Hornetsecurity implementiert ein Update, um die E-Mail-Sicherheit zu verbessern, indem es die Überprüfung des "Header-From"-Wertes in E-Mails gemäß RFC 5322-Standards erzwingt.
Für diese Initiative gibt es mehrere wichtige Gründe:
- Verhinderung von Problemen bei der E-Mail-Zustellung: In der Vergangenheit hat die Nichtüberprüfung der Gültigkeit der Absender-E-Mail-Adresse dazu geführt, dass E-Mails zwar von unserem System akzeptiert, aber letztlich vom endgültigen Empfänger abgelehnt wurden, zumal die meisten Kunden heute Cloud-E-Mail-Anbieter nutzen, die eine strengere Überprüfung durchführen.
- Verbesserter Schutz vor gefälschten E-Mails: Durch die strenge Validierung des "Header-From"-Wertes wollen wir das Risiko von E-Mail-Spoofing deutlich verringern.
- Verbesserte E-Mail-Authentifizierung für DKIM/DMARC-Abgleich: Durch die Durchsetzung der RFC 5322 im "Header-From"-Feld können wir eine bessere Anpassung an die DKIM- und DMARC-Standards gewährleisten und so die Sicherheit und Authentizität der E-Mail-Kommunikation erheblich verbessern.
Die Ursache für fehlerhafte "From"-Kopfzeilen liegt häufig in einer falschen Konfiguration des E-Mail-Servers durch den Absender oder in Fehlern in Skripten oder anderen Anwendungen. Unser neues Protokoll zielt darauf ab, diese Probleme zu beheben und sicherzustellen, dass alle E-Mails, die unser System durchlaufen, vollständig mit den etablierten Standards übereinstimmen, wodurch die allgemeine Sicherheit und Zuverlässigkeit der E-Mail-Kommunikation verbessert wird.
Zeitplan für die Umsetzung
- Stufe 1 (ab 4. März 2024): 1-5% der ungültigen E-Mails werden abgelehnt.
- Stufe 2 (zweite Woche): 30% Ablehnungsquote
- Stufe 3 (Dritte Woche): 60% Ablehnungsquote.
- Letzte Phase (Ende der vierten Woche): 100% Ablehnungsquote.
Bewertung der Auswirkungen
Ausführliche Tests in den letzten sechs Monaten haben gezeigt, dass die Auswirkungen auf die Zustellung legitimer E-Mails minimal sein dürften. E-Mail-Administratoren sollten jedoch auf mögliche Anfragen von Nutzern vorbereitet sein, bei denen E-Mails abgelehnt werden.
Umgang mit Ablehnungen
Wenn eine E-Mail aufgrund eines fehlerhaften "Header-From" zurückgewiesen wird, erhält der Absender eine Bounce-Back-Nachricht mit dem Fehler "510 5.1.7 malformed Header-From according to RFC 5322". Diese Meldung zeigt an, dass die E-Mail nicht den erforderlichen Header-Standards entspricht.
Betroffene E-Mails identifizieren
E-Mail-Administratoren können betroffene E-Mails im Hornetsecurity Control Panel (https://cp.hornetsecurity.com) anhand der folgenden Schritte identifizieren:
- Navigieren Sie zum ELT im Hornetsecurity Control Panel.
- Wählen Sie Ihren Tenant im Feld oben rechts aus.
- Wählen Sie einen Datumsbereich/Zeitraum für Ihre Suche. Ein kürzerer Zeitraum führt zu schnelleren Ergebnissen.
- Klicken Sie in das Textfeld "Suche", wählen Sie den Parameter "Msg ID" und geben Sie "hfromfailed" (genaue Zeichenfolge) ein.
- Drücken Sie ENTER, um die Suche durchzuführen.
Wenn E-Mail-Administratoren E-Mails identifizieren, die von den "Header-From"-Prüfungen im Email Live Tracking (ELT)-System betroffen sind, sind sofortige und angemessene Maßnahmen erforderlich, um zu überprüfen, ob die E-Mail-Anwendung oder die Servereinstellungen korrekt konfiguriert sind, um den RFC 5322-Standards zu entsprechen. Dies trägt dazu bei, die Integrität des E-Mail-Verkehrs aufrechtzuerhalten.
Definieren von Ausnahmen
Bei der Implementierung der neuen "Header-From"-Prüfungen erkennt Hornetsecurity die Notwendigkeit von Flexibilität in bestimmten Fällen an. Daher haben wir die Definition von Ausnahmen für diese Prüfungen vorgesehen.
In diesem Abschnitt erfahren Sie, wie Sie diese Ausnahmen einrichten und wann sie wieder außer Kraft gesetzt werden:
Konfigurieren von Ausnahmen
- Zugriff auf das Control Panel: Melden Sie sich beim Hornetsecurity Control Panel unter https://cp.hornetsecurity.com an.
- Navigieren Sie zum Compliance-Filter.
- Erstellen von Ausnahmeregeln: Innerhalb des Compliance-Filters können Sie Regeln erstellen, die Ausnahmen von den "Header-From"-Prüfungen definieren. Diese sollten auf der Absenderadresse des Envelop basieren.
- Anwenden der Ausnahmen: Einmal definiert, erlauben diese Ausnahmen bestimmten E-Mails, die strengen "Header-From"-Prüfungen zu umgehen.
Zeitplan für die Abschaffung von Ausnahmen bei den neuen Header-From Prüfungen
- Erste Implementierung: Die Möglichkeit, Ausnahmen zu definieren, ist im Rahmen der ersten Einführung der "Header-From"-Prüfungen verfügbar.
- Datum der Abschaffung: Diese Ausnahmeregelungen sollten bis Ende Juni 2024 abgeschafft sein.
Die Ausnahmeregelungen sind als vorübergehende Maßnahme gedacht, um einen reibungslosen Übergang zum neuen Protokoll zu ermöglichen. Es wird erwartet, dass alle E-Mail-Versender bis Juni 2024 genügend Zeit hatten, ihre E-Mail-Systeme an die Standards von RFC 5322 anzupassen. Die Abschaffung der Ausnahmen ist ein Schritt zur Gewährleistung der vollständigen Konformität und zur Maximierung der Sicherheitsvorteile der "Header-From"-Prüfungen.
Zusammenfassung
Die Verbesserung unserer RFC-Konformität ist ein wichtiger Schritt zur Sicherung der E-Mail-Kommunikation. Durch die Einhaltung dieser Standards werden die mit E-Mails verbundenen Risiken insgesamt verringert. Für weitere Unterstützung oder Klärung wenden Sie sich bitte an unser Support-Team unter support@hornetsecurity.com.
Ungültige "Header From" Beispiele:
Header From | Grund |
From: <> | Leere Adressen sind problematisch, da sie in Szenarien, die eine gültige E-Mail-Adresse erfordern, wie z. B. Zulassungs- und Ablehnungslisten, Probleme verursachen. |
From: John Doe john.doe@hornetsecurity.com | Nicht konform mit den RFC-Standards. Die E-Mail-Adresse muss in spitze Klammern (< und >) eingeschlossen werden, wenn sie von einem Anzeigenamen begleitet wird. |
From: "John Doe" <john.doe@hornetsecurity.com> (Peter's cousin) | Obwohl sie technisch gesehen RFC-konform sind, werden solche Formate von M365 oft abgelehnt, es sei denn, es wurden explizite Ausnahmen konfiguriert. Wir akzeptieren bestimmte E-Mail-Adressen mit Kommentaren. |
From: John, Doe <john.doe@hornetsecurity.com> | Nicht konform mit RFC-Standards. Ein Anzeigename, der ein Komma enthält, muss in doppelte Anführungszeichen gesetzt werden. |
From: "John Doe <john.doe@hornetsecurity.com>" | Nicht konform mit RFC-Standards. Der gesamte " From"-Wert ist fälschlicherweise in doppelte Anführungszeichen eingeschlossen, was nicht zulässig ist. |
From: "John Doe <john.doe@hornetsecurity.com>" john.doe@hornetsecurity.com | Nicht konform mit RFC-Standards. Der Anzeigename ist vorhanden, aber die E-Mail-Adresse ist nicht korrekt in spitzen Klammern eingeschlossen. |
From: "John Doe"<john.doe@hornetsecurity.com> | Nicht konform mit den RFC-Standards, da zwischen dem Anzeigenamen und der E-Mail-Adresse kein Leerzeichen vorhanden ist. |
From: "Nested Brackets" <<info@hornetsecurity.com> | Verschachtelte spitze Klammern sind im "addr-spec"-Teil der E-Mail-Adresse nicht zulässig. |
From: Peter Martin <e14011> | Nicht konform mit RFC-Standards. Der Domänenteil der E-Mail Adresse ("addr-spec") fehlt. |
From: "News" <news.@hornetsecurity.com> | Nicht konform mit RFC-Standards. Der lokale Teil der E-Mail Adresse darf nicht mit einem Punkt enden. |
Missing “From” header altogether | Ein "From"-Header ist in E-Mails erforderlich. Das Fehlen dieser Kopfzeile ist ein klarer Verstoß gegen die RFC-Standards. |
Gültige "Header From" Beispiele:
Header From | Grund |
From: john.doe@hornetsecurity.com |
RFC-konform |
From: <john.doe@hornetsecurity.com> | RFC-konform |
From: "Doe, John" <john.doe@hornetsecurity.com> | RFC-konform |
From: "John Doe" <john.doe@hornetsecurity.com> | RFC-konform |
From: < john.doe@hornetsecurity.com > |
RFC-konform, aber wegen der Leerzeichen zwischen der E-Mail-Adresse und den spitzen Klammern nicht empfohlen |
From: John Doe <john.doe@hornetsecurity.com> | Akzeptabel, allerdings wird empfohlen, den Anzeigenamen in doppelte Anführungszeichen zu setzen, wenn er Leerzeichen enthält. |