EXO Antispam-Support

Mailempfang ohne Spamfilter ist nicht mehr möglich. Diese Seite ist eine Übersicht, was in Exchange Online und Exchange Online Protection möglich ist. Zum Teil müssen Sie aber hinsichtlich der Konfiguration aktiv werden. Insbesondere erforderliche DNS-Einträge kann Microsoft nicht für sie setzen.

Folgende Verfahren haben immer zwei Blickrichtungen:

Versand
Wenn Sie Mails ins Internet versenden, müssen sie heute aktiv dabei helfen, dass Spamfilter ihnen vertrauen. Die Spalte beschreibt ob Exchange Online Sie dabei unterstützt.
Empfang
Exchange Online Protection ist der Spamfilter vor Exchange und prüft natürlich auch, was die Absenderseite liefert.

Die Bewertung ist hier eine Kurzfassung. Zu den Details verweise ich aber auf weiterführende Seiten.

Verfahren	Versand	Empfang
Empfängerprüfung Eine wesentliche Funktion ist die Prüfung des Empfängers und der Ablehnung von Mails, die nicht zugestellt werden könne. Directory Based Edge Blocking (DBEB) Spam und UCE - gültige Empfänger NDR-Spammer	NA	DBEB ist aktiv.
SPF Mittels SPF veröffentlicht der Sender eine Liste der legitimen Absender per DNS. Der Empfänger kann ungültige Absender ablehnen oder als Phishing kennzeichnen.	DNS durch Domaininhaber zu setzen	EOP prüft
DKIM Der Absender signiert Teile der Mail mit einem privaten Schlüssel und der Empfänger prüft dies anhand des im DNS veröffentlichten öffentlichen Schlüssels. DKIM mit Office 365 Spam und UCE - Filter: DKIM DKIM doppelte Header	EXO kann signieren. Konfiguration erforderlich und ratsam	EOP prüft
DMARC Ein DMARC-Eintrag im DNS instruiert den Empfänger, wie der SPF/DKIM-Ergebnisse bewerten und erzwingen soll. Insbesondere das Alignment der Absenderdomain im Header und Envelope und die Report-Funktion ist dabei aufzuführen. DMARC DMARC-Validation Announcing New DMARC Policy Handling Defaults for Enhanced Email Security https://techcommunity.microsoft.com/t5/exchange-team-blog/announcing-new-dmarc-policy-handling-defaults-for-enhanced-email/ba-p/3878883	DNS durch Domaininhaber zu setzen. Keine Einstellung in EXO erforderlich	EXO respektiert DMARC aber kann vom Admin abgeschwächt werden. EXO sendet DMARC Reports
ARC SPF, SRS; DKIM sind keine sichere Lösung für Weiterleitungen/Umleitungen. Die "großen Provider" haben sich daher überlegt, ob Sie nicht auch die Mails vergleichbar zu DKIM signieren und sich dann einen Trustlevel zueinander einrichten. Eine Mail von Extern landet dann bei einem Postach in Exchange Online und wenn diese per Regel zu GMail weitergeleitet wird, dann würde GMail diese eventuell als Spam ansehen, es sei denn Exchange Online hat eine ARC-Signatur angefügt ARC - Authenticated Received Chain Configure trusted ARC sealers https://learn.microsoft.com/en-us/microsoft-365/security/office-365-security/email-authentication-arc-configure	Exchange Online addiert eine ARC-Signatur	Exchange Online prüft ARC-Signaturen
RBL Exchange nutzt eine Art "Reputation Score" für IP-Adressen, die sie auch manuell anpassen können. Offene Relays sind zwar weiter ein Problem aber Spammer nutzen oft eigene Strukturen. Spam und UCE - Filter: Relay Block List Configure connection filtering https://learn.microsoft.com/en-us/microsoft-365/security/office-365-security/connection-filter-policies-configure	Microsoft versucht seine IP-Adressen aus RBL-Listen zu halten	EOP nutzt RLB
MTA-STS SMTP-Verbindungen nutzen heute "Opportunistic TLS", d.h. wenn das Ziel "STARTTLS" unterstützt. Mit MTA-STS kann das Ziel per DNS auf eine HTTPS-URL verweisen, wo Details zum Zertifikat stehen. So kann der Absender prüfen, ob er beim richtigen Server angekommen ist und kein Man in the Middle sich dazwischen geschaltet hat. SMTP MTA STS (Strict Transport Security) Introducing MTA-STS for Exchange Online https://techcommunity.microsoft.com/t5/exchange-team-blog/introducing-mta-sts-for-exchange-online/ba-p/3106386 Enhancing mail flow with MTA-STS https://learn.microsoft.com/en-us/purview/enhancing-mail-flow-with-mta-sts Introducing PS.MTA-STS: a PowerShell module to enhance mail flow security with MTA-STS https://techcommunity.microsoft.com/t5/exchange-team-blog/introducing-ps-mta-sts-a-powershell-module-to-enhance-mail-flow/ba-p/4075210	EXO prüft ausgehend MTA-STS	Domaininhaber muss DNS und Web bereitstellen
DANE / DNSSEC / SMTP-TLSA Eine Domain kann per DNSSEC einen DANE-Eintrag veröffentlichen, welcher angibt, dass kompatible Sender das Zertifikat des Zielsystems prüfen sollen, damit MITM-Angriffe nicht möglich sind. Passen die Zertifikate nicht, dann wird die Mail nicht gesendet. Eingehend wird Microsoft im Jahr 2024 neue DNS-Namen und Zonen bereitstellen, die dann auch DNSSEC unterstützen. Als DNS-Domain-Anmin müssen Sie ihren DNS-Eintrag (MX-Record) entsprechend ändern. Support of DANE and DNSSEC in Office 365 Exchange Online https://techcommunity.microsoft.com/t5/exchange-team-blog/support-of-dane-and-dnssec-in-office-365-exchange-online/ba-p/1275494 How SMTP DNS-based Authentication of Named Entities (DANE) works https://learn.microsoft.com/en-us/purview/how-smtp-dane-works Implementing Inbound SMTP DANE with DNSSEC for Exchange Online Mail Flow https://techcommunity.microsoft.com/t5/exchange-team-blog/implementing-inbound-smtp-dane-with-dnssec-for-exchange-online/ba-p/3939694 Releasing: Outbound SMTP DANE with DNSSEC https://techcommunity.microsoft.com/t5/exchange-team-blog/releasing-outbound-smtp-dane-with-dnssec/ba-p/3100920	Seit Mai 2022	Einführung in 2024
BIMI Wenn der Absender nachweist, dass er wirklich authentisch ist, dann können Empfänger das hinterlegte Logo des Absenders einblenden. Dazu muss der Empfänger "BIMI" verstehen prüfen und dann einblenden aber auch der Absender muss etwas tun. Aktuell (Feb 2024) kann Exchange Online noch kein BIMI. Dynamics 365 BIMI support https://learn.microsoft.com/en-us/dynamics365/customer-insights/journeys/bimi-support BIMI - Brand Indicators for Message Identification	Nur CRM	Nein
ReverseDNS Google hat in seinen "Postmaster Rule" vorgegeben, dass jeder Mailserver zur IP-Adresse auch einen "ReverseDNS"-Eintrag führen sollte. Das is bei Microsoft nicht bei allen Servern der Fall aber wird nicht kritisch gesehen, RDNS ist und war noch nie ein guter Spamschutz und die fehlende Unterstützung scheint keine Probleme zu machen. Google Spamschutz 2024	Die meisten aber nicht alle Server sind per RDNS auflösbar	Wird nicht ausgewertet
SRS Sender Rewriting Scheme ist kein Spamfilter aber bei Umleitungen erforderlich, um SPF zu erfüllen. EXO SRS - Sender Rewriting Scheme (SRS) Spam und UCE - Filter: SRS, HashCash	Ja	NA