Im Microsoft TechNet ist die Erstellung einer Office 365 Entwicklungs- und Testumgebung detailliert beschrieben. Nach der grundsätzlichen Einrichtung der Umgebung kann dort auch die Nutzung der Advanced Threat Protection (ATP) konfiguriert und demonstriert werden.
Die E-Mail Sicherheitsfunktionen der Advanced Threat Protection sind im Office 365 E5 Plan enthalten. Für andere Office 365 Pläne kann ATP separat erworben werden.
Mit Hilfe der Advanced Threat Protection können Unternehmensnetzwerke besser vor E-Mail Bedrohungen geschützt werden. Hierzu gehören:
ATP ist als Ergänzung zur regulärem Exchange Online Protection (EOP) zu sehen.
Die Einrichtung von ATP in der Entwicklungs- und Testumgebung erfolgt nach der Basiseinrichtung der Office 365 Entwicklungs- und Testumgebung und besteht aus folgenden Punkten:
Nach der Einrichtung der Advanced Threat Protection können Sie noch weitere Richtlinien konfigurieren und deren Auswirkungen auf die E-Mail Zustellung testen.
Mehr über Advanced Threat Protection für Safe Attachments und Safe Links finden Sie hier: https://technet.microsoft.com/library/mt148491(v=exchg.150).aspx
Quelle Grafik: Microsoft
Für die Prüfung von gültigen E-Mail Absendern stehen unterschiedliche Technologien zur Verfügung. Jede für sich genommen stellt aber nur einen Baustein einer Gesamtlösung dar. Nach aktuellem Standard ist die Empfehlung, alle drei Technologien zu implementieren.
Die Technologien sind:
Das nachfolgende Schaubild verdeutlicht die Relation der Protokolle zu einander.
Die Konfiguration von SPF, DKIM und DMARC ist kein Ersatz für E-Mail Nachrichtenverschlüsselung oder eine Transportverschlüsselung bei der E-Mail Übertragung. Vielmehr mehr dienen die genannten drei Technologien der Erkennung und Bewertung von gültigen Absendern und stellen einen Schutzmechanismus vor Spam dar.
Man darf nicht vergessen, dass die Konfiguration der drei Technoligen nur ein Angebot für andere E-Mail Server darstellt. Als Absender hat man schlicht keine Kontrolle darüber, ob und wie SPF, DKIM oder DMARC von der empfangenden Seite ausgewertet werden. Werden sie aber ausgewertet, so müssen die Konfigurationen korrekt und fehlerfrei sein und keine Testeinträge mehr enthalten.
Die nachfolgenden Abschnitte beschreiben insbesondere die DNS Konfiguration für SPF, DKIM und DMARC. Dieser Blogeintrag stellt keine detaillierte Bewertung der drei Technologien dar, sondern beschreibt deren Implementierung.
Für jede Domäne, die E-Mails versendet, ist ein SPF Eintrag (Resource Record) in der DNS Zone einzutragen. Ein SPF Eintrag ist immer vom Typ TXT und nutzt keinen Hostnamen (oder Resource Record Namen). Er gilt immer für die gesamte zu betrachtende Zone.
mcsmemail.de. 3600 IN TXT "v=spf1 mx a:mail.mcsmemail.de ?all"
Das nachfolgende Beispiel zeigt das Anlegen eines SPF TXT Eintrages in einer DNS Verwaltungsoberfläche eines Internet-Hosters. Das Textfeld für den Hostnamen bleibt leer.
Die im Beispiel verwendeten Einträge bedeuten:
v=spf1 Die SPF Version des Texteintrage
mx Die in der DNS Zone konfigurierten MX Servereinträge für eingehende E-Mails sind valide Sender
a:mail.mcsmemail.de Der in der DNS Zone existierende A Resource Record ist ebenfalls an valider Sender
?all Neutrale Bewertung von nicht genannten Systemen, die ebenfalls E-Mails mit dieser Domäne senden
Die Erstellung der SPF Konfiguration erfolgt am einfachsten über einen der zahlreiche Online-Konfiguratoren. Diese werten bereits die aktuelle Konfiguration der DNS Zone aus.
Bei einem DKIM Eintrag erfolgt die Konfiguration ebenfalls über einen TXT Eintrag in der DNS Zone der Absenderdomäne. Im Gegensatz zum SPF Eintrag ist ein Name für den Resource Record verpflichtend. Im Zusammenhang mit DKIM spricht man hier vom einem Selektor.
Ein DKIM DNS Eintrag erfolgt immer unterhalb der DNS Subdomäne _domainkey.
nsp._domainkey.mcsmemail.eu. 3600 IN TXT "v=DKIM1\; k=rsa\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQChZM8yjegaKfd0ssKyezTW/7xbDSNc0uPd50xa5/ecerv1v3mHKM+T7mClzRmIEx+Ji6AisVeo2uvjTYPemHFMBlQpuS/4zc2QxWHqp62FSQ7lASBOzDfUrIwayPVqwSPD6NrnfVSWoUNrFGGSVeU5uLASecBzTfxPukqTHgYKhQIDAQAB"
Das nachfolgende Beispiel zeigt das Anlegen eines DKIM TXT Eintrages in einer DNS Verwaltungsoberfläche eines Internet-Hosters. Das Textfeld für den Hostnamen enthält den Selektor nsp und die Subdomäne _domainkey.
v=DKIM1 Die DKIM Version des DNS Eintrages
k=rsa Verschlüsselungsmethode des öffentlichen Schlüssels
p=MIGfMA.... Der öffentliche Schlüssel des DKIM Schlüsselpaares
Die Konfiguration von DMARC erfolgt ebenfalls über einen TXT Eintrag in der DNS Zone der absendenden Domäne. Für die Konfiguration wird der definierte Resource Record Name _dmarc verwendet.
_dmarc.mcsmemail.de. 3600 IN TXT "v=DMARC1\; p=none\; rua=mailto:DMARCRUA@mcsmemail.de\; ruf=mailto:DMARCRUF@mcsmemail.de\; fo=1\; adkim=s\; aspf=s\; rf=afrf\"
Das nachfolgende Beispiel zeigt das Anlegen eines DMARC TXT Eintrages in einer DNS Verwaltungsoberfläche eines Internet-Hosters. Das Textfeld für den Hostnamen enthält immer den Namen _dmarc.
v=DMARC1 Die DMARC Version des DNS Eintrages
p=none Keine definierte Policy für DMARC (Dies sollte immer das Startszenario sein, bevor man zu Quarantine oder Reject wechselt)
rua=mailto:DMARCRUA@mcscmemail.de E-Mail Adresse für aggregierte Statusberichte
ruf=mailto:DMARCRUF@mcscmemail.de E-Mail Adresse für Fehlerbericht
fo=1 Definition der Art des Fehlerberichtes
adkim=s Definition DKIM Prüfung, s = strict
aspf=s Definiton der SPF Prüfung, s = strict
rf=afrf Nachrichtenformat des Fehlerberichtes, afrf = Abuse Report Format nach RFC 5965
Die Richtlinie (Policy, p) zur Auswertung und Reaktion sollte langsam gesteigert werden. Je Richtlinie sind die Ergebnisse wie folgt:
Sehr empfehlenswert zu diesem Thema ist ein Supportartikel von Google.
Für die Überprüfung der DNS Zoneneinträge kann das PowerShell Tool von Net at Work verwendet werden. Das PowerShell script kann nur mit NoSpamProxy 11 oder höher verwendet werden. Ebenso stehen zahlreiche Online-Tools zur Verfügung. Unten finden Sie direkt Verlinkungen zu den Tools von MXToolbox.
Sichern Sie Ihre E-Mail Kommunikation mit PGP oder S/MIME und nutzen Sie sichere E-Mail Verschlüsselung am Gateway mit NoSpamProxy Encryption. E-Mail Security Made in Germany. Wir beraten Sie gerne: info@granikos.eu
Microsoft bietet eine Übersichtsseite, auf der alle in Microsoft Azure zur Verfügung stehenden IaaS, PaaS und SaaS Dienste in Kategorien gegliedert dargestellt werden.
Jeder Dienst wird kurz beschrieben und wichtigsten Merkmale übersichtlich aufgezählt. Zusätzlich besteht die Möglichkeit, über diese Seite zentral für jeden Dienst zu folgenden Informationen zu gelangen:
Microsoft hat die finale Version der Office 365 Admin Universal App veröffentlicht. Mit Hilfe dieser App ist es möglich, einen Office 365 Tenant komfortabel zu verwalten. Microsoft Partner haben über dies App ebenfalls die Möglichkeit, Office 365 Tenants von Kunden zu betreuen.
Die Universal App steht für folgende Plattformen zur Verfügung:
Da es sich um eine Universal App handelt, ist diese App auch auf HoloLens und Hub verfügbar.
Die App bietet u.a. eine schnelle und übersichtliche Ansicht zu den genutzten Office 365 Diensten. Das nachfolgende Beispiel zeigt den Status für Exchange Online.
Windows Phone 10 Ansicht:
Webseite zum Download der Office 365 Universal App:
Sie benötigen Hilfe bei der Planung und Installation Ihrer Exchange Server Installation? Sie haben Fragen über Ihre bestehende Exchange Server Infrastruktur und möchten Exchange Online implementieren? Kontaktieren Sie uns per E-Mail info@granikos.eu oder besuchen Sie unsere Webseite https://www.granikos.eu.
E-Mail-Sicherheit auf Knopfdruck. Geht doch!
SPF, DKIM und DMARC sind in aller Munde und teilweise sogar zur Pflicht geworden. Viele Firmen trauen sich jedoch nicht an die Umsetzung. Unser Partner Net at Work zeigt in diesem Webcast wie einfach es sein kann, den Absender einer E-Mail zu überprüfen, wenn man die richtigen Werkzeuge verwendet.
Auf Knopfdruck geben Sie Ihren Kommunikationspartnern die Möglichkeit, E-Mails aus Ihrem Hause einwandfrei zu identifizieren und gefälschte E-Mails mit Ihrer Domäne abweisen zu können. Darüber hinaus haben Sie die Möglichkeit zu erkennen, ob Ihre Domäne für Spam- und Malware-E-Mails missbraucht wird.
Ein weiterer wichtiger Aspekt ist beispielsweise der Schutz vor gefälschten PayPal-Rechnungen. Überlassen Sie die Absenderprüfung nicht Ihren Mitarbeitern, sondern einem E-Mail-Security Gateway Made in Germany.