E-Mail-Sicherheitscheck¶
Hier erfahren Sie, wie Sie mit dem E-Mail-Sicherheitscheck in TCM365 die DNS-basierte E-Mail-Authentifizierung Ihrer Domains prüfen und bewerten lassen.
Was wird geprüft?¶
Der E-Mail-Sicherheitscheck analysiert drei DNS-basierte Sicherheitsmechanismen, die Ihre Organisation vor E-Mail-Spoofing, Phishing und Missbrauch schützen:
SPF (Sender Policy Framework)¶
SPF definiert, welche Mailserver berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden. Ohne korrekten SPF-Eintrag können Angreifer E-Mails faelschen, die von Ihrer Domain zu stammen scheinen.
DKIM (DomainKeys Identified Mail)¶
DKIM signiert ausgehende E-Mails kryptografisch. Der Empfänger kann anhand des öffentlichen Schluessels im DNS prüfen, ob die E-Mail tatsächlich vom angegebenen Absender stammt und nicht veraendert wurde.
DMARC (Domain-based Message Authentication, Reporting and Conformance)¶
DMARC baut auf SPF und DKIM auf und definiert, wie Empfänger mit E-Mails umgehen sollen, die die Prüfung nicht bestehen (z.B. ablehnen, in Quarantaene verschieben oder akzeptieren).
Check durchführen¶
- Navigieren Sie in der Sidebar zu Sicherheit > E-Mail-Sicherheitscheck
- Geben Sie die zu pruefende Domain ein (z.B.
contoso.com) - Klicken Sie auf Prüfen
- TCM365 führt DNS-Abfragen durch und analysiert die Ergebnisse
Hinweis
Der Check führt reine DNS-Abfragen durch. Es werden keine E-Mails versendet und kein Zugriff auf Ihren Mailserver benötigt.
Bewertungssystem (A-F)¶
TCM365 bewertet die E-Mail-Sicherheit Ihrer Domain mit einer gewichteten Gesamtnote:
| Note | Bewertung | Bedeutung |
|---|---|---|
| A | Ausgezeichnet | SPF, DKIM und DMARC sind korrekt konfiguriert. DMARC-Policy ist auf reject oder quarantine gesetzt. |
| B | Gut | Alle drei Mechanismen sind konfiguriert, aber DMARC-Policy ist auf none (nur Reporting). |
| C | Ausreichend | SPF ist konfiguriert, aber DKIM oder DMARC fehlen oder sind unvollständig. |
| D | Mangelhaft | Nur SPF ist vorhanden, DKIM und DMARC fehlen. |
| E | Ungenuegend | SPF ist fehlerhaft oder unvollständig konfiguriert. |
| F | Kritisch | Kein SPF-Eintrag vorhanden. Die Domain ist nicht gegen E-Mail-Spoofing geschützt. |
Ergebnisse im Detail¶
SPF-Ergebnis¶
| Prüfpunkt | Beschreibung |
|---|---|
| SPF-Record vorhanden | Ob ein TXT-Record mit v=spf1 existiert |
| Syntax korrekt | Ob der SPF-Record syntaktisch gültig ist |
| DNS-Lookups | Anzahl der DNS-Lookups (Maximum: 10, darauf achten!) |
| Mechanismen | Auflistung der erlaubten Sender (IP-Bereiche, Include-Einträge) |
| Fallback-Regel | Wie mit nicht-autorisierten Sendern umgegangen wird (-all, ~all, ?all) |
DKIM-Ergebnis¶
| Prüfpunkt | Beschreibung |
|---|---|
| DKIM-Selektoren | Ob bekannte DKIM-Selektoren im DNS gefunden wurden |
| Schluessellaenge | Ob die Schluessellaenge ausreichend ist (mindestens 1024 Bit, empfohlen 2048 Bit) |
| Schluesseltyp | Verwendeter Algorithmus (RSA, Ed25519) |
DMARC-Ergebnis¶
| Prüfpunkt | Beschreibung |
|---|---|
| DMARC-Record vorhanden | Ob ein TXT-Record unter _dmarc.domain.com existiert |
| Policy | Aktuelle DMARC-Policy (none, quarantine, reject) |
| Subdomain-Policy | Policy für Subdomains (sp=) |
| Reporting | Ob DMARC-Reports konfiguriert sind (rua, ruf) |
| Alignment | SPF- und DKIM-Alignment-Modus (relaxed oder strict) |
Empfehlungen umsetzen¶
Für jeden Prüfpunkt, der nicht optimal konfiguriert ist, zeigt TCM365 eine konkrete Empfehlung:
Typische Empfehlungen¶
- SPF-Record hinzufügen: Erstellen Sie einen TXT-Record in Ihrem DNS mit den autorisierten Mailservern
- DKIM aktivieren: Aktivieren Sie DKIM-Signierung in Ihrem Mailsystem (z.B. Exchange Online Admin Center)
- DMARC einrichten: Erstellen Sie einen DMARC-Record, beginnend mit
p=nonefür Monitoring, dann schrittweise aufp=quarantineundp=rejectverschaerfen - SPF-Lookups reduzieren: Konsolidieren Sie Include-Einträge, um unter dem Limit von 10 DNS-Lookups zu bleiben
- DMARC-Reports konfigurieren: Fügen Sie
rua=und optionalruf=hinzu, um Berichte über fehlgeschlagene E-Mails zu erhalten
Tipp
Beginnen Sie bei DMARC immer mit der Policy p=none und aktivieren Sie Reporting. Analysieren Sie die Berichte über einige Wochen, bevor Sie auf p=quarantine oder p=reject verschaerfen. So vermeiden Sie, dass legitime E-Mails blockiert werden.
Achtung
Eine sofortige Umstellung auf p=reject ohne vorherige Analyse kann dazu führen, dass E-Mails von legitimem Drittanbieter-Diensten (Newsletter-Tools, CRM-Systeme, etc.) blockiert werden.
Nächster Schritt¶
- Copilot Readiness -- Bewerten Sie die Bereitschaft für Microsoft Copilot
- Compliance-Baselines -- Umfassende Konfigurationsprüfung