EXO Antispam-Support
Mailempfang ohne Spamfilter ist nicht mehr möglich. Diese Seite ist eine Übersicht, was in Exchange Online und Exchange Online Protection möglich ist. Zum Teil müssen Sie aber hinsichtlich der Konfiguration aktiv werden. Insbesondere erforderliche DNS-Einträge kann Microsoft nicht für sie setzen.
Folgende Verfahren haben immer zwei Blickrichtungen:
- Versand
Wenn Sie Mails ins Internet versenden, müssen sie heute aktiv dabei helfen, dass Spamfilter ihnen vertrauen. Die Spalte beschreibt ob Exchange Online Sie dabei unterstützt. - Empfang
Exchange Online Protection ist der Spamfilter vor Exchange und prüft natürlich auch, was die Absenderseite liefert.
Die Bewertung ist hier eine Kurzfassung. Zu den Details verweise ich aber auf weiterführende Seiten.
Verfahren | Versand | Empfang |
---|---|---|
EmpfängerprüfungEine wesentliche Funktion ist die Prüfung des Empfängers und der Ablehnung von Mails, die nicht zugestellt werden könne. |
NA |
DBEB ist aktiv. |
SPFMittels SPF veröffentlicht der Sender eine Liste der legitimen Absender per DNS. Der Empfänger kann ungültige Absender ablehnen oder als Phishing kennzeichnen. |
DNS durch Domaininhaber zu setzen |
EOP prüft |
DKIMDer Absender signiert Teile der Mail mit einem privaten Schlüssel und der Empfänger prüft dies anhand des im DNS veröffentlichten öffentlichen Schlüssels. |
EXO kann signieren. Konfiguration erforderlich und ratsam |
EOP prüft |
DMARCEin DMARC-Eintrag im DNS instruiert den Empfänger, wie der SPF/DKIM-Ergebnisse bewerten und erzwingen soll. Insbesondere das Alignment der Absenderdomain im Header und Envelope und die Report-Funktion ist dabei aufzuführen.
|
DNS durch Domaininhaber zu setzen. Keine Einstellung in EXO erforderlich |
EXO respektiert DMARC aber kann vom Admin abgeschwächt werden. EXO sendet DMARC Reports |
ARCSPF, SRS; DKIM sind keine sichere Lösung für Weiterleitungen/Umleitungen. Die "großen Provider" haben sich daher überlegt, ob Sie nicht auch die Mails vergleichbar zu DKIM signieren und sich dann einen Trustlevel zueinander einrichten. Eine Mail von Extern landet dann bei einem Postach in Exchange Online und wenn diese per Regel zu GMail weitergeleitet wird, dann würde GMail diese eventuell als Spam ansehen, es sei denn Exchange Online hat eine ARC-Signatur angefügt |
Exchange Online addiert eine ARC-Signatur |
Exchange Online prüft ARC-Signaturen |
RBLExchange nutzt eine Art "Reputation Score" für IP-Adressen, die sie auch manuell anpassen können. Offene Relays sind zwar weiter ein Problem aber Spammer nutzen oft eigene Strukturen. |
Microsoft versucht seine IP-Adressen aus RBL-Listen zu halten |
EOP nutzt RLB |
MTA-STSSMTP-Verbindungen nutzen heute "Opportunistic TLS", d.h. wenn das Ziel "STARTTLS" unterstützt. Mit MTA-STS kann das Ziel per DNS auf eine HTTPS-URL verweisen, wo Details zum Zertifikat stehen. So kann der Absender prüfen, ob er beim richtigen Server angekommen ist und kein Man in the Middle sich dazwischen geschaltet hat.
|
EXO prüft ausgehend MTA-STS |
Domaininhaber muss DNS und Web bereitstellen |
DANE / DNSSEC / SMTP-TLSAEine Domain kann per DNSSEC einen DANE-Eintrag veröffentlichen, welcher angibt, dass kompatible Sender das Zertifikat des Zielsystems prüfen sollen, damit MITM-Angriffe nicht möglich sind. Passen die Zertifikate nicht, dann wird die Mail nicht gesendet. Eingehend wird Microsoft im Jahr 2024 neue DNS-Namen und Zonen bereitstellen, die dann auch DNSSEC unterstützen. Als DNS-Domain-Anmin müssen Sie ihren DNS-Eintrag (MX-Record) entsprechend ändern.
|
Seit Mai 2022 |
Einführung in 2024 |
BIMIWenn der Absender nachweist, dass er wirklich authentisch ist, dann können Empfänger das hinterlegte Logo des Absenders einblenden. Dazu muss der Empfänger "BIMI" verstehen prüfen und dann einblenden aber auch der Absender muss etwas tun. Aktuell (Feb 2024) kann Exchange Online noch kein BIMI. |
Nur CRM |
Nein |
ReverseDNSGoogle hat in seinen "Postmaster Rule" vorgegeben, dass jeder Mailserver zur IP-Adresse auch einen "ReverseDNS"-Eintrag führen sollte. Das is bei Microsoft nicht bei allen Servern der Fall aber wird nicht kritisch gesehen, RDNS ist und war noch nie ein guter Spamschutz und die fehlende Unterstützung scheint keine Probleme zu machen. |
Die meisten aber nicht alle Server sind per RDNS auflösbar |
Wird nicht ausgewertet |
SRSSender Rewriting Scheme ist kein Spamfilter aber bei Umleitungen erforderlich, um SPF zu erfüllen. |
Ja |
NA |
Ich versuche diese Tabelle aktuell zu halten aber wenn Sie neuere Informationen haben, dann freue ich mich über einen Hinweis: Kontakt
Weitere Links
- DMARC
- DMARC-Validation
- SPF, DKIM und DMARC jetzt!
- EXO SRS - Sender Rewriting Scheme (SRS)
- NoSpamProxy: Ratgeber – DMARC, DKIM, SPF
und DANE
https://www.nospamproxy.de/de/ratgeber-dmarc-dkim-spf-dane