.com entspricht, und ändern Sie den „AllowedToSpoof“-Eintrag von „No“ zu „Yes“:Edit the file and look for the line that corresponds to outlook.com and bing.com, and change the AllowedToSpoof entry from No to Yes:

Festlegen der Einstellung für Zulassen von Spoofing auf „Yes“ in PowerShell

Speichern Sie die Datei, und führen Sie anschließend Folgendes aus:Save the file, and then run:

$UpdateSpoofedSenders = Get-Content -Raw "C:\My Documents\Spoofed Senders.csv"
Set-PhishFilterPolicy -Identity Default -SpoofAllowBlockList $UpdateSpoofedSenders

Auf diese Weise kann bing.com nun nicht authentifizierte E-Mails von *. outlook.com senden.This will now allow bing.com to send unauthenticated email from *.outlook.com.

Methode 3: Erstellen eines Zulassungseintrags für das Absender/EmpfängerpaarMethod 3 - Create an allow entry for the sender/recipient pair

Sie können auch festlegen, dass alle Spamfilterungen für einen bestimmten Absender umgangen werden.You can also choose to bypass all spam filtering for a particular sender. Weitere Informationen hierzu finden Sie unter Sicheres Hinzufügen eines Absenders zur Liste zugelassener Kontakte in Office 365.For more details, see How to securely add a sender to an allow list in Office 365.

Wenn Sie diese Methode verwenden, werden Spam- und einige Phishingfilterungen übersprungen, jedoch nicht die Malwarefilterung.If you use this method, it will skip spam and some of the phish filtering, but not malware filtering.

Methode 4: Kontaktieren des Absenders und Bitten um Einrichtung einer E-Mail-AuthentifizierungMethod 4 - Contact the sender and ask them to set up email authentication

Aufgrund des Problems mit Spam und Phishing wird von Microsoft empfohlen, dass alle Absender eine E-Mail-Authentifizierung einrichten.Because of the problem of spam and phishing, Microsoft recommends all senders set up email authentication. Wenn Sie den Administrator der sendenden Domäne kennen, wenden Sie sich an ihn, und fordern Sie ihn an E-Mail-Authentifizierungsdatensätze einzurichten, damit Sie keine Überschreibungen hinzufügen müssen.If you know an administrator of the sending domain, contact them and request that they set up email authentication records so you do not have to add any overrides. Weitere Informationen finden Sie im weiteren Verlauf dieses Artikels unter Administratoren von Domänen, die keine Office 365-Kunden sind.For more information, see Administrators of domains that are not Office 365 customers" later in this article.

Obwohl es am Anfang möglicherweise schwierig wird, sendende Domänen zur Authentifizierung zu veranlassen, werden sie im Laufe der Zeit, da immer mehr E-Mail-Filter die Nachrichten dieser Domänen als Junk einstufen oder sie sogar ablehnen, die entsprechenden Datensätze einrichten, um eine bessere Zustellung sicherzustellen.While it may be difficult at first to get sending domains to authenticate, over time, as more and more email filters start junking or even rejecting their email, it will cause them to set up the proper records to ensure better delivery.

Anzeigen von Berichten über Anzahl von Nachrichten, die als Spoofing eingestuft wurdenViewing reports of how many messages were marked as spoofed

Sobald Ihre Antispoofingrichtlinie aktiviert ist, können Sie die Funktionen der Bedrohungsuntersuchung und der Reaktion verwenden, um die Anzahl der Nachrichten anzurufen, die als Phishing eingestuft wurden.Once your anti-spoofing policy is enabled, you can use threat investigation and response capabilities to get numbers around how many messages are marked as phish. Wechseln Sie zu diesem Zweck zum Security & Compliance Center (SCC) unter „Bedrohungsmanagement“ > „Explorer“, legen Sie für Ansicht „Phishing“ fest, und gruppieren Sie nach Absenderdomäne oder Schutzstatus:To do this, go into the Security & Compliance Center (SCC) under Threat Management > Explorer, set the View to Phish, and group by Sender Domain or Protection Status:

Anzeigen der Anzahl von Nachrichten, die als Phishing eingestuft wurden

Sie können die verschiedenen Berichte verwenden, um zu sehen, wie viele Nachrichten als Phishing eingestuft wurden, einschließlich Nachrichten, die als „SPOOF“ gekennzeichnet wurden.You can interact with the various reports to see how many were marked as phishing, including messages marked as SPOOF. Weitere Informationen finden Sie unter Erste Schritte mit der Office 365-Bedrohungsuntersuchung und -reaktion.To learn more, see Get started with Office 365 Threat investigation and response.

Sie können derzeit jedoch nicht anzeigen, welche Nachrichten aufgrund von Spoofing im Gegensatz zu anderen Typen von Phishing (Allgemeines Phishing, Domänen- und Benutzeridentitätswechsel usw.) als solche gekennzeichnet wurden.You can't yet split out which messages were marked due to spoofing as opposed to other types of phishing (general phishing, domain or user impersonation, and so on). Später können Sie dies jedoch über das Security & Compliance Center anzeigen.However, later, you will be able to do this through the Security & Compliance Center. Sobald Sie dies tun, können Sie diesen Bericht als Ausgangspunkt verwenden, um sendende Domänen zu identifizieren, die möglicherweise seriös sind und aufgrund von fehlgeschlagener Authentifizierung als Spoofing gekennzeichnet wurden.Once you do, you can use this report as a starting place to identify sending domains that may be legitimate that are being marked as spoof due to failing authentication.

Im folgenden Screenshot finden Sie ein Beispiel dafür, wie diese Daten aussehen können:The following screenshot is a proposal for how this data will look, but may change when released:

Anzeigen von Phishingberichten nach Erkennungstyp

Für Nicht-ATP- und E5-Kunden sind diese Berichte später unter Threat Protection-Statusberichten (TPS) verfügbar, die jedoch mindestens um 24 Stunden verzögert sind.For non-ATP and E5 customers, these reports will be available later under the Threat Protection Status (TPS) reports, but will be delayed by at least 24 hours. Diese Seite wird aktualisiert, da diese im Security & Compliance Center integriert werden.This page will be updated as they are integrated into the Security & Compliance Center.

Vorhersagen zur Anzahl der Nachrichten, die als Spoofing gekennzeichnet werdenPredicting how many messages will be marked as spoof

Sobald Office 365 entsprechend aktualisiert wurde, dass Sie die Erzwingung von Antispoofing deaktivieren können oder diese mit grundlegendem oder hohem Schutz verwenden können, können Sie anzeigen, wie sich die Anzahl der Nachrichten je nach Einstellungen ändert. Once Office 365 updates its settings to let you turn the anti-spoofing enforcement Off, or on with Basic or High enforcement, you will be given the ability to see how message disposition will change at the various settings. Wenn Antispoofing deaktiviert ist, können Sie sehen, wie viele Nachrichten als Spoofing gekennzeichnet werden, wenn Sie zu grundlegendem Schutz wechseln. Wenn grundlegender Schutz aktiviert ist, können Sie zum Beispiel anzeigen, wie viele Nachrichten als Spoofing gekennzeichnet werden, wenn Sie zum hohen Schutz wechseln.That is, if anti-spoofing is Off, you will be able to see how many messages will be detected as Spoof if you turn to Basic; or, if it's Basic, you will be able to see how many more messages will be detected as Spoof if you turn it to High.

Dieses Feature befindet sich zurzeit noch in der Entwicklung.This feature is currently under development. Sobald weitere Details definiert sind, werden sowohl die Screenshots vom Security & Compliance Center als auch die PowerShell-Beispiele auf dieser Seite aktualisiert.As more details are defined, this page will be updated both with screenshots of the Security and Compliance Center, and with PowerShell examples.

Was-wäre-wenn-Bericht zum Aktivieren von Antispoofing

Mögliche UX für das Zulassen eines gefälschten Absenders

Legitime Szenarien zum Deaktivieren von AntispoofingLegitimate scenarios to disable anti-spoofing

Dank Antispoofingschutz sind Kunden besser vor Phishingangriffen geschützt. Daher wird vom Deaktivieren des Antispoofingschutzes dringend abgeraten.Anti-spoofing better protects customers from phishing attacks, and therefore disabling anti-spoofing protection is strongly discouraged. Durch das Deaktivieren können Sie möglicherweise einige kurzfristige falsch positive Ergebnisse beheben, langfristig gesehen werden Sie jedoch einem höheren Risiko ausgesetzt.By disabling it, you may resolve some short-term false positives, but long term you will be exposed to more risk. Der Aufwand für das Einrichten der Authentifizierung auf Absenderseite oder das Anpassen der Phishingrichtlinien ist in der Regel nur einmalig oder es ist nur eine minimale, regelmäßige Wartung erforderlich.The cost for setting up authentication on the sender side, or making adjustments in the phishing policies, are usually one-time events or require only minimal, periodic maintenance. Die Kosten für die Wiederherstellung nach einem Phishingangriff, bei dem Daten offengelegt wurden oder Assets kompromittiert wurden, sind jedoch deutlich höher.However, the cost to recover from a phishing attack where data has been exposed, or assets have been compromised is much higher.

Aus diesem Grund ist es besser, sich durch falsch positive Antispoofingergebnisse zu arbeiten, als den Antispoofingschutz zu deaktivieren.For this reason, it is better to work through anti-spoofing false positives than to disable anti-spoof protection.

Es gibt jedoch ein legitimes Szenario, in dem Antispoofing deaktiviert werden sollte, und zwar, wenn es zusätzliche E-Mail-Filterungsprodukte im Nachrichtenrouting gibt und Office 365 nicht der erste Hop im E-Mail-Pfad ist:However, there is a legitimate scenario where anti-spoofing should be disabled, and that is when there are additional mail-filtering products in the message routing, and Office 365 is not the first hop in the email path:

Benutzerdefinierter MX-Eintrag verweist nicht auf Office 365

Der andere Server ist möglicherweise ein lokaler Exchange-E-Mail-Server, ein E-Mail-Filterungsgerät wie Ironport oder ein anderer in der Cloud gehosteter Dienst.The other server may be an Exchange on-premises mail server, a mail filtering device such as Ironport, or another cloud hosted service.

Wenn der MX-Eintrag der Empfängerdomäne nicht auf Office 365 verweist, ist es nicht erforderlich, den Antispoofingschutz zu deaktivieren, da Office 365 nach dem MX-Eintrag der empfangenden Domäne sucht und Antispoofing unterdrückt, wenn dieser auf einen anderen Dienst verweist.If the MX record of the recipient domain does not point to Office 365, then there is no need to disable anti-spoofing because Office 365 looks up your receiving domain's MX record and suppresses anti-spoofing if it points to another service. Wenn Sie nicht wissen, ob Ihre Domäne über einen anderen Server davor verfügt. können Sie vor einem anderen Server enthält, können Sie eine Website wie MX Toolbox verwenden, um nach dem MX-Eintrag zu suchen.If you don't know if your domain has another server in front, you can use a website like MX Toolbox to look up the MX record. Dieser kann in etwa wie folgt aussehen:It might say something like the following:

MX-Eintrag gibt eine Domäne an, die nicht auf Office 365 verweist

Diese Domäne verfügt über einen MX-Eintrag, der nicht auf Office 365 verweist. Office 365 würde daher die Erzwingung von Antispoofing nicht anwenden.This domain has an MX record that does not point to Office 365, so Office 365 would not apply anti-spoofing enforcement.

Wenn der MX-Eintrag der empfangenden Domäne auf Office 365 verweist, sollten Sie Antispoofing auch dann deaktivieren, wenn es einen anderen Dienst vor Office 365 gibt.However, if the MX record of the recipient domain does point to Office 365, even though there is another service in front of Office 365, then you should disable anti-spoofing. Das häufigste Beispiel ist die Verwendung einer Empfängerumschreibung:The most common example is through the use of a recipient rewrite:

Routingdiagramm für die Empfängerumschreibung

Der MX-Eintrag der Domäne contoso.com verweist auf den lokalen Server, während der MX-Eintrag der Domäne @office365.contoso.net auf Office 365 verweist, da *., protection.outlook.com oder *.eo.outlook.com im MX-Eintrag enthalten ist:The domain contoso.com's MX record points to the on-premises server, while the domain @office365.contoso.net's MX record points to Office 365 because it contains *.protection.outlook.com, or *.eo.outlook.com in the MX record:

MX-Eintrag verweist auf Office 365, daher wahrscheinlich Empfängerumschreibung

Unterscheiden Sie unbedingt, wann der MX-Eintrag einer empfangenden Domäne nicht auf Office 365 verweist und wann dieser einer Empfängerumschreibung unterzogen wurde.Be sure to differentiate when a recipient domain's MX record does not point to Office 365, and when it has undergone a recipient rewrite. Es ist wichtig, den Unterschied zwischen diesen zwei Fällen zu erkennen.It is important to tell the difference between these two cases.

Wenn Sie nicht sicher sind, ob Ihre empfangende Domäne einer Empfängerumschreibung unterzogen wurde, hilft es manchmal, die Nachrichtenkopfzeile anzuschauen.If you are unsure whether or not your receiving domain has undergone a recipient-rewrite, sometimes you can tell by looking at the message headers.

a) Schauen Sie zunächst auf die Kopfzeilen der Nachricht für die Empfängerdomäne im Authentication-Results-Header:a) First, look at the headers in the message for the recipient domain in the Authentication-Results header:

Authentication-Results: spf=fail (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; office365.contoso.net; dkim=fail
  (body hash did not verify) header.d=simple.example.com;
  office365.contoso.net; dmarc=none action=none
  header.from=example.com; compauth=fail reason=001

Die Empfängerdomäne ist oben als fettformatierter roter Text gekennzeichnet, in diesem Fall ist dies office365.contoso.net.The recipient domain is found in the bold red text above, in this case office365.contoso.net. Diese kann möglicherweise von dem Empfänger im „An“-Feld abweichen:This may be different that the recipient in the To: header:

An: Beispielempfänger <empfänger @ contoso.com>To: Example Recipient <recipient @ contoso.com>

Suchen Sie nach dem MX-Eintrag der aktuellen empfangenen Domäne.Perform an MX-record lookup of the actual recipient domain. Wenn der Eintrag *.protection.outlook.com, mail.messaging.microsoft.com, *.eo.outlook.com oder mail.global.frontbridge.com enthält, bedeutet dies, dass der MX-Eintrag auf Office 365 verweist.If it contains *.protection.outlook.com, mail.messaging.microsoft.com, *.eo.outlook.com, or mail.global.frontbridge.com, that means that the MX points to Office 365.

Wenn diese Werte nicht enthalten sind, verweist der MX-Eintrag nicht auf Office 365.If it does not contain those values, then it means that the MX does not point to Office 365. Ein Tool, das Sie verwenden können, um dies zu überprüfen, ist MX Toolbox.One tool you can use to verify this is MX Toolbox.

Bei diesem Beispiel besagt Folgendes, dass contoso.com, die Domäne, die wie der Empfänger aussieht, da sie im „An“-Feld enthalten war, einen MX-Eintrag aufweist, der auf einen lokalen Server verweist:For this particular example, the following says that contoso.com, the domain that looks like the recipient since it was the To: header, has MX record points to an on-prem server:

MX-Eintrag verweist auf lokalen Server

Der aktuelle Empfänger ist office365.contoso.net, dessen MX-Eintrag auf Office 365 verweist:However, the actual recipient is office365.contoso.net whose MX record does point to Office 365:

MX verweist auf Office 365, muss eine Empfängerumschreibung sein

Daher wurde diese Nachricht wahrscheinlich einer Empfängerumschreibung unterzogen.Therefore, this message has likely undergone a recipient-rewrite.

b) Unterscheiden Sie als Nächstes zwischen allgemeinen Anwendungsfällen der Empfängerumschreibung.b) Second, be sure to distinguish between common use cases of recipient rewrites. Wenn Sie beabsichtigen, die Empfängerdomäne in *.onmicrosoft.com, statt in *.mail.onmicrosoft.com umzuschreiben.If you are going to rewrite the recipient domain to *.onmicrosoft.com, instead rewrite it to *.mail.onmicrosoft.com.

Nachdem Sie die endgültige Empfängerdomäne identifiziert haben, die hinter einen anderen Server geroutet wird, und der MX-Eintrag der Empfängerdomäne tatsächlich auf Office 365 verweist (wie in den DNS-Einträgen veröffentlicht), können Sie mit dem Deaktivieren von Antispoofing fortfahren.Once you have identified the final recipient domain that is routed behind another server and the recipient domain's MX record actually points to Office 365 (as published in its DNS records), you may proceed to disable anti-spoofing.

Beachten Sie, dass Sie Antispoofing nicht deaktivieren sollten, wenn der erste Hop der Domäne in dem Routingpfad Office 365 ist. Sie sollten Antispoofing nur deaktivieren, wenn sich dieser hinter einem oder mehreren Diensten befindet.Remember, you don't want to disable anti-spoofing if the domain's first hop in the routing path is Office 365, only when it's behind one or more services.

Deaktivieren von AntispoofingHow to disable anti-spoofing

Wenn Sie bereits eine Antiphishingrichtlinie erstellt haben, legen Sie den EnableAntispoofEnforcement-Parameter auf $false fest:If you already have an Anti-phishing policy created, set the EnableAntispoofEnforcement parameter to $false:

$name = "<name of policy>"
Set-AntiphishPolicy -Identity $name -EnableAntiSpoofEnforcement $false

Wenn Sie den Namen der Richtlinie (oder Richtlinien) nicht kennen, die deaktiviert werden soll, können Sie diesen anzeigen:If you don't know the name of the policy (or policies) to disable, you can display them:

Get-AntiphishPolicy | fl Name

Wenn Sie noch keine Antiphishingrichtlinien erstellt haben, können Sie eine erstellen und sie dann deaktivieren (selbst wenn Sie über keine Richtlinie verfügen, wird Antispoofing weiterhin angewendet; später in 2018 wird eine Standardrichtlinie erstellt, die Sie dann deaktivieren können, statt eine neue zu erstellen).If you don't have any existing anti-phishing policies, you can create one and then disable it (even if you don't have a policy, anti-spoofing is still applied; later on in 2018, a default policy will be created for you and you can then disable that instead of creating one). Dazu müssen Sie die folgenden Schritte ausführen:You will have to do this in multiple steps:

$org = Get-OrganizationConfig
$name = "My first anti-phishing policy for " + $org.Name
# Note: If the name is more than 64 characters, you will need to choose a smaller one
# Next, create a new anti-phishing policy with the default values
New-AntiphishPolicy -Name $Name
# Select the domains to scope it to
# Multiple domains are specified in a comma-separated list
$domains = "domain1.com, domain2.com, domain3.com"
# Next, create the anti-phishing rule, scope it to the anti-phishing rule
New-AntiphishRule -Name $name -AntiphishPolicy -RecipientDomainIs $domains
# Finally, scope the anti-phishing policy to the domains
Set-AntiphishPolicy -Identity $name -EnableAntispoofEnforcement $false

Antispoofing kann nur mit dem Cmdlet deaktiviert werden (später ist dies auch über das Security & Compliance Center möglich).Disabling anti-spoofing is only available via cmdlet (later it will be available in the Security & Compliance Center). Wenn Sie keinen Zugriff auf PowerShell haben, erstellen Sie ein Supportticket.If you do not have access to PowerShell, create a support ticket.

Beachten Sie, dass dies nur für Domänen mit indirektem Routing beim Senden an Office 365 angewendet werden sollte.Remember, this should only be applied to domains that undergo indirect routing when sent to Office 365. Sie sollten es vermeiden, Antispoofing zu deaktivieren, um einige falsch positive Ergebnisse zu vermeiden, da es langfristig gesehen besser ist, diese durchzuarbeiten.Resist the temptation to disable anti-spoofing because of some false positives, it will be better in the long run to work through them.

Informationen für einzelne BenutzerInformation for individual users

Einzelne Benutzer können nur eingeschränkt mit Antispoofing-Sicherheitstipps interagieren.Individual users are limited in how they can interact with the anti-spoofing safety tip. Es gibt jedoch mehrere Möglichkeiten, Probleme bei allgemeinen Szenarien zu beheben.However, there are several things you can do to resolve common scenarios.

Allgemeines Szenario Nr. 1 – DiskussionslistenCommon scenario #1 - Discussion lists

Bei Diskussionslisten sind Probleme mit Antispoofing bekannt, die darin begründet sind, wie Nachrichten weitergeleitet und Inhalte geändert werden, wobei die ursprüngliche „Von“-Adresse beibehalten wird.Discussion lists are known to have problems with anti-spoofing due to the way they forward the message and modify its contents yet retain the original From: address.

Beispiel: Ihre E-Mail-Adresse lautet „user@contoso.com“, Sie interessieren sich für Vögelbeobachtung und treten der Diskussionsliste birdwatchers@example.com bei.For example, suppose your email address is user @ contoso.com, and you are interested in Bird Watching and join the discussion list birdwatchers @ example.com. Wenn Sie eine Nachricht an die Diskussionsliste senden, wird diese möglicherweise auf folgende Weise gesendet:When you send a message to the discussion list, you might send it this way:

Von: John Doe <user @ contoso.com>From: John Doe <user @ contoso.com>

An: Diskussionsliste für Vögelbeobachtung <birdwatchers @ example.com>To: Birdwatcher's Discussion List <birdwatchers @ example.com>

Betreff: Großartiger Blick auf Eichelhäher am MountSubject: Great viewing of blue jays at the top of Mt. Rainier diese WocheRainier this week

Jemand Interesse an diesem Ausblick von dieser Woche am MountAnyone want to check out the viewing this week from Mt. Rainier?Rainier?

Wenn die E-Mail-Liste die Nachricht erhält, wird die Nachricht formatiert, der Inhalt der Nachricht wird geändert und sie wird an die Mitglieder der Diskussionsliste gesendet, die aus Teilnehmern vieler verschiedener E-Mail-Empfänger besteht.When the email list receives the message, they format the message, modify its contents, and replay it to the rest of the members on the discussion list which is made up of participants from many different email receivers.

Von: John Doe <user @ contoso.com>From: John Doe <user @ contoso.com>

An: Diskussionsliste für Vögelbeobachtung <birdwatchers @ example.com>To: Birdwatcher's Discussion List <birdwatchers @ example.com>

Betreff: [BIRDWATCHERS] Großartiger Blick auf Eichelhäher am MountSubject: [BIRDWATCHERS] Great viewing of blue jays at the top of Mt. Rainier diese WocheRainier this week

Jemand Interesse an diesem Ausblick von dieser Woche am MountAnyone want to check out the viewing this week from Mt. Rainier?Rainier?


Diese Nachricht wurde an die Diskussionsgruppe Vögelbeobachtung gesendet.This message was sent to the Birdwatchers Discussion List. Sie können sich jederzeit wieder abmelden.You can unsubscribe at any time.

Die oben angezeigte Nachricht hat die gleiche „Von“-Adresse (user @ contoso.com), die ursprüngliche Nachricht wurde jedoch geändert, indem der Betreffzeile ein Tag und eine Fußzeile am Ende der Nachricht hinzugefügt wurde.In the above, the replayed message has the same From: address (user @ contoso.com) but the original message has been modified by adding a tag to the Subject line, and a footer to the bottom of the message. Diese Art von Nachrichtänderung ist in Mailinglisten üblich und kann zu falsch positiven Ergebnissen führen.This type of message modification is common in mailing lists, and may result in false positives.

Wenn Sie oder andere Personen in Ihrer Organisation Administrator der Mailingliste sind, können Sie sie möglicherweise konfigurieren, damit sie die Antispoofingprüfungen besteht.If you or someone in your organization is an administrator of the mailing list, you may be able to configure it to pass anti-spoofing checks.

Wenn Sie nicht Besitzer der Mailingliste sind:If you do not have ownership of the mailing list:

  • Sie können den Verwalter der Mailingliste dazu auffordern, eine der genannten Optionen zu implementieren (er sollte auch eine E-Mail-Authentifizierung für die Domäne einrichten, von der diese Mailingliste gesendet wird).You can request the maintainer of the mailing list to implement one of the options above (they should also have email authentication set up for the domain the mailing list is relaying from)

  • Sie können in Ihrem E-Mail-Client Postfachregeln zum Verschieben von Nachrichten in den Posteingang erstellen.You can create mailbox rules in your email client to move messages to the Inbox. Sie können auch den Administrator Ihrer Organisation auffordern, Zulassungsregeln einzurichten oder diese außer Kraft zu setzen, wie im Abschnitt „Verwalten seriöser Absender, die nicht authentifizierte E-Mails senden“ beschrieben.You can also request your organization's administrators to set up allow rules, or overrides as discussed in the section Managing legitimate senders who are sending unauthenticated email

  • Sie können ein Supportticket für Office 365 erstellen, um eine Außerkraftsetzung für die Mailingliste zu erstellen, damit sie als seriöser Empfänger gehandhabt wird.You can create a support ticket with Office 365 to create an override for the mailing list to treat it as legitimate

Sonstige SzenarienOther scenarios

  1. Wenn keine der genannten allgemeinen Szenarien auf Ihre Situation zutrifft, senden Sie die Nachricht als falsch positives Ergebnis an Microsoft zurück.If neither of the above common scenarios applies to your situation, report the message as a false positive back to Microsoft. Weitere Informationen finden Sie im weiteren Verlauf dieses Artikels im Abschnitt Wie kann ich Spamnachrichten oder Nachrichten, die kein Spam sind, an Microsoft melden?.For more information, see the section How can I report spam or non-spam messages back to Microsoft? later in this article.

  2. Sie können auch Ihren E-Mail-Administrator kontaktieren, der ein Supportticket bei Microsoft öffnen kann.You may also contact your email administrator who can raise it as a support ticket with Microsoft. Das Microsoft-Entwicklungsteam prüft anschließend, warum die Nachricht als Spoofingnachricht eingestuft wurde.The Microsoft engineering team will investigate why the message was marked as a spoof.

  3. Wenn Sie wissen, wer der Absender ist und darauf vertrauen, dass dieser nicht gespooft wurde, können Sie diesem Absender antworten und angeben, dass er Nachrichten von einem E-Mail-Server sendet, der nicht authentifiziert ist.Additionally, if you know who the sender is and are confident they are not being maliciously spoofed, you may reply back to the sender indicating that they are sending messages from a mail server that does not authenticate. Dies führt manchmal dazu, der ursprüngliche Absender den IT-Administrator kontaktiert, der die erforderlichen E-Mail-Authentifizierungsdatensätze einrichtet.This sometimes results in the original sender contacting their IT administrator who will set up the required email authentication records.

Wenn genügend Absender den Domänenbesitzern antworten und darum bitten, E-Mail-Authentifizierungsdatensätze einzurichten, werden diese möglicherweise dazu angespornt, die entsprechenden Maßnahmen zu ergreifen.When enough senders reply back to domain owners that they should set up email authentication records, it spurs them into taking action. Microsoft arbeitet zwar auch mit Domänenbesitzern zusammen, um die erforderlichen Datensätze zu veröffentlichen, es hilft jedoch, wenn einzelne Benutzer sie zusätzlich dazu auffordern.While Microsoft also works with domain owners to publish the required records, it helps even more when individual users request it.

  1. Fügen Sie optional den Absender der Liste der sicheren Absender hinzu.Optionally, add the sender to your Safe Senders list. Bedenken Sie jedoch, dass wenn dieses Konto von einem Phisher gespooft wurde, wird die Nachricht an Ihr Postfach übermittelt.However, be aware that if a phisher spoofs that account, it will be delivered to your mailbox. Daher sollte diese Option nur in Ausnahmefällen verwendet werden.Therefore, this option should be used sparingly.

Vorbereitung der Absender, die Nachrichten an Microsoft senden, auf den AntispoofingschutzHow senders to Microsoft should prepare for anti-spoofing protection

Wenn Sie ein Administrator sind, der derzeit Nachrichten an Microsoft sendet, entweder Office 365 oder Outlook.com, sollten Sie sicherstellen, dass Ihre E-Mail ordnungsgemäß authentifiziert wird, da sie andernfalls als Spam oder Phishing eingestuft wird.If you are an administrator who currently sends messages to Microsoft, either Office 365 or Outlook.com, you should ensure that your email is properly authenticated otherwise it may be marked as spam or phish.

Office 365-KundenCustomers of Office 365

Wenn Sie Office 365-Kunde sind und Office 365 zum Senden ausgehender E-Mails verwenden:If you are an Office 365 customer and you use Office 365 to send outbound email:

Microsoft bietet keine detaillierten Implementierungsrichtlinien für SPF, DKIM und DMARC.Microsoft does not provide detailed implementation guidelines for each of SPF, DKIM, and DMARC. Es gibt jedoch eine Menge Informationen, die online veröffentlicht sind.However, there is a lot of information published online. Es gibt auch Drittanbieter, die Ihrer Organisation dabei helfen, E-Mail-Authentifizierungsdatensätze einzurichten.There are also 3rd party companies dedicated to helping your organization set up email authentication records.

Administratoren von Domänen, die keine Office 365-Kunden sindAdministrators of domains that are not Office 365 customers

Wenn Sie ein Domänenadministrator, jedoch kein Office 365-Kunde sind:If you are a domain administrator but are not an Office 365 customer:

  • Sie sollten SPF einrichten, um die sendenden IP-Adressen Ihrer Domäne zu veröffentlichen, und DKIM (falls verfügbar) zum digitalen Signieren von Nachrichten einrichten.You should set up SPF to publish your domain's sending IP addresses, and also set up DKIM (if available) to digitally sign messages. Sie können auch das Einrichten von DMARC-Datensätzen in Erwägung ziehen.You may also consider setting up DMARC records.

  • Wenn Sie Massen-E-Mail-Absender haben, die in Ihrem Auftrag E-Mails senden, sollten Sie mit diesen daran arbeiten, E-Mails so senden, dass die sendende Domäne in der „Von“-Adresse (falls Sie der Besitzer sind) der Domäne entspricht, die SPF oder DMAR besteht.If you have bulk senders who are transmitting email on your behalf, you should work with them to send email in a way such that the sending domain in the From: address (if it belongs to you) aligns with the domain that passes SPF or DMARC.

  • Wenn Sie über lokale E-Mail-Server verfügen oder Nachrichten von einem Software-as-a-Service-Anbieter oder einem in der Cloud gehosteten Dienst wie Microsoft Azure, GoDaddy, Rackspace, Amazon Web Services gesendet werden, sollten Sie sicherstellen, dass diesen der SPF-Eintrag hinzugefügt wird.If you have on-premises mail servers, or send from a Software-as-a-service provider, or from a cloud-hosting service like Microsoft Azure, GoDaddy, Rackspace, Amazon Web Services, or similar, you should ensure that they are added to your SPF record.

  • Wenn es sich bei Ihrer Domäne um eine kleine Domäne handelt, die von einem ISP gehostet wird, sollten Sie den SPF-Eintrag entsprechend den Anweisungen einrichten, die Ihnen von Ihrem ISP bereitgestellt wurden.If you are a small domain that is hosted by an ISP, you should set up your SPF record according to the instructions that is provided to you by your ISP. Die meisten Internetdienstanbieter stellen diese Art von Anweisungen bereit. Diese finden Sie auf den Supportseiten des jeweiligen Anbieters.Most ISPs provide these types of instructions and can be found on the company's support pages.

  • Auch wenn Sie bisher keine E-Mail-Authentifizierungsdatensätze veröffentlichen mussten und alles einwandfrei funktioniert hat, müssen Sie trotzdem E-Mail-Authentifizierungsdatensätze veröffentlichen, um Nachrichten an Microsoft zu senden.Even if you have not had to publish email authentication records before, and it worked fine, you must still publish email authentication records to send to Microsoft. Auf diese Weise helfen Sie bei der Bekämpfung von Phishing und dabei, das Risiko zu reduzieren, dass entweder Sie oder Organisationen an die Sie Nachrichten senden, Opfer von Phishing werden.By doing so, you are helping in the fight against phishing, and reducing the possibility that either you, or organizations you send to, will get phished.

Was tun, wenn ich nicht weiß, wer E-Mails als meine Domäne sendet?What if you don't know who sends email as your domain?

Viele Domänen veröffentlichen keine SPF-Einträge, da sie nicht wissen, wer all die Absender sind.Many domains do not publish SPF records because they do not know who all their senders are. Das ist in Ordnung. Sie müssen sie nicht alle kennen.That's okay, you do not need to know who all of them are. Sie sollten stattdessen damit beginnen, einen SPF-Eintrag für diejenigen zu veröffentlichen, die Sie kennen, insbesondere diejenigen, wo sich der Datenverkehr Ihres Unternehmens befindet, und eine neutrale SPF-Richtlinie veröffentlichen: ?all:Instead, you should get started by publishing an SPF record for the ones you do know of, especially where your corporate traffic is located, and publish a neutral SPF policy, ?all:

example.com IN TXT "v=spf1 include:spf.example.com ?all"example.com IN TXT "v=spf1 include:spf.example.com ?all"

Eine neutrale SPF-Richtlinie bedeutet, dass jede E-Mail, die von Ihrer Unternehmensinfrastruktur stammt, die E-Mail-Authentifizierung bei allen anderen E-Mail-Empfängern besteht.The neutral SPF policy means that any email that comes out of your corporate infrastructure will pass email authentication at all other email receivers. Eine E-Mail, die von Absendern stammt, die Sie nicht kennen, fällt auf neutral zurück, was fast damit gleichzusetzen ist, dass keine SPF-Einträge veröffentlicht wurden.Email that comes from senders you don't know about will fall back to neutral, which is almost the same as publishing no SPF record at all.

Beim Senden an Office 365 wird E-Mail, die vom Unternehmensdatenverkehr stammt, als authentifiziert gekennzeichnet. Eine E.Mail, die jedoch aus anderen Quellen stammt, die Sie nicht kennen, wird möglicherweise weiterhin als Spoofing gekennzeichnet (je nachdem, ob Office 365 sie authentifizieren kann).When sending to Office 365, email that comes from your corporate traffic will be marked as authenticated, but the email that comes from sources you don't know about may still be marked as spoof (depending upon whether or not Office 365 can implicitly authenticate it). Dies stellt jedoch immer noch eine Verbesserung dazu dar, dass alle E-Mails von Office 365 als Spoofing markiert wurden.However, this is still an improvement from all email being marked as spoof by Office 365.

Sobald Sie mit einem SPF-Eintrag mit einer Fallbackrichtlinie von „?all“ begonnen haben, können Sie schrittweise immer mehr sendende Infrastruktur hinzufügen und dann eine strengere Richtlinie veröffentlichen.Once you've gotten started with an SPF record with a fallback policy of ?all, you can gradually include more and more sending infrastructure and then publish a stricter policy.

Was tun, wenn ich der Besitzer der Mailingliste bin?What if you are the owner of a mailing list?

Siehe Allgemeines Szenario Nr. 1 – Diskussionslisten.See the section Common scenario #1 - Discussion lists.

Was tun, wenn ich ein Infrastrukturanbieter wie Internetdienstanbieter (ISP), E-Mail-Dienstanbieter (ESP) oder gehosteter Clouddienst bin?What if you are an infrastructure provider such as an Internet Service Provider (ISP), Email Service Provider (ESP), or cloud hosting service?

Wenn Sie E-Mails einer Domäne hosten und diese E-Mails sendet oder eine Hostinginfrastruktur anbieten, die E-Mails senden kann, sollten Sie wie folgt vorgehen:If you host a domain's email, and it sends email, or provide hosting infrastructure that can send email, you should do the following:

  • Stellen Sie sicher, dass Sie Ihren Kunden die nötige Dokumentation mit den Informationen dazu bereitstellen, was in den SPF-Einträgen veröffentlicht werden muss.Ensure your customers have documentation detailing what to publish in their SPF records

  • Ziehen Sie in Erwägung, ausgehende E-Mails mit DKIM-Signaturen zu signieren, selbst wenn der Kunde dies nicht explizit eingerichtet hat (Signieren mit Standarddomäne).Consider signing DKIM-signatures on outbound email even if the customer doesn't explicitly set it up (sign with a default domain). Sie können die E-Mail sogar doppelt mit DKIM-Signaturen signieren (mit der Domäne des Kunden, falls eingerichtet, und mit der DKIM-Signatur Ihres Unternehmens).You can even double-sign the email with DKIM signatures (once with the customer's domain if they have set it up, and a second time with your company's DKIM signature)

Die Zustellbarkeit an Microsoft ist auch nicht, wenn Sie E-Mails, die von Ihrer Plattform stammen, authentifizieren, es wird jedoch zumindest sichergestellt, dass Ihre E-Mail nicht als Junk-E-Mail von Microsoft eingestuft wird, weil sie nicht authentifiziert ist.Deliverability to Microsoft is not guaranteed even if you authenticate email originating from your platform, but at least it ensures that Microsoft does not junk your email because it is not authenticated. Weitere Informationen zu E-Mail-Filterung in Outlook.com finden Sie auf der Outlook.com Postmaster-Seite.For more details around how Outlook.com filters email, see the Outlook.com Postmaster page.

Weitere Informationen zu bewährten Methoden für Dienstanbieter finden Sie unter M3AAWG Mobile Messaging Best Practices for Service Providers.For more details on service providers best practices, see M3AAWG Mobile Messaging Best Practices for Service Providers.

Häufig gestellte FragenFrequently Asked Questions

Warum nimmt Microsoft diese Änderung vor?Why is Microsoft making this change?

Aufgrund der Auswirkungen von Phishingangriffen und der Tatsache, dass es die E-Mail-Authentifizierung seit über 15 Jahren gibt, ist Microsoft der Ansicht, dass das Risiko, nicht authentifizierte E-Mails weiterhin zuzulassen, höher ist, als das Risiko, dass seriöse E-Mails verloren gehen könnten.Because of the impact of phishing attacks, and because email authentication has been around for over 15 years, Microsoft believes that the risk of continue to allow unauthenticated email is higher than the risk of losing legitimate email.

Wird diese Änderung auch dazu führen, dass seriöse E-Mails als Spam gekennzeichnet werden?Will this change cause legitimate email to be marked as spam?

Zunächst werden einige Nachrichten als Spam gekennzeichnet.At first, there will be some messages that are marked as spam. Im Laufe der Zeit werden Absender jedoch entsprechende Anpassungen vornehmen und die Menge der fälschlicherweise als Spoofingnachrichten gekennzeichneten Nachrichten wird für die meisten E-Mail-Pfade überschaubar sein.However, over time, senders will adjust and then the amount of messages mislabeled as spoofed will be negligible for most email paths.

Microsoft selbst hat diese Funktion einige Wochen vor der Bereitstellung für die Kunden implementiert.Microsoft itself first adopted this feature several weeks before deploying it to the rest of its customers. Zunächst gab es zwar Störungen, diese gingen jedoch allmählich zurück.While there was disruption at first, it gradually declined.

Wird diese Funktion auch für Outlook.com und Office 365-Kunden ohne Advanced Threat Protection implementiert?Will Microsoft bring this feature to Outlook.com and non-Advanced Threat Protection customers of Office 365?

Die Antispoofingtechnologie von Microsoft wurde ursprünglich für die Organisationen bereitgestellt, die ein Office 365 Enterprise E5-Abonnement hatten oder das Add-On Office 365 Advanced Threat Protection (ATP) für ihr Abonnement erworben haben.Microsoft's anti-spoofing technology was initially deployed to its organizations that had an Office 365 Enterprise E5 subscription or had purchased the Office 365 Advanced Threat Protection (ATP) add-on for their subscription. Ab Oktober 2018 wurde der Schutz auf Organisationen erweitert, die über Exchange Online Protection (EOP) verfügen.As of October, 2018 we've extended the protection to organizations that have Exchange Online Protection (EOP) as well. In Zukunft wird der Schutz möglicherweise auf Outlook.com erweitert.In the future, we may release it for Outlook.com. Sollte dies der Fall sein, werden möglicherweise einige Funktionen wie Berichterstellung und benutzerdefinierte Außerkraftsetzungen nicht angewendet.However, if we do, there may be some capabilities that are not applied such as reporting and custom overrides.

Wie kann ich Spamnachrichten oder Nachrichten, die kein Spam sind, an Microsoft melden?How can I report spam or non-spam messages back to Microsoft?

Sie können entweder das Add-In „Nachricht melden“ für Outlook verwenden oder, falls es nicht installiert ist, Spamnachrichten, Nachrichten, die kein Spam sind, und Phishingnachrichten zur Analyse an Microsoft übermitteln.You can either use the Report Message Add-in for Outlook, or if it isn't installed, Submit spam, non-spam, and phishing scam messages to Microsoft for analysis.

Ich bin ein Domänenadministrator, der nicht alle Absender kennt.I'm a domain administrator who doesn't know who all my senders are!

Siehe Administratoren von Domänen, die keine Office 365-Kunden sind.Please see Administrators of domains that are not Office 365 customers.

Was passiert, wenn ich den Antispoofingschutz für meine Organisation deaktiviere, wenn Office 365 mein primärer Filter ist?What happens if I disable anti-spoofing protection for my organization, even though Office 365 is my primary filter?

Dies wird nicht empfohlen, da dies dazu führt, dass mehr Nachrichten nicht als Phishing- und Spamnachrichten erkannt werden.We do not recommend this because you will be exposed to more missed phishing and spam messages. Nicht alle Phishingnachrichten sind Spoofingnachrichten und nicht alle Spoofingnachrichten werden übersehen.Not all phishing is spoofing, and not all spoofs will be missed. Ihr Risiko ist jedenfalls höher als bei einem Kunden, der Antispoofing aktiviert.However, your risk will be higher than a customer who enables anti-spoofing.

Bin ich vor allen Phishingangriffen geschützt, wenn ich den Antispoofingschutz aktiviere?Does enabling anti-spoofing protection mean I will be protected from all phishing?

Leider nicht, denn Phisher werden sich darauf einstellen und andere Verfahren wie kompromittierte Konten oder Einrichten von Konten von kostenlosen Diensten verwenden.Unfortunately, no, because phishers will adapt to use other techniques such as compromised accounts, or setting up accounts of free services. Der Antiphishingschutz funktioniert jedoch viel besser für die Erkennung dieser Arten von Phishingmethoden, da die Schutzebenen von Office 365 zusammenwirken und aufeinander aufbauen.However, anti-phishing protection works much better to detect these other types of phishing methods because Office 365's protection layers are designed work together and build on top of each other.

Werden nicht authentifizierte E-Mails von anderen großen E-Mail-Empfängern blockiert?Do other large email receivers block unauthenticated email?

Fast alle großen E-Mail-Empfänger implementieren die herkömmlichen Standards wie SPF, DKIM und DMARC.Nearly all large email receivers implement traditional SPF, DKIM, and DMARC. Einige Empfänger verfügen über andere Prüfungen, die strenger als diese Standards sind, nur wenige gehen jedoch soweit wie Office 365, dass nicht authentifizierte E-Mails blockiert und wie Spoofing-E-Mails gehandhabt werden.Some receivers have other checks that are more strict than just those standards, but few go as far as Office 365 to block unauthenticated email and treat them as a spoof. Allerdings wird der Großteil der Branche bei dieser speziellen Art von E-Mails zunehmend strenger, insbesondere aufgrund des Problems mit Phishingangriffen.However, most of the industry is becoming more and more strict about this particular type of email, particularly because of the problem of phishing.

Muss die Option „Erweiterte Spamfilterung“ für „SPF Hard Fail“ weiterhin aktiviert sein, wenn der Antispoofingschutz aktiviert ist?Do I still need the Advanced Spam Filtering option enabled for "SPF Hard Fail" if I enable anti-spoofing?

Nein, diese Option ist nicht mehr erforderlich, da der Antispoofingschutz nicht nur „SPF Hard Fails“ berücksichtigt, sondern viel umfassendere Kriterien.No, this option is no longer required because the anti-spoofing feature not only considers SPF hard fails, but a much wider set of criteria. Wenn der Antispoofingschutz und die Option „SPF Hard Fail“ aktiviert sind, erhalten Sie wahrscheinlich mehr falsch positive Ergebnisse.If you have anti-spoofing enabled and the SPF Hard Fail option enabled, you will probably get more false positives. Es wird empfohlen, diese Funktion zu deaktivieren, da sie fast keinen zusätzlichen Schutz vor Spam oder Phishing bietet und meistens falsch positive Ergebnisse generiert.We recommend disabling this feature as it would provide almost no additional catch for spam or phish, and instead generate mostly false positives.

Hilft Sender Rewriting Scheme (SRS) beim Beheben von Problemen mit weitergeleiteten E-Mails?Does Sender Rewriting Scheme (SRS) help fix forwarded email?

Mit SRS kann das Problem mit weitergeleiteten E-Mails nur teilweise behoben werden.SRS only partially fixes the problem of forwarded email. Durch die Umschreibung von „SMTP MAIL FROM“ kann SRS sicherstellen, dass die weitergeleitete Nachricht die SPF-Prüfung am nächsten besteht.By rewriting the SMTP MAIL FROM, SRS can ensure that the forwarded message passes SPF at the next destination. Da Antispoofing jedoch auf der „Von“-Adresse in Kombination mit MAIL FROM oder der signierenden DKIM-Domäne (oder anderen Signalen) basiert, reicht es nicht aus, um zu verhindern, dass die weitergeleitete E-Mail als Spoofing-E-Mail eingestuft wird.However, because anti-spoofing is based upon the From: address in combination with either the MAIL FROM or DKIM-signing domain (or other signals), it is not enough to prevent forwarded email from being marked as spoofed.