Microsoft aktualisiert seine DMARC-Richtlinien sowohl für Outlook.com- als auch für Microsoft 365-Business-Konten.
Für Outlook.com-Benutzer, einschließlich Hotmail-, Live- und MSN-Adressen, berücksichtigt die DMARC-Richtlinie nun die DMARC-Richtlinie des Absenders. Wenn eine E-Mail die DMARC-Validierung nicht besteht und die Richtlinie des Absenders auf p=reject oder p=quarantine eingestellt ist, wird die Nachricht zurückgewiesen. (Dies könnte einen Teil des Spams reduzieren, den die meisten Benutzer von Outlook.com erhalten).
Unternehmen, die Microsoft MX-Einträge verwenden, können selbst entscheiden, wie sie mit E-Mails umgehen, die die DMARC-Validierung nicht bestehen, und je nach der vom Domaininhaber festgelegten Richtlinie unterschiedliche Maßnahmen ergreifen. Die DMARC-Richtlinie des Absenders wird berücksichtigt, d.h. wenn der Absender p=reject oder p=quarantine verwendet, wird die Nachricht zurückgewiesen, da sie sich im Consumer-Bereich befindet. Administratoren können im Abschnitt Anti-Phishing-Richtlinie des Microsoft 365 Defender-Portals verschiedene Aktionen festlegen. Wenn eine Organisation einen Server eines Drittanbieters verwendet, um ihre E-Mails zu filtern, bevor sie an Microsoft 365 gesendet werden, wird die Richtlinie nicht angewendet. (DMARC-Richtlinien müssen auf dem Server des Drittanbieters angewendet werden.)
Nachrichten, die die DMARC-Prüfung nicht bestehen, wenn die Richtlinie auf „reject“ gesetzt ist, werden an den Absender mit einem Nichtzustellbericht (NDR) zurückgeschickt, der angibt, dass die Nachricht die DMARC-Prüfung nicht bestanden hat:
550 5.7.509: Zugriff verweigert, die sendende Domain domain.com hat die DMARC-Prüfung nicht bestanden und die DMARC-Policy auf reject gesetzt.
Diese Änderung wird derzeit implementiert und tritt Mitte August in Kraft. Wenn Administratoren die Policy ändern möchten, sollten sie dies vor Mitte August tun.