Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=email-message-authentication

Nachrichten-Authentifizierung

Mit Nachrichten-Authentifizierungsprüfungen können Sie überprüfen, ob E-Mails tatsächlich vom angegebenen Absender stammen. Sophos Email verwendet dafür DMARC, SPF und DKIM.

Nachrichtenauthentifizierungsprüfungen werden in der Reihenfolge vorgenommen, in der sie in Ihrer Email-Security-Richtlinie angezeigt werden. Schlägt bei einer E-Mail die erste Nachrichtenauthentifizierung fehl, werden die weiteren Authentifizierungen nicht mehr durchgeführt. Siehe So funktioniert die Nachrichten-Authentifizierung.

Weitere Informationen zur Reihenfolge, in der Authentifizierungen in verschiedenen Szenarien durchgeführt werden, finden Sie unter Abfolge der Nachrichten-Authentifizierung.

Wir empfehlen, alle Kategorien von Nachrichtenauthentifizierungen auf Quarantäne zu setzen.

Sie können die Nachrichten-Authentifizierung übergehen, indem Sie Domänen und E-Mail-Adressen in der Liste erlaubter Eingänge erlauben.

Für alle Nachrichten-Authentifizierungen können Sie wählen, ob Nachrichten gesendet werden sollen, die nicht an die Endbenutzer-Quarantäne gesendet werden können.

Warnung

Wenn Sie Sophos EMS abonniert haben und die Lösung hinter Ihrem primären E-Mail-Sicherheitstool eines Drittanbieters eingerichtet wurde, erhält Sophos möglicherweise geänderte E-Mails. Infolgedessen können DKIM-Prüfungen fehlschlagen und die DMARC-Ausrichtung funktioniert möglicherweise nicht ordnungsgemäß. Eine fehlgeschlagene DKIM- oder DMARC-Prüfung bedeutet nicht unbedingt, dass die E-Mail ein Sicherheitsrisiko darstellt.

Nachrichtenauthentifizierung konfigurieren

Um die Nachrichtenauthentifizierung zu konfigurieren, gehen Sie wie folgt vor:

  1. Gehen Sie in Ihrer Email-Security-Richtlinie zu Einstellungen > Eingehend > Authentifizierung.

  2. Aktivieren Sie die DMARC-, SPF- und DKIM-Prüfungen bei Bedarf.

    Hinweis

    Standardmäßig ist die DMARC-Prüfung aktiviert, und Schwerer Fehler ist auf Gemäß Absender-Richtlinie eingestellt.

  3. Klicken Sie auf Regel hinzufügen, um Fehlertypen festzulegen und für jede Prüfung eine Aktion auszuwählen.

    Details zu verfügbaren Fehlertypen und Aktionen finden Sie in DMARC, SPF und DKIM.

    Das Hinzufügen weiterer DMARC-Fehlertypen ist möglicherweise noch nicht für alle Kunden verfügbar.

  4. Speichern Sie die Richtlinie.

Die neuen Authentifizierungseinstellungen gelten für alle eingehenden E-Mails. Hinzugefügte Bedingungen werden von oben nach unten überprüft, und die erste Übereinstimmung wird angewendet.

DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) ist eine E-Mail-Authentifizierungsrichtlinie und ein Reporting-Protokoll. Es baut auf den Protokollen DKIM und SPF auf und erkennt bzw. verhindert E-Mai-Spoofing. Sie können steuern, wie mit E-Mails verfahren wird, die durch die DMARC-Prüfungen fallen.

Schwerer Fehler: Dieses Problem tritt auf, wenn eine Nachricht die DMARC-Prüfung nicht besteht, da weder SPF noch DKIM mit Übereinstimmung bestehen. Standardmäßig ist diese Option auf Gemäß Absender-Richtlinie eingestellt.

Die SPF-Übereinstimmung wird für die Domäne in „header-from“ anhand der Domäne „envelope-from“ überprüft. Die DKIM-Übereinstimmung wird für d=domain in der DKIM-Signatur anhand der Domäne in „header-from“ überprüft.

Sie können auch Ihre Email-Security-Richtlinie konfigurieren, um auf DMARC-Fehlertypen zu prüfen.

Die Optionen unten sind unter Umständen noch nicht für alle Kunden verfügbar.

Sie können die folgenden Optionen konfigurieren:

  • p=none: Diese Option ermöglicht es Ihnen, eine Aktion bei DMARC-Fehlern durchzuführen, wenn die Richtlinie des Absenders auf none gesetzt ist.

    Hinweis

    Es ist sinnvoll, diesen Fehlertyp nur hinzuzufügen, wenn die Option Schwerer Fehler auf Gemäß Absender-Richtlinie festgelegt ist. Wenn Sie Gemäß Absender-Richtlinie festgelegt haben und der Absender die Richtlinie auf „none“ (p=none) gesetzt hat, kann keine Fehleraktion durchgeführt werden, wenn die DMARC-Prüfung für die Nachricht des Absenders fehlschlägt.

  • Nicht unterstützt: Dieser Fehler tritt auf, wenn kein DMARC-Eintrag für die Absenderdomäne vorhanden ist. Dieser Fehlertyp ist nur im Gateway-Modus relevant.

  • M365 bestguesspass: Dieser Fehler tritt nur im M365-Mailflow-Modus auf. Weitere Informationen zur Bewertung von „bestguesspass“ in M365 finden Sie in der M365-Dokumentation.
  • Temporärer Fehler: Dieser Fehler tritt auf, wenn die DMARC-Eintragssuche im DNS (Domain Name Server) mit einem temporären Fehler antwortet. Dieser Fehler wird ohne Eingreifen automatisch behoben.
  • Temporärer Fehler: Dieser Fehler tritt auf, wenn der von der DNS-Suche zurückgegebene DMARC-Eintrag der Domäne nicht korrekt interpretiert werden kann. Dieser Fehler kann vom Besitzer des DNS-Eintrags behoben werden.

Für jeden Fehlertyp können Sie wie folgt eine Aktion anwenden:

  • Gemäß Absender-Richtlinie: Was mit der Nachricht geschieht, hängt davon ab, was der Absender in seiner DMARC-Richtlinie festgelegt hat. Dies ist der Standardwert.

    Hinweis

    Diese Aktion gilt nur für Schwere Fehler.

  • Betreffzeile taggen: Sophos Email fügt der Betreffzeile der E-Mail ein Tag als Hinweis hinzu, dass es sich um eine Spoofing-Mail handelt.

  • Quarantäne: E-Mail wird in die Quarantäne verschoben.

    Hinweis

    Wenn Sie In Endbenutzer-Quarantäne aufnehmen auswählen, können Ihre Benutzer Nachrichten prüfen, freigeben oder löschen. Siehe Endbenutzer-Quarantäne.

  • Ablehnen: E-Mail wurde abgelehnt.

    Hinweis

    Raw-Header sind für die abgelehnten Nachrichten nicht verfügbar.

  • Zustellen: Die Nachricht wird an den nächsten Scanning-Layer gesendet.

SPF

Mit Sender Policy Framework (SPF) kann überprüft werden, ob eingehende E-Mails von einer IP-Adresse stammen, die von den Administratoren der Absender-Domäne autorisiert wurden. Spam- und Phishing-E-Mails verwenden oft gefälschte Adressen.

Ein Hardwarefehler tritt auf, wenn die IP-Adresse des Absenders nicht als autorisierter Absender aufgeführt ist. Um sicherzustellen, dass nur die autorisierte IP-Adresse E-Mails senden kann, muss der Absender -all im SPF-Datensatz hinzufügen. Diese Option ist die Standard-SPF-Prüfung, für die Sie Fehleraktionen konfigurieren können.

Sie können auch andere SPF-Fehlertypen konfigurieren, z. B.:

  • Leichter Fehler: Tritt auf, wenn die IP-Adresse des Absenders wahrscheinlich nicht autorisiert ist. Dies könnte daran liegen, dass der Domäneneigentümer keine definitivere Einschränkung festgelegt hat, was zu einem schwereren „Fehler“ führen würde. Um sicherzustellen, dass nur die autorisierte IP-Adresse E-Mails senden kann, aber nicht endgültig, muss der Absender ~all im SPF-Datensatz hinzufügen.
  • Neutral: Tritt auf, wenn die Domäne des Absenders explizit angibt, dass sie nicht durch Angabe ?all im SPF-Datensatz bestätigt, ob die IP-Adresse des Absenders autorisiert ist oder nicht. In diesem Fall liefern E-Mails von einer beliebigen Absender-IP-Adresse ein neutrales Ergebnis.
  • Nicht unterstützt: Tritt auf, wenn der Absender den SPF-Datensatz nicht konfiguriert hat.
  • Temporärer Fehler: Tritt aufgrund eines temporären Fehlers auf, normalerweise aufgrund von DNS, während der Prüfung. Dieser Fehler kann sich ohne Eingreifen des DNS-Betreibers selbst beheben.
  • Temporärer Fehler: Tritt auf, wenn die veröffentlichten Datensätze der Domäne nicht korrekt interpretiert werden können. Dies weist auf einen Fehler hin, der das Eingreifen des DNS-Betreibers erfordert.

Für jeden Fehlertyp können Sie wie folgt eine Aktion anwenden:

  • Betreffzeile taggen: Sophos Email fügt der Betreffzeile der E-Mail ein Tag als Hinweis hinzu, dass es sich um eine Spoofing-Mail handelt. Dies ist der Standardwert.

  • Quarantäne: E-Mail wird in die Quarantäne verschoben.

    Hinweis

    Wenn Sie In Endbenutzer-Quarantäne aufnehmen auswählen, können Ihre Benutzer Nachrichten prüfen, freigeben oder löschen. Siehe Endbenutzer-Quarantäne.

  • Ablehnen: E-Mail wurde abgelehnt.

    Hinweis

    Raw-Header sind für die abgelehnten Nachrichten nicht verfügbar.

  • Zustellen: Die Nachricht wird an die nächste Stufe gesendet.

DKIM

DKIM (DomainKeys Identified Mail) ist ein Authentifizierungssystem für die Signierung und Validierung von E-Mails basierend auf der Domäne des Absenders. Sie können steuern, wie mit E-Mails verfahren wird, die durch die DKIM-Prüfungen fallen.

Ein schwerer Fehler tritt auf, wenn DKIM konfiguriert ist, die DKIM-Signatur in der E-Mail enthalten ist und der DNS ordnungsgemäß antwortet, die DKIM-Prüfung jedoch nicht bestanden hat. Diese Option ist die Standard-DKIM-Prüfung, für die Sie Fehleraktionen konfigurieren können.

Sie können auch andere DKIM-Fehlertypen konfigurieren, z. B.:

  • Nicht unterstützt: Tritt auf, wenn der Absender DKIM nicht konfiguriert hat oder der vom Absender im DNS-Datensatz veröffentlichte DKIM-Schlüssel ungültig ist.
  • Temporärer Fehler: Tritt aufgrund eines temporären Fehlers auf, normalerweise aufgrund von DNS, während der Prüfung. Dieser Fehler kann sich ohne Eingreifen des DNS-Betreibers selbst beheben.
  • Temporärer Fehler: Tritt auf, wenn die veröffentlichten Datensätze der Domäne nicht korrekt interpretiert werden können. Dies weist auf einen Fehler hin, der das Eingreifen des DNS-Betreibers erfordert.

Für jeden Fehlertyp können Sie wie folgt eine Aktion anwenden:

  • Betreffzeile taggen: Sophos Email fügt der Betreffzeile der E-Mail ein Tag als Hinweis hinzu, dass es sich um eine Spoofing-Mail handelt. Dies ist der Standardwert.

  • Quarantäne: E-Mail wird in die Quarantäne verschoben.

    Hinweis

    Wenn Sie In Endbenutzer-Quarantäne aufnehmen auswählen, können Ihre Benutzer Nachrichten prüfen, freigeben oder löschen. Siehe Endbenutzer-Quarantäne.

  • Ablehnen: E-Mail wurde abgelehnt.

    Hinweis

    Raw-Header sind für die abgelehnten Nachrichten nicht verfügbar.

  • Zustellen: Die Nachricht wird an die nächste Stufe gesendet.