Microsoft erzwingt DMARC: Neue Zustellregeln für Outlook-Massenmails

Microsoft führt neue technische Vorgaben für den Versand großer E-Mail-Mengen an Outlook-Adressen ein: Ab dem 5. Mai 2025 sind Authentifizierungsverfahren wie SPF, DKIM und DMARC für Absender, die mehr als 5.000 E-Mails pro Tag an Outlook.com-Domains senden (z. B. @outlook.com, @hotmail.com, @live.com), verpflichtend.

Zu den betroffenen Versendern können u. a. Online-Shops, Banken, Versicherungen, Telekommunikationsanbieter, Behörden, Bildungseinrichtungen sowie Ticket-, Monitoring-, Newsletter- und CRM-Systeme gehören.

Ziel der verschärften Anforderungen ist es, die Authentizität von E-Mails besser nachprüfbar zu machen, Phishing-Angriffe zu erschweren und die Zustellbarkeit legitimer Nachrichten zu verbessern. Ohne korrekte SPF-, DKIM- und DMARC-Einträge drohen künftig eingeschränkte Zustellung, Spam-Markierung oder vollständige Ablehnung – und damit ein Verlust an Reichweite und Glaubwürdigkeit.

Anforderungen an SPF, DKIM und DMARC

Microsoft verlangt die konsequente Umsetzung von drei Authentifizierungsverfahren:

1. SPF (Sender Policy Framework)

   SPF legt über einen DNS-Eintrag fest, welche Server autorisiert sind, im Namen einer Domain E-Mails zu versenden. Empfänger können dadurch erkennen, ob eine eingehende Nachricht von einem autorisierten Server stammt. Dies schützt vor gefälschten Absenderadressen (Spoofing).

2. DKIM (DomainKeys Identified Mail)

   DKIM versieht ausgehende E-Mails mit einer kryptografischen Signatur, die über einen öffentlichen Schlüssel im DNS überprüft werden kann. Dadurch lässt sich sicherstellen, dass die Nachricht nicht verändert wurde und wirklich vom angeblichen Absender stammt.

3. DMARC (Domain-based Message Authentication, Reporting and Conformance)

   DMARC kombiniert SPF und DKIM und legt fest, wie E-Mail-Empfänger mit Nachrichten umgehen sollen, die nicht korrekt authentifiziert wurden. Microsoft fordert:

   • Mindestens die Richtlinie p=none – also reines Monitoring.
   • Empfohlen: Alignment auf SPF oder DKIM (idealerweise beide).
   • Ein korrekter DMARC-Eintrag ist Pflicht, sonst werden Nachrichten als verdächtig eingestuft.

Folgen bei Nichtkonformität

E-Mails, die die oben genannten Authentifizierungsstandards nicht erfüllen, werden laut Microsoft nicht mehr wie gewohnt zugestellt:

• Phase 1: Die E-Mails landen im Junk-/Spam-Ordner des Empfängers.
• Phase 2: Bei anhaltender Nichtkonformität erfolgt eine vollständige Ablehnung mit dem Fehlercode „550 5.7.515 Access denied – message rejected due to sender authentication failure“.

Diese Maßnahmen gelten explizit für den Versand an Microsoft-Domains und können für Marketing- und Transaktionsmails gleichermaßen gravierende Folgen haben, wenn keine Anpassung erfolgt.

DMARC richtig konfigurieren

Ein DMARC-Eintrag wird als TXT-Record im DNS der Absenderdomain veröffentlicht. Die wichtigsten Parameter:

1. Richtlinie (p)
   • p=none: Nur Berichte generieren, keine Maßnahmen ergreifen.
   • p=quarantine: Verdächtige Nachrichten im Spam-Ordner ablegen.
   • p=reject: E-Mails, die SPF/DKIM nicht bestehen, werden abgelehnt.
2. Berichtsoptionen (fo)

   Bestimmt, wann forensische (detaillierte) Fehlerberichte gesendet werden:

   • fo=0 (Default): Nur bei gleichzeitigem SPF- und DKIM-Fehler.
   • fo=1: Bei jedem einzelnen Fehler (SPF oder DKIM).
   • fo=d: Nur bei DKIM-Fehlern.
   • fo=s: Nur bei SPF-Fehlern.
3. Report-Adressen
• rua: Für aggregierte DMARC-Berichte (statistische Auswertungen).
• ruf: Für forensische Fehlerberichte (detaillierte Einzelfälle).

Beispiel für einen DMARC-Eintrag:

_dmarc.example.at. IN TXT „v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.at; ruf=mailto:dmarc-reports@example.at; fo=1“

Empfehlungen für Unternehmen

• SPF, DKIM und DMARC prüfen: Nutzen Sie IKARUS mail.security, Online-Tools wie dmarcian.com, mxtoolbox.com oder eigene DNS-Check-Skripte.
• DMARC-Richtlinie stufenweise verschärfen: Starten Sie mit p=none, sammeln Sie Daten, und erhöhen Sie auf quarantine oder reject.
• Transparenz im E-Mail-Versand herstellen: Arbeiten Sie mit IT, Marketing und externen Versanddienstleistern (Mailprovider, CRM-Systeme) zusammen, um eine vollständige Absenderübersicht und korrekte DNS-Konfiguration herzustellen.

Die von Microsoft eingeführten DMARC-Anforderungen sind ein wichtiger Schritt zur Verbesserung der E-Mail-Sicherheit. Sie stärken das Vertrauen in digitale Kommunikation, verhindern den Missbrauch von Absenderadressen und sorgen dafür, dass Nachrichten zuverlässig und sicher beim Empfänger ankommen.

Empfohlene Beiträge:
Business Email Compromise: Risiken, Trends und Abwehrmaßnahmen
Identitätsdiebstahl 2.0: Neue Strategien und Tipps für Unternehmen

Quelle: Microsoft Tech Community – Outlook’s New Requirements for High-Volume Senders