Hinzufügen von DMARC-Einstellungen

Ansichten:

Cloud Email Gateway Protection authentifiziert eingehende E-Mail-Nachrichten der ausgewählten Domain und ermöglicht es Administratoren, Maßnahmen bei Nachrichten zu ergreifen, die die DMARC-Authentifizierung nicht bestehen. Wenn die DMARC-Authentifizierung besteht, werden die Nachrichten normal zugestellt. Wenn die DMARC-Authentifizierung fehlschlägt, werden die Nachrichten gemäß den DMARC-Einstellungen in Quarantäne gestellt, abgelehnt oder zugestellt.

Die DMARC-Einstellungen gelten nur für die ausgewählte Empfängerdomäne.

Hinweis

Cloud Email Gateway Protection bietet eine integrierte Standardregel mit der niedrigsten Priorität, um sicherzustellen, dass Sie ein grundlegendes Schutzniveau erhalten. Die Standardregel kann nicht gelöscht werden.

Sie können nur eine einzige Regel für jedes Verwaltete Domäne erstellen. Die Standardregel wird angewendet, wenn keine anderen Regeln basierend auf dem Verwaltete Domäne übereinstimmen.

Prozedur

Navigieren Sie zu Schutz von eingehenden Daten → Domain-based Authentication → Domain-based Message Authentication, Reporting and Conformance (DMARC).
Klicken Sie auf Hinzufügen.

Das Fenster DMARC-Einstellungen hinzufügen wird angezeigt.
Wählen Sie in der Dropdown-Liste Verwaltete Domäne eine bestimmte Empfängerdomäne aus.
Aktivieren Sie !!DMARC!!.
Wählen Sie optional !!Skip DMARC for email messages with no envelope sender addresses!! aus.
Wählen Sie optional Enable Authenticated Received Chain (ARC) aus.

Cloud Email Gateway Protection wird die E-Mail-Nachrichten, die die DMARC-Authentifizierung nicht bestehen, aber die ARC-Validierung übergehen, erfolgreich authentifizieren und auch einen Satz von ARC-Headern in diese E-Mail-Nachrichten einfügen.

Hier ist ein Beispiel für eine Reihe von ARC-Headern:

ARC-Authentication-Results: i=2; tmes.trendmicro.com; spf=temperror (sender IP address: 10.135.11.245) smtp.mailfrom=example.com; dkim=none (no processed signatures) header.d=none; dmarc=fail action=none header.from=test.com; arc=pass

ARC-Message-Signature: i=2; a=rsa-sha256; d=tmes.trendmicro.com; s=TM-DKIM-20200223173148; t=1628750516; c=relaxed/relaxed; bh=5ffn1pIbUBxx6CFHIVuU2HzEpEvAtzhWZ1Jz7ddgWws=; h=Date:From:To:Subject:Message-ID:Content-Type; b=cAaAR+7GtaByy8iSJiWo7GIf8T28Pjod3W2vWKcQWLH/7YA4n0X51cSBlPwtTygfX otqfftTsCNIO1/Xx5LtdE2KdVYZbVgrFo+WpDgtCXCLLw6sO7OsdsPSSPbcpEq8r6q ERfAqu5TNDLaj2+cR197bBhUFYVDJDe7pbfNaAy2g8GL3gOGrkWQcYw1DrRWXeOSEi 3i59afFHqH3LOY4cmlyWDpZxyDhhn7Rhb3ZNlw9aUuQtMj7iaXkxQaC1M/T6bxLEAE XXV4jczaONiJ/5XmsPlR0gvHr0SpC42isWxElyXr2J1C93HgeAmK1Db4JAOGV2mXMF I3fzA7jbSSLag==

ARC-Seal: i=2; a=rsa-sha256; d=tmes.trendmicro.com; s=TM-DKIM-20200223173148; t=1628750516; cv=pass; b=LKQY/mrwXnJKLJIclybRcGQyWziCvHqIFBAZAYtTlz1aYQ2EiHaXaLbkmokgF8ibC zj5UwsJrIj20lpm0aB+qKDoy4Psme/I3JZNDa5B1OeLHvkcubfUq9bzfSZadkN/dWC N9FfbNSQwiZ0++SOLVwYCcIqh9PkWcfIJa7bo4sP7aUZjJkcXutfcm0q94J9j4fIgz HWxEh58pvjtuMrSKCVCyMIODGoEYa1EbD2EbiTI7iZ54VfPXHjR79b0+21xppZbVEN 0QZGWYuuCoLUrIWDhPzS0kyYyIumPIh4RLe8sMKaBrKECo89XU+BjfNuwZpAPJs/id Q6RbaHHVtp8XA==
Wählen Sie optional Insert an X-Header into email messages aus.

X-Header wird hinzugefügt, um anzuzeigen, ob die DMARC-Authentifizierung erfolgreich ist oder nicht.

Hier sind einige Beispiele für X-Header:

X-TM-Authentication-Results: spf=pass (sender IP address: 10.210.128.20) smtp.mailfrom=example.com; dkim=pass (signatures verified) header.d=example.com; dmarc=pass action=none header.from=example.com; arc=none

X-TM-Authentication-Results: spf=fail (sender IP address: 10.204.148.40) smtp.mailfrom=example.com; dkim=fail (no verified signatures found) header.d=example.com; dmarc=fail action=none header.from=example.com; arc=none

X-TM-Authentication-Results: spf=fail (sender IP address: 10.204.148.40) smtp.mailfrom=example.com; dkim=pass (signatures verified) header.d=example.com; dmarc=pass action=none header.from=example.com; arc=pass

X-TM-Authentication-Results: spf=pass (sender IP address: 10.204.128.20) smtp.mailfrom=example.com; dkim=fail (no verified signatures found) header.d=example.com; dmarc=pass action=none header.from=example.com; arc=pass
Wählen Sie optional Deliver daily reports to senders aus.

Wenn Sie diese Option auswählen, werden täglich aggregierte Berichte über Authentifizierungsfehler erstellt und an die E-Mail-Absender zurückgesendet.

Unter Ausfiltern geben Sie an, wie Cloud Email Gateway Protection reagiert, wenn eine E-Mail die DMARC-Mechanismusprüfung nicht besteht, basierend auf der DMARC-Richtlinie des Domaininhabers.

A DMARC policy tag instructs recipients how to handle email messages that fail DMARC authentication. There are three values for the tag: none, quarantine, and reject. Cloud Email Gateway Protection enables you to decide whether to follow a domain owner’s DMARC policy and configure separate actions for sending domains with and without well-defined DMARC policies.

Nur protokollieren: Der DMARC-Richtlinie des Domaininhabers nicht folgen, aber das Ergebnis protokollieren

Wählen Sie diese Option, wenn Sie eine Weile überwachen möchten, wie gut die Domains, die häufig E-Mails an Ihre Organisation senden, ihre DMARC-Richtlinie definieren.

Cloud Email Gateway Protection führt die Nachrichten nicht ausfiltern-Aktion für jede DMARC-Richtlinie aus. Aktionen sind nicht bearbeitbar. Die !!Tag subject!!- und Benachrichtigung senden-Aktionen sind deaktiviert.
Fully apply: Befolgen Sie die DMARC-Richtlinie des Domaininhabers, um Maßnahmen für alle Domains zu ergreifen

Wählen Sie diese Option, wenn Sie sicher sind, dass die Domains, die häufig E-Mails an Ihre Organisation senden, eine klar definierte DMARC-Richtlinie haben.

Klicken Sie auf Configure actions by DMARC policy und konfigurieren Sie dann Aktion, !!Tag subject!! und Benachrichtigung senden, um anzuwenden, wenn eine E-Mail die DMARC-Mechanismusprüfung nicht besteht.

Partially apply: Befolgen Sie die DMARC-Richtlinie des Domaininhabers, um Maßnahmen für angegebene Domains zu ergreifen

Wählen Sie diese Option, wenn Sie separate Aktionen für Versanddomänen mit und ohne klar definierte DMARC-Richtlinien konfigurieren möchten.

Klicken Sie auf Configure actions by DMARC policy for specified domains mit klar definierten DMRC-Richtlinien.

Konfigurieren Sie Aktion, !!Tag subject!! und Benachrichtigung senden, um anzuwenden, wenn eine E-Mail die DMARC-Mechanismusprüfung nicht besteht.

Wählen Sie unter Domänen die Option Use the header sender to match domains aus.

Hinweis

Die Absenderadresse des Umschlags wird immer zum Abgleichen von Domains verwendet. Wählen Sie diese Option, wenn Sie die Absenderadresse im Nachrichtenkopf ebenfalls zum Abgleichen verwenden möchten.

Geben Sie einen oder mehrere Absender-Domainnamen an und klicken Sie auf + Add.
- Unterstützte Domänennamenformate: example.com, subdomain.example.com, *.example.com
- Domänenname-Format nicht unterstützt: *.com
- Die Absenderdomain muss einen DMARC-Eintrag haben; andernfalls wird die für No DMARC records festgelegte Aktion auf Nachrichten von der Domain angewendet.
Geben Sie ein Schlüsselwort ein und klicken Sie auf Suche, um nach vorhandenen Domains zu suchen.

Um Domains aus einer CSV-Datei zu importieren, klicken Sie auf Importieren.

Die folgenden Importoptionen sind verfügbar:
- Zusammenführen: die Domains zur bestehenden Liste hinzufügen.
- Überschreiben: Ersetzen Sie die bestehende Liste durch die Domains in der Datei.
Um alle Domains in eine CSV-Datei zu exportieren, klicken Sie auf Exportieren.

Klicken Sie auf Configure actions by DMARC policy for other domains und konfigurieren Sie dann Aktion, !!Tag subject!! und Benachrichtigung senden, um anzuwenden, wenn eine E-Mail die DMARC-Mechanismusprüfung nicht besteht.

Unter Tag and Notify konfigurieren Sie das Betreff-Tag und die Benachrichtigungsempfänger, die für die !!Tag subject!! und Benachrichtigung senden Aktionen gelten, die unter Ausfiltern für DMARC-Mechanismusprüfungsfehler festgelegt sind.

!!Tag subject!!

Hinweis

Tags können angepasst werden. Beachten Sie beim Auswählen der Aktion !!Tag subject!! Folgendes:

Diese Aktion kann die vorhandenen DKIM-Signaturen in E-Mail-Nachrichten zerstören, was zu einem DKIM-Verifizierungsfehler durch den nachgelagerten Mailserver führen kann.
Um zu verhindern, dass Tags digitale Signaturen brechen, wählen Sie Do not tag digitally signed messages.

Benachrichtigung senden

Klicken Sie auf message to people, um die gewünschte Benachrichtigungsvorlage aus einer Liste verfügbarer Benachrichtigungen auszuwählen.

Unter Ignored Peers führen Sie einen der folgenden Schritte aus:

Um ignorierte Peers hinzuzufügen, um die DMARC-Authentifizierung für bestimmte Absenderdomänen zu überspringen, geben Sie einen oder mehrere Absenderdomänennamen, IP-Adressen oder CIDR-Blöcke an und klicken Sie auf Hinzufügen.

Unterstützte Domänennamenformate: example.com, subdomain.example.com, *.example.com
Domänenname-Format nicht unterstützt: *.com

Cloud Email Gateway Protection wird keine DMARC-Authentifizierung für E-Mail-Nachrichten von den spezifischen Domains, IP-Adressen oder CIDR-Blöcken implementieren. Die E-Mail-Nachrichten werden im regulären Zustellungsprozess zum nächsten Schritt übergehen.

Hinweis

Für ignorierte Peers, die mit Domänennamen angegeben sind, verwendet Cloud Email Gateway Protection die Absenderadressen, um die Domänennamen abzugleichen.
Die ignorierte Peer-Liste hat Vorrang vor der teilweise angewendeten Domänenliste. Wenn eine Nachricht mit beiden Listen übereinstimmt, überspringt Cloud Email Gateway Protection die DMARC-Authentifizierung für die Nachricht.
Wenn Sie !!Skip DMARC for email messages with no envelope sender addresses!! unter Allgemeine Einstellungen aktiviert haben, überspringen solche Nachrichten die DMARC-Authentifizierung, selbst wenn ihre Absenderadressen mit der teilweise angewendeten Domänenliste übereinstimmen.

Um Domains zu suchen, zu importieren oder zu exportieren, führen Sie ähnliche Vorgänge wie im vorherigen Schritt beschrieben aus.

Klicken Sie auf Hinzufügen, um das Hinzufügen der DMARC-Einstellungen abzuschließen.

Hinweis

Alle Einstellungen, die Sie hinzugefügt haben, werden erst wirksam, wenn Sie auf Hinzufügen klicken.