Hornetsecurity implementierte ein Update, um die E-Mail-Sicherheit zu verbessern, indem es die Überprüfung des "Header-From"-Wertes in E-Mails gemäß RFC 5322-Standards erzwingt.
Für diese Initiative gibt es mehrere wichtige Gründe:
- Verhinderung von Problemen bei der E-Mail-Zustellung: In der Vergangenheit hat die Nichtüberprüfung der Gültigkeit der Absender-E-Mail-Adresse dazu geführt, dass E-Mails zwar von unserem System akzeptiert, aber letztlich vom endgültigen Empfänger abgelehnt wurden, zumal die meisten Kunden heute Cloud-E-Mail-Anbieter nutzen, die eine strengere Überprüfung durchführen.
- Verbesserter Schutz vor gefälschten E-Mails: Durch die strenge Validierung des "Header-From"-Wertes wollen wir das Risiko von E-Mail-Spoofing deutlich verringern.
- Verbesserte E-Mail-Authentifizierung für DKIM/DMARC-Abgleich: Durch die Durchsetzung der RFC 5322 im "Header-From"-Feld können wir eine bessere Anpassung an die DKIM- und DMARC-Standards gewährleisten und so die Sicherheit und Authentizität der E-Mail-Kommunikation erheblich verbessern.
Die Ursache für fehlerhafte "From"-Kopfzeilen liegt häufig in einer falschen Konfiguration des E-Mail-Servers durch den Absender oder in Fehlern in Skripten oder anderen Anwendungen. Unser Protokoll zielt darauf ab, diese Probleme zu beheben und sicherzustellen, dass alle E-Mails, die unser System durchlaufen, vollständig mit den etablierten Standards übereinstimmen, wodurch die allgemeine Sicherheit und Zuverlässigkeit der E-Mail-Kommunikation verbessert wird.
Bewertung der Auswirkungen
Ausführliche Tests haben gezeigt, dass die Auswirkungen auf die Zustellung legitimer E-Mails minimal ist.
Umgang mit Ablehnungen
Wenn eine E-Mail aufgrund eines fehlerhaften "Header-From" zurückgewiesen wird, erhält der Absender eine Bounce-Back-Nachricht mit dem Fehler "510 5.1.7 malformed Header-From according to RFC 5322". Diese Meldung zeigt an, dass die E-Mail nicht den erforderlichen Header-Standards entspricht.
Betroffene E-Mails identifizieren
E-Mail-Administratoren können betroffene E-Mails im Hornetsecurity Control Panel (https://cp.hornetsecurity.com) anhand der folgenden Schritte identifizieren:
- Navigieren Sie zum ELT im Hornetsecurity Control Panel.
- Wählen Sie Ihren Tenant im Feld oben rechts aus.
- Wählen Sie einen Zeitraum für Ihre Suche. Ein kürzerer Zeitraum führt zu schnelleren Ergebnissen.
- Klicken Sie in das Textfeld "Suche", wählen Sie den Parameter "Msg ID" und geben Sie "hfromfailed" (genaue Zeichenfolge) ein.
- Drücken Sie ENTER, um die Suche durchzuführen.
Wenn E-Mail-Administratoren E-Mails identifizieren, die von den "Header-From"-Prüfungen im Email Live Tracking (ELT)-System betroffen sind, sind sofortige und angemessene Maßnahmen erforderlich, um zu überprüfen, ob die E-Mail-Anwendung oder die Servereinstellungen korrekt konfiguriert sind, um den RFC 5322-Standards zu entsprechen. Dies trägt dazu bei, die Integrität des E-Mail-Verkehrs aufrechtzuerhalten.
Zusammenfassung
Die Verbesserung unserer RFC-Konformität ist ein wichtiger Schritt zur Sicherung der E-Mail-Kommunikation. Durch die Einhaltung dieser Standards werden die mit E-Mails verbundenen Risiken insgesamt verringert. Für weitere Unterstützung oder Klärung wenden Sie sich bitte an unser Support-Team unter support@hornetsecurity.com.
Ungültige "Header From" Beispiele:
| Header From | Grund |
| From: <> | Leere Adressen sind problematisch, da sie in Szenarien, die eine gültige E-Mail-Adresse erfordern, wie z. B. Zulassungs- und Ablehnungslisten, Probleme verursachen. |
| From: John Doe john.doe@hornetsecurity.com | Nicht konform mit den RFC-Standards. Die E-Mail-Adresse muss in spitze Klammern (< und >) eingeschlossen werden, wenn sie von einem Anzeigenamen begleitet wird. |
| From: "John Doe" <john.doe@hornetsecurity.com> (Peter's cousin) | Obwohl sie technisch gesehen RFC-konform sind, werden solche Formate von M365 oft abgelehnt, es sei denn, es wurden explizite Ausnahmen konfiguriert. Wir akzeptieren bestimmte E-Mail-Adressen mit Kommentaren. |
| From: John, Doe <john.doe@hornetsecurity.com> | Nicht konform mit RFC-Standards. Ein Anzeigename, der ein Komma enthält, muss in doppelte Anführungszeichen gesetzt werden. |
| From: "John Doe <john.doe@hornetsecurity.com>" | Nicht konform mit RFC-Standards. Der gesamte " From"-Wert ist fälschlicherweise in doppelte Anführungszeichen eingeschlossen, was nicht zulässig ist. |
| From: "John Doe <john.doe@hornetsecurity.com>" john.doe@hornetsecurity.com | Nicht konform mit RFC-Standards. Der Anzeigename ist vorhanden, aber die E-Mail-Adresse ist nicht korrekt in spitzen Klammern eingeschlossen. |
| From: "John Doe"<john.doe@hornetsecurity.com> | Nicht konform mit den RFC-Standards, da zwischen dem Anzeigenamen und der E-Mail-Adresse kein Leerzeichen vorhanden ist. |
| From: "Nested Brackets" <<info@hornetsecurity.com> | Verschachtelte spitze Klammern sind im "addr-spec"-Teil der E-Mail-Adresse nicht zulässig. |
| From: Peter Martin <e14011> | Nicht konform mit RFC-Standards. Der Domänenteil der E-Mail Adresse ("addr-spec") fehlt. |
| From: "News" <news.@hornetsecurity.com> | Nicht konform mit RFC-Standards. Der lokale Teil der E-Mail Adresse darf nicht mit einem Punkt enden. |
| Missing “From” header altogether | Ein "From"-Header ist in E-Mails erforderlich. Das Fehlen dieser Kopfzeile ist ein klarer Verstoß gegen die RFC-Standards. |
Gültige "Header From" Beispiele:
| Header From | Grund |
| From: john.doe@hornetsecurity.com |
RFC-konform |
| From: <john.doe@hornetsecurity.com> | RFC-konform |
| From: "Doe, John" <john.doe@hornetsecurity.com> | RFC-konform |
| From: "John Doe" <john.doe@hornetsecurity.com> | RFC-konform |
| From: < john.doe@hornetsecurity.com > |
RFC-konform, aber wegen der Leerzeichen zwischen der E-Mail-Adresse und den spitzen Klammern nicht empfohlen |
| From: John Doe <john.doe@hornetsecurity.com> | Akzeptabel, allerdings wird empfohlen, den Anzeigenamen in doppelte Anführungszeichen zu setzen, wenn er Leerzeichen enthält. |