Gelöst Aktivierung von ARC-Signaturen zur Vermeidung von SPF-SoftFails

[Rene]

Hallo zusammen,

ich nutze NoSpamProxy 15.4 On-Premise, um eingehende E-Mails an Exchange Online weiterzuleiten. Dabei habe ich das Problem, dass weitergeleitete Mails mit einem SPF-SoftFail bei Exchange Online ankommen.

- E-Mails von externen Absendern werden korrekt von NoSpamProxy empfangen und an Exchange Online weitergeleitet.
- Da der ursprüngliche Absender NoSpamProxy nicht in seinem SPF-Record hat, schlägt die SPF-Prüfung in Exchange Online mit SoftFail fehl.
- DKIM und DMARC bestehen zwar, aber der SPF-SoftFail könnte sich negativ auf die Zustellung und Bewertung der Mails auswirken.

Um das zu lösen, wollte ich ARC-Signaturen in NoSpamProxy aktivieren, damit Exchange Online die ursprüngliche SPF-Prüfung und DKIM-Ergebnisse übernehmen kann.
Ich habe dazu die vertrauenswürdigen ARC-Unterzeichner in NoSpamProxy aktiviert, sehe aber im Header der weitergeleiteten E-Mails keine ARC-Header (ARC-Seal, ARC-Message-Signature, ARC-Authentication-Results).

Ich habe den SCL in Exchange Online nicht per Regel auf -1 gesetzt, weil ich die Spamfilterung in Exchange Online als zusätzliche Sicherheit nutzen möchte.

Meine Fragen:
- Wie kann ich sicherstellen, dass NoSpamProxy ARC-Signaturen setzt, wenn es E-Mails an Exchange Online weiterleitet?
- Gibt es spezielle Einstellungen oder Zertifikate, die für die ARC-Signierung erforderlich sind?
- Muss in Exchange Online noch etwas angepasst werden, damit die ARC-Signaturen akzeptiert und ausgewertet werden?

Wäre super, wenn jemand hier Erfahrung mit dem Thema hat und mir weiterhelfen kann. Danke vorab!

Beste Grüße

 

[JanJäschke]

Guten Morgen Rene,

derzeit kann der NoSpamProxy noch keine ARC Siegel aufbringen.
Dies wird aber Tatsache gegenwärtig implementiert
Wenn du "SCL -1" nicht verwenden möchtest bleibt dir vorerst nur das setzen eines erweiterten Filters im Exchange Online um bei der SPF Prüfung die letzte IP oder bestimmte IPs zu überspringen: https://www.msxfaq.de/cloud/exchangeonline/transport/exo_enhanced_filtering.htm#efskiplastip
Damit prüft der Exchange Online dann gegen die entsprechend original einliefernde IP Adresse, vorausgesetzt ihr habt kein komplexeres Routing.

Da es nicht zum Thema gehört ich es aber dennoch aussprechen möchte noch ein kleiner Nebensatz:
Eine nachgelagerte Spam Filterung mit Abweisung ist meist keine wirklich gute Idee, dadurch können schnell mal E-Mails "verloren" gehen, es wird intransparenter und rechtlich steht ihr nicht mehr auf der sicheren Seite.


LG
Jan

 

[Fabian]

Guten Morgen Rene,

wir verwenden die von Jan aufgezeigte Lösung "Erweiterte Filterung für Connectors" indem wir EOP beibringen das vor ihm auch noch ein Filter steht und dieser Hop zu ignorieren ist (Die IP-Adresse des MX).

Das klappt wunderbar - jedoch darfst du dann auf dem NSP keinen eingehenden Awareness-Disclaimer o.ä. für externe E-Mails anbringen, da du ja somit die E-Mail modifizieren würdest was dann DKIM bricht.

Dies lässt sich aber in EXO auch realisieren.

LG
Fabian

 

[Rene]

Hallo,
vielen dank euch beiden für die Antwort und die Hinweise. Dann mache ich das erstmal so.

@JanJäschke
Ich habe die Filterung in EXO vor ein paar Monaten wieder aktivieren müssen, da immer wieder vereinzelt Phishing Mails durchkamen.
So z.B. auch heute:

--------------------------
From: service@paypal.com
Sent on: Tuesday, February 18, 2025 2:07:49 PM
To: Billing Team <noreply_@usaea.institute>
Subject: You added a new address
Hello, Billing Team
PayPal

You added a new address

This is just a quick confirmation that you added an address in your PayPal account.
Here are the details:
Name: Billing Team

Address Updated:

7535 Dadeland Mall, 𝐀𝐩𝐩𝐥𝐞 𝐒𝐭𝐨𝐫𝐞
Confirmation: Your shipping address for the MacBook M4 Max 1 TB ($1098.94) has been changed. If you did not authorize this update, please reach out to PayPal at +𝟏-𝟖𝟖𝟖-𝟑𝟒𝟑-𝟏𝟏𝟗𝟐.
Miami, FL
United States

If you want to link your credit card to this address, or make it your primary address, log in to your PayPal account and go to your Profile.

Since this address is a gift address, you can send packages to it with just a click.

Please note that you can't link your credit card to a gift address. If you'd like to make this your primary address, log in to your PayPal account and go to your Profile.

If you didn't make this change, let us know right away. It's important to let us know because it helps us make sure no one is getting into your account without your knowledge.
PayPal
Help & Contact | Security | Apps
--------------------------------

In dem Fall war das ARC Siegel wohl nicht hilfreich ;-)

 

[Sören]

In dem Fall war das ARC Siegel wohl nicht hilfreich ;-)

uff

jetzt kann man nicht mal mehr den ARC Siegeln von MS vertrauen?

Warum kommt denn eine Paypal Spam Mail direkt aus dem M365?

 

[JanJäschke]

Kannst du uns bitte einmal den ganzen MSG Track per PN schicken?

 

[Sören]

So z.B. auch heute:

passend dazu schreibt auch Heise heute: https://www.heise.de/news/Paypal-Phishing-Neue-Adresse-Funktion-missbraucht-10292604.html