Infos zu MX, TXT, CNAME, A, DKIM, …
Beim Anbinden einer Domain, beim Verwalten von E-Maildiensten und bei der Migration von deinem Mail-Provider zu Microsoft 365 (Exchange-Online) kommen häufig Abkürzungen vor, die ich kurz erklären möchte.
Bitte bedenke, dass Du bei der Anbindung deiner Domain und bei der Umleitung deiner Mails (MX-Eintrag) exakte Werte von MS 365 für die Eintragung im DNS-Bereich deines Mail-Providers erhältst. Nicht alle der folgenden Begriffe müssen dabei angepasst werden, sie sind nur der Vollständigkeit halber mit aufgelistet.
TXT
Der Begriff „TXT“ steht für „Text“ und bezieht sich auf DNS-Einträge, die verwendet werden, um verschiedene Arten von Informationen über eine Domain zu speichern. Im Microsoft 365 Admin Center sind TXT-Einträge besonders wichtig für die Verifizierung der Domain und die Implementierung von Sicherheitsmaßnahmen wie SPF (Sender Policy Framework).
TXT-Einträge im DNS (Domain Name System) ermöglichen es, beliebigen Text mit einer Domain zu verknüpfen. Diese Einträge werden häufig verwendet, um die Inhaberschaft einer Domain zu verifizieren oder um sicherzustellen, dass E-Mails, die von deiner Domain gesendet werden, nicht als Spam markiert werden.
Um Microsoft 365-Dienste zu nutzen, musst du einen TXT-Eintrag in den DNS-Einstellungen deiner Domain hinzufügen. Dieser Eintrag wird vom Microsoft 365 Admin Center erkannt und bestätigt, dass du die Kontrolle über die Domain hast. Ein typischer TXT-Eintrag für die Verifizierung könnte so aussehen:
- TXT-Name: @
- TXT-Wert:
v=spf1 include:spf.protection.outlook.com -all - TTL (Time to Live): 1 Stunde.
Die Vorteile der Verwendung von TXT-Einträgen in Microsoft 365 sind folgende:
- Domain-Verifizierung: Durch das Hinzufügen eines TXT-Eintrags kannst du nachweisen, dass du die Kontrolle über die Domain hast. Dies ist ein wichtiger Schritt, um Microsoft 365-Dienste zu aktivieren.
- E-Mail-Sicherheit: TXT-Einträge werden auch verwendet, um SPF-Datensätze zu konfigurieren, die helfen, E-Mail-Spoofing zu verhindern und sicherzustellen, dass E-Mails von deiner Domain nicht als Spam markiert werden.
MX
Der Begriff „MX“ steht für „Mail Exchange“ und bezieht sich auf DNS-Einträge, die den E-Mail-Verkehr für eine Domain steuern. Im Microsoft 365 Admin Center sind MX-Einträge entscheidend, um sicherzustellen, dass E-Mails korrekt an die Microsoft 365-Postfächer zugestellt werden.
MX-Einträge im DNS (Domain Name System) geben an, welche Mailserver für den Empfang von E-Mails für eine bestimmte Domain verantwortlich sind. Wenn jemand eine E-Mail an eine Adresse in deiner Domain sendet, verwendet das Internet diese MX-Einträge, um zu bestimmen, wohin die E-Mail zugestellt werden soll.
Um E-Mails über Microsoft 365 zu empfangen, musst du die MX-Einträge deiner Domain so konfigurieren, dass sie auf die Microsoft 365-Mailserver verweisen. Dies bedeutet, dass alle eingehenden E-Mails an die Microsoft 365-Postfächer weitergeleitet werden.
Die Vorteile der Verwendung von MX-Einträgen in Microsoft 365 sind vielfältig:
- Automatische Mailabwicklung: Neue Benutzer können sofort E-Mails senden und empfangen, sobald sie in Microsoft 365 eingerichtet sind.
- Mail-Archivierung und Datensicherung: Microsoft 365 bietet automatische Updates und Datensicherungen, was die Verwaltung und Sicherheit deiner E-Mails verbessert.
- Integration mit anderen Microsoft-Diensten: Durch die Verwendung von Microsoft 365 für deine E-Mails kannst du nahtlos auf andere Dienste wie OneDrive, SharePoint und Teams zugreifen.
Ein Beispiel für einen MX-Eintrag könnte so aussehen:
- Hostname: @
- Verweis auf:
kundentenant-de.mail.protection.outlook.com - Priorität: 0
- TTL (Time to Live): 1 Stunde
CNAME
Ein CNAME-Eintrag (Canonical Name Record) ist ein Typ von DNS-Eintrag, der einen Aliasnamen für einen anderen Domänennamen erstellt. Das bedeutet, dass der CNAME-Eintrag eine Domäne auf eine andere verweist. Dies ist besonders nützlich, wenn du mehrere Dienste unter verschiedenen Subdomänen betreibst, die alle auf denselben Server oder dieselbe IP-Adresse verweisen sollen.
Verwendung von CNAME-Einträgen im Microsoft 365 Admin Center
- Verbindung von Diensten:
- CNAME-Einträge werden häufig verwendet, um Dienste wie E-Mail, Skype for Business oder Microsoft Teams mit deiner Domäne zu verbinden. Zum Beispiel könnte ein CNAME-Eintrag
mail.yourdomain.comaufmail.protection.outlook.comverweisen.
- CNAME-Einträge werden häufig verwendet, um Dienste wie E-Mail, Skype for Business oder Microsoft Teams mit deiner Domäne zu verbinden. Zum Beispiel könnte ein CNAME-Eintrag
- Beispiel für einen CNAME-Eintrag:
- Name:
mail(oder eine andere Subdomäne) - Wert:
mail.protection.outlook.com(der Ziel-Domänenname) - TTL: 3600 (oder der Standardwert deines Anbieters)
- Name:
- Weitere Verwendungen von CNAME-Einträgen:
- Verwaltung von Subdomänen: Du kannst CNAME-Einträge verwenden, um verschiedene Subdomänen auf spezifische Dienste oder Server zu verweisen, ohne die IP-Adressen manuell verwalten zu müssen.
- Flexibilität bei der Verwaltung: Wenn sich die IP-Adresse des Zielservers ändert, musst du nur den CNAME-Eintrag aktualisieren, anstatt alle A-Einträge (Address Records) zu ändern.
CNAME-Einträge sind also ein praktisches Werkzeug, um die Verwaltung deiner DNS-Einstellungen zu vereinfachen und sicherzustellen, dass deine Dienste reibungslos funktionieren.
(CNAME) autodiscover
Der Begriff „autodiscover“ bezieht sich auf einen Dienst, der in Microsoft 365 verwendet wird, um die Konfiguration von E-Mail-Clients zu vereinfachen. Der Autodiscover-Dienst ermöglicht es E-Mail-Clients wie Outlook, automatisch die richtigen Einstellungen für die Verbindung mit dem E-Mail-Server zu finden, ohne dass der Benutzer diese manuell eingeben muss.
Autodiscover ist ein DNS-basierter Dienst, der speziell dafür entwickelt wurde, die Einrichtung von E-Mail-Konten zu vereinfachen. Wenn ein Benutzer ein neues E-Mail-Konto in einem E-Mail-Client wie Outlook hinzufügt, sendet der Client eine Anfrage an den Autodiscover-Dienst der Domain. Der Autodiscover-Dienst antwortet mit den notwendigen Konfigurationsinformationen, wie z.B. den Servernamen, den Port und die Verschlüsselungseinstellungen.
Um Autodiscover in Microsoft 365 zu nutzen, musst du einen entsprechenden DNS-Eintrag für deine Domain erstellen. Ein typischer Autodiscover-Eintrag könnte so aussehen:
- Hostname: autodiscover
- Verweist auf:
autodiscover.outlook.com - TTL (Time to Live): 1 Stunde.
Die Vorteile der Verwendung von Autodiscover in Microsoft 365 sind vielfältig:
- Einfache Einrichtung: Benutzer müssen nur ihre E-Mail-Adresse und ihr Passwort eingeben, und der Rest der Konfiguration erfolgt automatisch.
- Konsistente Konfiguration: Alle Benutzer erhalten die gleichen Konfigurationseinstellungen, was die Verwaltung und Fehlerbehebung erleichtert.
- Unterstützung für mehrere Dienste: Autodiscover kann nicht nur für E-Mail, sondern auch für andere Dienste wie Kalender und Kontakte verwendet werden.
(CNAME) IMAP
Der Begriff „IMAP“ steht für „Internet Message Access Protocol“ und ist ein Protokoll, das verwendet wird, um E-Mails von einem Mailserver abzurufen. Im Microsoft 365 Admin Center ist IMAP besonders wichtig, um sicherzustellen, dass Benutzer ihre E-Mails von verschiedenen Geräten und Standorten aus zugreifen können, ohne dass die E-Mails lokal gespeichert werden müssen.
IMAP ermöglicht es Benutzern, ihre E-Mails direkt auf dem Mailserver zu verwalten. Das bedeutet, dass E-Mails auf dem Server verbleiben und nicht auf das lokale Gerät heruntergeladen werden müssen. Dies ist besonders nützlich, wenn du von mehreren Geräten aus auf deine E-Mails zugreifen möchtest, da alle Änderungen (wie das Lesen, Löschen oder Verschieben von E-Mails) auf allen Geräten synchronisiert werden.
Um IMAP in Microsoft 365 zu nutzen, musst du sicherstellen, dass die entsprechenden DNS-Einträge korrekt konfiguriert sind. Ein typischer IMAP-Eintrag könnte so aussehen:
- Hostname: imap.deinedomain.com
- Verweist auf:
outlook.office365.com - Port: 993 (für SSL/TLS)
- TTL (Time to Live): 1 Stunde
Die Vorteile der Verwendung von IMAP in Microsoft 365 sind vielfältig:
- Synchronisierung: Alle E-Mails und Ordner werden auf dem Server gespeichert und sind somit auf allen Geräten synchronisiert.
- Flexibilität: Du kannst von verschiedenen Geräten und Standorten aus auf deine E-Mails zugreifen, ohne dass du dir Sorgen machen musst, dass E-Mails verloren gehen.
- Effizienz: Da die E-Mails auf dem Server verbleiben, wird der Speicherplatz auf deinen lokalen Geräten geschont.
(CNAME) SMTP
Der Begriff „SMTP“ steht für „Simple Mail Transfer Protocol“ und ist ein Protokoll, das verwendet wird, um E-Mails zwischen Mailservern zu senden. Im Microsoft 365 Admin Center ist SMTP besonders wichtig, um sicherzustellen, dass E-Mails korrekt zugestellt werden und dass deine E-Mail-Domäne ordnungsgemäß konfiguriert ist.
SMTP ist das Standardprotokoll für den Versand von E-Mails im Internet. Es wird verwendet, um E-Mails von einem Absender-Mailserver zu einem Empfänger-Mailserver zu übertragen. Wenn du eine E-Mail sendest, verwendet dein E-Mail-Client SMTP, um die Nachricht an den Mailserver zu übermitteln, der sie dann an den Zielserver weiterleitet.
Um SMTP in Microsoft 365 zu nutzen, musst du sicherstellen, dass die entsprechenden DNS-Einträge korrekt konfiguriert sind. Ein typischer SMTP-Eintrag könnte so aussehen:
- Hostname: smtp.deinedomain.com
- Verweist auf:
smtp.office365.com - Port: 587 (für TLS/STARTTLS) oder 25 (für unverschlüsselte Verbindungen)
- TTL (Time to Live): 1 Stunde
Die Vorteile der Verwendung von SMTP in Microsoft 365 sind vielfältig:
- Zuverlässige Zustellung: SMTP stellt sicher, dass E-Mails zuverlässig von deinem Mailserver an den Empfänger-Mailserver zugestellt werden.
- Sicherheit: Durch die Verwendung von TLS/STARTTLS kannst du sicherstellen, dass die E-Mail-Kommunikation verschlüsselt und vor Abhörversuchen geschützt ist.
- Kompatibilität: SMTP ist ein weit verbreitetes und standardisiertes Protokoll, das von den meisten E-Mail-Clients und -Servern unterstützt wird.
A
Der Begriff „A“ steht für „Address“ und bezieht sich auf DNS-Einträge, die verwendet werden, um eine Domain oder einen Hostnamen mit einer IPv4-Adresse zu verknüpfen. Im Microsoft 365 Admin Center sind A-Einträge besonders wichtig, um sicherzustellen, dass deine Domain korrekt auf die entsprechenden IP-Adressen verweist.
A-Einträge im DNS (Domain Name System) sind dafür verantwortlich, eine Domain oder einen Hostnamen mit einer spezifischen IPv4-Adresse zu verknüpfen. Wenn jemand versucht, auf deine Domain zuzugreifen, verwendet das Internet diese A-Einträge, um die richtige IP-Adresse zu finden und die Verbindung herzustellen.
Um A-Einträge im Microsoft 365 Admin Center zu konfigurieren, musst du die DNS-Einstellungen deiner Domain anpassen. Ein typischer A-Eintrag könnte so aussehen:
- Hostname: @
- Verweist auf:
192.0.2.1 - TTL (Time to Live): 1 Stunde
Die Vorteile der Verwendung von A-Einträgen in Microsoft 365 sind vielfältig:
- Direkte Zuordnung: A-Einträge ermöglichen eine direkte Zuordnung von Domainnamen zu IP-Adressen, was die Navigation und den Zugriff auf deine Dienste erleichtert.
- Einfache Verwaltung: Du kannst mehrere A-Einträge für verschiedene Subdomains erstellen, um verschiedene Dienste auf unterschiedlichen IP-Adressen zu hosten.
- Flexibilität: A-Einträge bieten die Flexibilität, die IP-Adressen deiner Dienste bei Bedarf zu ändern, ohne die Domainnamen zu ändern.
SRV
SRV-Einträge im DNS (Domain Name System) ermöglichen es, Informationen über bestimmte Dienste bereitzustellen, die unter einer Domain verfügbar sind. Diese Einträge geben an, welcher Server für einen bestimmten Dienst zuständig ist und auf welchem Port dieser Dienst erreichbar ist. Ein typischer SRV-Eintrag enthält die folgenden Informationen:
- Dienst: Der Name des Dienstes, z.B.
_sipfür SIP-Dienste. - Protokoll: Das verwendete Protokoll, z.B.
_tcpfür TCP. - Priorität: Eine Zahl, die die Priorität des Servers angibt. Niedrigere Zahlen haben höhere Priorität.
- Gewicht: Eine Zahl, die verwendet wird, um die Lastverteilung zwischen mehreren Servern zu steuern.
- Port: Der Port, auf dem der Dienst verfügbar ist.
- Ziel: Der Hostname des Servers, der den Dienst bereitstellt.
Um SRV-Einträge im Microsoft 365 Admin Center zu konfigurieren, musst du die DNS-Einstellungen deiner Domain anpassen. Ein typischer SRV-Eintrag für Microsoft Teams könnte so aussehen:
- Dienst:
_sip - Protokoll:
_tls - Priorität:
100 - Gewicht:
1 - Port:
443 - Ziel:
sipdir.online.lync.com - TTL (Time to Live): 1 Stunde
Die Vorteile der Verwendung von SRV-Einträgen in Microsoft 365 sind vielfältig:
- Automatische Dienstlokalisierung: SRV-Einträge ermöglichen es Clients, automatisch den richtigen Server für einen bestimmten Dienst zu finden.
- Flexibilität: Du kannst mehrere SRV-Einträge für verschiedene Dienste und Server erstellen, um eine nahtlose Dienstbereitstellung zu gewährleisten.
- Lastverteilung: Durch die Verwendung von Priorität und Gewicht kannst du die Lastverteilung zwischen mehreren Servern steuern.
DKIM
Der Begriff „DKIM“ steht für „DomainKeys Identified Mail“ und ist eine E-Mail-Authentifizierungsmethode, die verwendet wird, um sicherzustellen, dass E-Mails nicht während der Übertragung manipuliert wurden. Im Microsoft 365 Admin Center sind DKIM-Einträge besonders wichtig, um die Integrität und Authentizität deiner E-Mails zu gewährleisten.
DKIM verwendet kryptografische Schlüssel, um E-Mails zu signieren. Diese Signaturen werden dann im DNS (Domain Name System) deiner Domain veröffentlicht. Wenn eine E-Mail empfangen wird, kann der empfangende Mailserver die Signatur überprüfen, indem er den öffentlichen Schlüssel im DNS abruft. Dadurch wird sichergestellt, dass die E-Mail tatsächlich von der angegebenen Domain stammt und nicht verändert wurde.
Um DKIM in Microsoft 365 zu konfigurieren, musst du die folgenden Schritte ausführen:
- Erstellen der DKIM-Schlüssel: Microsoft 365 generiert zwei DKIM-Schlüsselpaare (einen privaten und einen öffentlichen Schlüssel) für deine Domain1.
- Veröffentlichen der DKIM-Schlüssel im DNS: Du musst die öffentlichen Schlüssel als CNAME-Einträge in den DNS-Einstellungen deiner Domain hinzufügen. Ein typischer CNAME-Eintrag für DKIM könnte so aussehen:
- Hostname: selector1._domainkey
- Verweis auf:
selector1-deinedomain-com._domainkey.deinedomain.onmicrosoft.com - TTL (Time to Live): 1 Stunde.
- Aktivieren von DKIM: Nachdem die DKIM-Schlüssel im DNS veröffentlicht wurden, kannst du DKIM im Microsoft 365 Admin Center aktivieren. Dies stellt sicher, dass alle ausgehenden E-Mails von deiner Domain mit DKIM signiert werden.
Hier sind einige Vorteile der Verwendung von DKIM in Microsoft 365:
- Schutz vor E-Mail-Manipulation: DKIM stellt sicher, dass E-Mails während der Übertragung nicht verändert werden.
- Verbesserte E-Mail-Zustellbarkeit: E-Mails, die mit DKIM signiert sind, haben eine höhere Wahrscheinlichkeit, nicht als Spam markiert zu werden.
- Vertrauenswürdigkeit: DKIM erhöht das Vertrauen der Empfänger in die Authentizität deiner E-Mails.
DMARC
Der Begriff „DMARC“ steht für „Domain-based Message Authentication, Reporting & Conformance“ und ist ein E-Mail-Authentifizierungsprotokoll, das entwickelt wurde, um E-Mail-Spoofing zu verhindern. DMARC baut auf den bestehenden SPF- (Sender Policy Framework) und DKIM- (DomainKeys Identified Mail) Protokollen auf und ermöglicht es Domaininhabern, Richtlinien festzulegen, wie empfangende Mailserver mit E-Mails umgehen sollen, die die SPF- oder DKIM-Prüfungen nicht bestehen.
DMARC hilft dabei, die Authentizität von E-Mails zu überprüfen und sicherzustellen, dass sie tatsächlich von der angegebenen Domain stammen. Es bietet auch eine Möglichkeit, Berichte über E-Mails zu erhalten, die die Authentifizierungsprüfungen nicht bestehen. Um DMARC in Microsoft 365 zu konfigurieren, musst du die folgenden Schritte ausführen:
- Erstellen eines DMARC-Eintrags im DNS: Du musst einen DMARC-Eintrag in den DNS-Einstellungen deiner Domain hinzufügen. Ein typischer DMARC-Eintrag könnte so aussehen:
- Hostname:
_dmarc.deinedomain.com - TXT-Wert:
v=DMARC1; p=none; rua=mailto:dmarc-reports@deinedomain.com - TTL (Time to Live): 1 Stunde1.
- Hostname:
- Festlegen der DMARC-Richtlinie: Die DMARC-Richtlinie (im obigen Beispiel
p=none) gibt an, wie empfangende Mailserver mit E-Mails umgehen sollen, die die Authentifizierungsprüfungen nicht bestehen. Es gibt drei mögliche Richtlinien:none: Keine Maßnahmen ergreifen, nur Berichte sammeln.quarantine: E-Mails, die die Prüfungen nicht bestehen, in den Spam-Ordner verschieben.reject: E-Mails, die die Prüfungen nicht bestehen, vollständig ablehnen.
- Überwachung und Anpassung: Nachdem du den DMARC-Eintrag erstellt hast, solltest du die Berichte überwachen, die an die im Eintrag angegebene E-Mail-Adresse gesendet werden. Diese Berichte helfen dir zu verstehen, wie viele E-Mails die Authentifizierungsprüfungen bestehen und ob Anpassungen an den SPF- oder DKIM-Einstellungen erforderlich sind.
Vorteile der Verwendung von DMARC in Microsoft 365:
- Schutz vor E-Mail-Spoofing: DMARC hilft, E-Mail-Spoofing zu verhindern und die Authentizität deiner E-Mails sicherzustellen.
- Verbesserte E-Mail-Zustellbarkeit: E-Mails, die die DMARC-Prüfungen bestehen, haben eine höhere Wahrscheinlichkeit, nicht als Spam markiert zu werden.
- Transparenz und Berichterstattung: DMARC bietet detaillierte Berichte über die Authentifizierungsergebnisse deiner E-Mails, was dir hilft, die Sicherheit deiner E-Mail-Domains zu überwachen und zu verbessern.
Analyse von DMARC-Berichten:
- Berichte sammeln: DMARC-Berichte werden an die E-Mail-Adresse gesendet, die du im DMARC-Eintrag angegeben hast (z.B.
rua=mailto:dmarc-reports@deinedomain.com). Stelle sicher, dass du Zugriff auf dieses Postfach hast und die Berichte regelmäßig sammelst. - Berichte entschlüsseln: DMARC-Berichte sind in XML-Format, was das Lesen und Verstehen erschweren kann. Es gibt jedoch Tools und Dienste, die dir helfen können, diese Berichte zu entschlüsseln und in ein lesbares Format zu konvertieren. Einige beliebte Tools sind:
- DMARC Analyzer
- Dmarcian
- Postmark
- Berichte analysieren: Nachdem du die Berichte in ein lesbares Format konvertiert hast, kannst du die folgenden Informationen analysieren:
- Quellen-IP-Adressen: Überprüfe die IP-Adressen, von denen E-Mails gesendet wurden. Stelle sicher, dass sie zu deinen autorisierten Mailservern gehören.
- SPF- und DKIM-Ergebnisse: Überprüfe, ob die E-Mails die SPF- und DKIM-Prüfungen bestanden haben. Wenn nicht, identifiziere die Gründe und behebe die Probleme.
- Spoofing-Versuche: Achte auf E-Mails, die von nicht autorisierten IP-Adressen gesendet wurden. Diese könnten Versuche sein, deine Domain zu spoofen.
Spoofing
„Spoofing“ bezieht sich auf eine Technik, bei der eine böswillige Entität die Identität einer vertrauenswürdigen Quelle vortäuscht, um unbefugten Zugriff auf Systeme oder Daten zu erlangen. Im Zusammenhang mit den DNS-Einstellungen im Microsoft 365 Admin Center ist Spoofing besonders relevant, wenn es um den Schutz von E-Mails geht.
Spoofing tritt häufig im E-Mail-Verkehr auf, wenn ein Angreifer eine E-Mail sendet, die so aussieht, als käme sie von einer vertrauenswürdigen Quelle, wie z.B. deiner eigenen Domain. Dies kann dazu führen, dass Empfänger auf schädliche Links klicken oder vertrauliche Informationen preisgeben. Um dies zu verhindern, gibt es mehrere Sicherheitsmaßnahmen, die du im Microsoft 365 Admin Center implementieren kannst:
- Sender Policy Framework (SPF): SPF ist ein DNS-basiertes System, das hilft, E-Mail-Spoofing zu verhindern, indem es festlegt, welche IP-Adressen berechtigt sind, E-Mails im Namen deiner Domain zu senden. Ein SPF-Eintrag im DNS könnte so aussehen:
v=spf1 include:spf.protection.outlook.com -all. - DomainKeys Identified Mail (DKIM): DKIM fügt eine digitale Signatur zu den Kopfzeilen deiner E-Mails hinzu, die vom empfangenden Mailserver überprüft werden kann. Dies stellt sicher, dass die E-Mail während der Übertragung nicht manipuliert wurde.
- Domain-based Message Authentication, Reporting & Conformance (DMARC): DMARC baut auf SPF und DKIM auf und ermöglicht es dir, Richtlinien festzulegen, wie empfangende Mailserver mit E-Mails umgehen sollen, die die SPF- oder DKIM-Prüfungen nicht bestehen. Ein DMARC-Eintrag im DNS könnte so aussehen:
v=DMARC1; p=none; rua=mailto:dmarc-reports@deinedomain.com.
Durch die Implementierung dieser Maßnahmen kannst du das Risiko von E-Mail-Spoofing erheblich reduzieren und die Sicherheit deiner E-Mail-Kommunikation verbessern.
Stand: 30.10.2024