MSXFAQ MeetNow aktiv: Komm doch einfach dazu.

Teams Notification Mails

System, die Mails versenden, sollten bei einem Empfänger einer fremden Domain den "MX-Record" nutzen, um die Mail zuzustellen. Das funktioniert im Internet und mit Exchange Online sehr gut und sogar die Mails von Microsoft 365 nutzen den MX-Record. Nur Teams Benachrichtigungen wählen einen anderen Weg.

Mails von "teams.mail.microsoft"

Alle Anwender, die Microsoft Teams nutzen, bekommen sich auch ab und an eine Mail, dass sie etwas "verpasst" haben. Das passiert gerne, wenn Sie per Gast-Zugriff einige Zeit in einem anderen Tenant unterwegs sind oder ihre Mails wirklich nicht lesen. Das Verhalten kann jeder Anwender in den Einstellungen von Teams selbst steuern.

Entsprechend kommt dann im Postfach des Anwenders eine Mail an:

Mailheader: Laufweg

Natürlich habe ich mit den Header der Mail angeschaut und folgenden Laufweg vom Absender bis in mein Exchange Online Konto gesehen:

Schon beim Hop 1 ist zu sehen, dass ein Server aus der Domain "notifyp.svc.ms" mit eine offiziellen IP-Adresse 172.205.12.116 die Mail anscheinend direkt bei Exchange Online einliefert.

Richtig wäre, dass die über den MX-Record von Net at Work bei NoSpamProxy landet, wie z.B. bei einer SharePoint Mail

Mailheader: Details

Ich habe mir dann den Header weiter genauer angeschaut und neben den "Received: from" noch weitere interessante Header gefunden.

Was mit aufgefallen ist:

  • SPF=none und DKIM=none
    Der erste Mailserver, welche die Mail auf SPF/DKIM prüft, findet keine DKIM-Signatur und auch ein SPF-Check wird gar nicht durchgeführt. Dass natürlich DKIM komplett fehlt, ist unschön, weil damit auch Weiterleitungen zu anderen Tenants oder Mailserver nicht sauber funktionieren werden.
  • Originating/Internal
    Die Mail wird von Exchange als "von mir kommend" und interne Quelle angesehen, obwohl die Absenderdomain "teams.mail.microsoft" nicht zu meinen Tenant gehört
  • CrcossTenantID = mein Tenant
    Die "de21xxxx"-GUID gehört zum Tenant von Net at Work
  • Regeln werden angewendet
    Wir haben eine Transportregel im Tenant, der Wert auf 1 setzt, wenn die Transportregeln durchlaufen wurden. Einfach als zusätzliche Fehlersuchmöglichkeit und der Wert steht auf "1". Also wurden Transportregeln angewendet.

Es hat den Anschein, dass eine Einlieferung über diesen Service eine besondere Konfiguration in Exchange Online angewendet wird.

Sobald ich mehr Details habe, aktualisiere ich die Seite.

SPF/DKIM im Internet

Kann denn dann ein Angreifer z.B.: diese Domain spoofen oder zum Missbrauch verwenden?. Ein Blick ins öffentliche DNS zeigt, dass Microsoft hier seine Hausaufgaben gemacht hat.

PS C:\> nslookup -q=TXT teams.mail.microsoft

teams.mail.microsoft    text = "v=spf1 include:spf.protection.outlook.com 
                                       include:spf.protection.office365.us -all"

Hier hat Microsoft einen "-all", um Mails von anderen fremden Systemen zu verbiete. Wer also Mails empfängt und nicht mal einen SPF-Check durchführt, könnte auf solche "Teams Mails" hereinfallen.

PS C:\> nslookup -q=TXT _dmarc.teams.mail.microsoft

_dmarc.teams.mail.microsoft     text = "v=DMARC1; 
                                        p=reject; 
                                        pct=100; 
                                        rua=mailto:rua@dmarc.microsoft; 
                                        ruf=mailto:ruf@dmarc.microsoft;
                                        fo=1"

Auch über DMARC teilt Microsoft allen Empfängern mit DMARC-Support mit, dass Sie solche Mails ablehnen sollten und möglichst einen Bericht an Microsoft senden. Microsoft fordert sogar "Analytics"-Reports (RUA) an, was wir in Deutschland mit unseren eigenen Domains nicht dürfen.

SPF und DMARC in Exchange Online Protection

Das ganze Ablehnen funktioniert beim direkten Empfang über Exchange Online natürlich nur, wenn sie die AntiPhish-Richtlinien nicht gelockert haben.

Damit schützen Sie sich gegen fremde Mails mit der Absenderdomain "teams.mail.microsoft" aber Mails von Microsoft selbst kommen sicher durch, das Sie die SPF-Prüfung eigentlich bestehen sollten.

Weitere Links