Leitfaden für E-Mail-Migration und Authentifizierung in Microsoft 365 Business

Die Schritt-für-Schritt-Anleitung von Red Sift für eine sichere, zuverlässige E-Mail-Migration zu Microsoft 365 Business. 

Der Umstieg auf Microsoft 365 (Exchange Online + Defender for Office 365) betrifft Identität, Mailfluss und Authentifizierung, einschließlich Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) und Domain-based Message Authentication, Reporting, and Conformance (DMARC). 

Ein reibungsloser Wechsel schützt die Zustellbarkeit, verhindert Spoofing und vermeidet Geschäftsunterbrechungen. Dieser Leitfaden bietet einen bewährten, sicherheitsorientierten Ansatz mit wiederholbaren Checklisten.

Dieser Leitfaden ist besonders wertvoll für Organisationen, die von Proofpoint zu Microsoft 365 migrieren, denn hier werden E-Mail-Authentifizierung und Konfiguration des Mailflusses während der Umstellung besonders kritisch. Spezifische Anleitungen für Proofpoint finden Sie in unserem dedizierten Abschnitt zur Migration von Proofpoint zu Microsoft 365.

Ziel dieses Leitfadens ist es, Sie auf die Migration von E-Mail-Versanddiensten vorzubereiten und Ihnen zu versichern, dass es keine Unterbrechungen in der E-Mail-Zustellung aufgrund fehlender E-Mail-Authentifizierungs-Konfiguration gibt.

Nicht abgedeckt werden alle anderen Aspekte, die Sie eventuell auch nach Microsoft 365 migrieren, wie z.B. Identitätsdienste, Daten (einschließlich E-Mails, Kalender und Dateien), eingehender Anti-Spam/-Phishing, ausgehender Datenschutz (Data Loss Protection), etc.

Wir empfehlen, Unterstützung von Microsoft und deren Partnern in Anspruch zu nehmen.

1. Ermitteln und entwerfen: Erfassen Sie Domains, Absender, Gateways, Drittanbieter-SaaS und Compliance-Anforderungen.
2. Vorbereiten: Domains verifizieren, Azure AD einrichten, DNS-Grundkonfiguration und Pilotnutzer festlegen.
3. Konfigurieren: Mailfluss, Connectoren, akzeptierte Domains, Anti-Spam/-Phish, Transportregeln.
4. Authentifizieren: SPF veröffentlichen, DKIM aktivieren, DMARC (p=none) einrichten und überwachen.
5. Migration: Datenmigration (IMAP/GWMMO/GWMT), gestuftes/Koexistenz-Routing, Client-Umstellung.
6. Durchsetzen und optimieren: DMARC-Anforderung auf Quarantäne/Ablehnung anheben, Routing finalisieren, Alt-Systeme abschalten.

Erwartetes Ergebnis: Sicherer Mailfluss in Microsoft 365 mit DMARC-Durchsetzung bei minimalem Zustellrisiko.

Der Umstieg von Proofpoint Essentials oder Proofpoint Email Protection zu Microsoft 365 erfordert ein sorgfältiges Umgehen mit den E-Mail-Sicherheitsschichten, die zuvor von Proofpoint gemanagt wurden:

1. Mailfluss-Neukonfiguration: Aktualisieren Sie die MX-Einträge von der Proofpoint-Infrastruktur auf die Mail-Exchange-Server von Microsoft 365, um einen reibungslosen Übergang des eingehenden Filterings zu Defender for Office 365 sicherzustellen.

2. Authentifizierungsabhängigkeiten: Proofpoint übernimmt oft das SPF-Authentifizieren über seine Infrastruktur. Sie müssen Proofpoint-SPF-Includes durch Microsoft 365-Equivalenten ersetzen und dabei Drittanbieter-Absenderautorisierungen beibehalten.

3. DKIM-Signatur-Übergang: Wenn Proofpoint ausgehende Mails mit DKIM signiert hat, richten Sie Exchange Online so ein, dass es die Signaturoption übernimmt - dies umfasst in der Regel das Generieren neuer DKIM-Schlüssel in Microsoft 365 und das Veröffentlichen der dazugehörigen DNS-Einträge.

4. Policymigration: In Proofpoint konfigurierte Transportregeln, Anhangsfilter, Inhaltsrichtlinien und Allow-/Blocklists müssen im Exchange Admin Center und Defender for Office 365 nachgebaut werden.

5. Archivierung und Compliance: Wenn Proofpoint Archive genutzt wird, planen Sie die Datenextraktion und Migration in die native Microsoft 365-Archivierung oder eine Drittanbieterlösung.

6. Koexistenzphase: Während des Parallelbetriebs muss sorgfältig gesteuert werden, welches System das eingehende bzw. ausgehende Filtering übernimmt, um Doppelscans oder Sicherheitslücken zu vermeiden.

Die meisten Migrationen von Proofpoint zu Microsoft 365 profitieren während der gesamten Umstellung von einer DMARC-Überwachung, um Authentifizierungsfehler zu erkennen, bevor diese die Zustellbarkeit beeinträchtigen.

• Microsoft 365-Mandant erstellt und sicher konfiguriert [https://learn.microsoft.com/en-us/microsoft-365/security/?view=o365-worldwide]
• Domains in M365 verifiziert; Eigentum nachgewiesen.
• Bestandsaufnahme aller E-Mail-Quellen: Bulk/Marketing, CRM, Ticket-System, Produkt No-Reply, On-Prem-Apps, Scanner/MFPs, Gateways (Cisco, Proofpoint, etc.) und Drittanbieter-SaaS.
• Aktuelle DNS-Konfiguration exportiert; TTLs gesenkt (z.B. 3600s) für schnellere Umstellung.
• Change-Window und Rollback-Plan abgestimmt; Stakeholder informiert.

Was Sie machen: Einen Bestand aller E-Mail-Versandquellen erfassen und die Ausgangslage der Zustellbarkeit vor, während und nach der Umstellung dokumentieren.

Im Rahmen der Pre-Migration-Checkliste sollten Sie bereits einen Bestand aller E-Mail-Quellen erstellt haben. Dennoch könnten Lücken oder Unterschiede bestehen, die Ihnen nicht bekannt sind.

Mit DMARC-Reporting erhalten Sie Einblick in E-Mails, die im Namen Ihrer Domains gesendet werden, dank Feedback-Berichten von praktisch allen E-Mail-Empfängern. 

Ohne Red Sift OnDMARC

Richten Sie die DMARC-Policy Ihrer Domains ein oder erweitern Sie sie mit einer Aggregat-Reporting-Adresse, die auf die E-Mail-Adresse verweist, an die Sie die maschinenlesbaren XML-Berichte erhalten möchten. 

Beispiel: v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.tld

Überprüfen Sie regelmäßig die maschinenlesbaren XML-Berichte, achten Sie auf berechtigte Absender und nehmen Sie diese in Ihre Bestandsliste auf.

Mit Red Sift OnDMARC

• Richten Sie Ihre DMARC-Policy ein oder erweitern Sie sie so, dass die Aggregat-Reporting-Adresse auf OnDMARC verweist; alternativ können Sie den Dynamic DMARC Service von OnDMARC nutzen, um Ihre DMARC-Records zu hosten und spätere manuelle DNS-Anpassungen zu vermeiden.
• Nutzen Sie die übersichtliche und leistungsfähige Benutzeroberfläche, um die aufbereiteten und optimierten Berichtsdaten auszuwerten.
• Kennzeichnen Sie berechtigte Absender als Assets, um basierend auf Echtdaten eine aktuelle Bestandsliste Ihrer E-Mail-Quellen aufzubauen.

Erfolg sieht so aus: Eine verbesserte, aktuelle Bestandsliste legitimer aktiver E-Mail-Quellen, basierend auf mindestens 4 Wochen Reporting-Daten, ein Ausgangswert für DMARC-Konformität & Zustellungsstatus sowie ein fortlaufender Überblick über Veränderungen im Migrationsprozess 

Was Sie machen: E-Mail-Konfiguration für mehr Agilität und Zuverlässigkeit optimieren.

Um spätere Anpassungen zu beschleunigen und Fehler beim Ändern der DNS-Einträge zu minimieren, können Sie optional Ihre SPF- und DKIM-Konfiguration mit OnDMARCs Dynamic SPF und Dynamic DKIM Services konsolidieren.

So halten Sie Ihre Konfiguration stets nah an Ihrem aktuellen Bestand und den DMARC-Reportings – und damit immer auf dem neuesten Stand.

Erfolg sieht so aus: SPF- und DKIM-Konfiguration an einem zentralen Ort, im Abgleich mit aktuellem Bestandsverzeichnis und realen DMARC-Reporting-Daten. 

Was Sie machen: Exchange Online so einrichten, dass der Versand während der Koexistenz möglich ist.

Wichtige Konfigurationen:

1. Connectors:
2. Outbound: Exchange Online → Internet und/oder → Legacy-Gateway während der Koexistenz.
3. Akzeptierte Domains und Adressierung: Autoritativ vs. Internal Relay; Adressumschreibung falls erforderlich.

• Erweitern Sie den SPF-Eintrag in DNS sorgfältig mit include: spf.protection.outlook.com und achten Sie darauf, 10 DNS-Lookups nicht zu überschreiten 
• Fügen Sie die bereitgestellten DKIM-CNAMEs sorgfältig ins DNS ein
• Senden Sie Testmails an einen neutralen Provider und prüfen Sie die Header manuell für Verifizierung und Fehlersuche

• Fügen Sie include: spf.protection.outlook.com zu Dynamic SPF hinzu, ohne sich Sorgen über zu viele DNS-Lookups oder Fehler zu machen
• Fügen Sie die bereitgestellten DKIM-CNAMEs zu Dynamic DKIM hinzu
• Senden Sie Testmails an das Investigate-Tool, um sie zu validieren oder einfach zu debuggen

Erfolg sieht so aus: Test-Mailloops funktionieren einwandfrei

Was Sie machen: Einrichten und Validieren von Assets, die bisher E-Mails über die alte Infrastruktur versendet haben, damit diese künftig über Microsoft 365 versenden.

Typischer Ablauf: Für jedes Asset, das E-Mails über die bisherige Infrastruktur sendet

1. Bereiten Sie Anmeldedaten vor, damit das Asset über Microsoft 365 senden kann
2. Senden Sie Testmails, validieren und debuggen Sie ggf.
3. Nehmen Sie die Konfiguration dauerhaft vor, sobald sie bereit ist
4. Überwachen Sie DMARC-Reports auf Abweichungen

Zu diesem Zeitpunkt haben Sie

• Einsicht in die E-Mail-Zustellbarkeit durch DMARC-Reporting erhalten
• Einen auf DMARC-Reporting-Daten basierenden Bestand der E-Mail-Quellen aufgebaut
• (optional) Ihre SPF- & DKIM-Konfiguration konsolidiert
• Ausgehende E-Mails von Microsoft 365 eingerichtet und getestet
• Assets, die von der vorherigen Infrastruktur über Microsoft 365 versenden sollten, eingerichtet, getestet und migriert

Sie können mit dem Rest Ihrer Microsoft 365-Migration fortfahren.

Was Sie machen: Ständige Überwachung der Konformität & Zustellbarkeit

Validierungsprüfungen:

• Überwachen Sie E-Mail-Volumen & Konformitätsraten auf Rückschritte
• SPF/DKIM-Übereinstimmung für wichtige Domains und Versandquellen mit hohem Volumen

Aufräumen:

• Schließen Sie alte Routen; dekommissionieren Sie nicht mehr verwendete Connectoren/Gateways.

• Verborgene Absender (Marketing, CRM, Scanner) tauchen zu spät auf → Nützen Sie OnDMARC-Discovery frühzeitig; holen Sie DKIM/SPF-Details vor dem Wechsel bei Anbietern ein.
• SPF-Lookuplimit (>10) → Nützen Sie Includes bedacht; überlegen Sie, SPF zu flatten bzw. via Dynamic DNS zu managen (verfügbar mit Red Sift OnDMARC).
• DKIM nicht übereinstimmend (falsches d=-Domain) → d= an From:-Domain anpassen oder Alignment-Optionen aktivieren, wo verfügbar.
• Weiterleitung bricht SPF → Verlassen Sie sich auf DKIM; bei starken Weiterleitungen ARC/SRS in Betracht ziehen.
• Policy-Lücken nach Entfernung des Legacy-Gateways → Relevante Transportregeln, Allow-/Blocklists, TLS-Anforderungen in Exchange/Defender rekonstruieren.

• One-Click-Authentifizierungs-Anleitung: Klare Schritte zur Aktivierung von SPF/DKIM für Microsoft 365 und Drittanbieter-Plattformen.
• Automatisierte Erkennung: Findet Schatten-IT-Absender, bevor diese die Umstellung behindern.
• SPF-Optimierung: Verwalten Sie Lookuplimits; verhindern Sie instabile Records bei Anbieterwechseln.
• Sichere Policy-Eskalation: Datenbasierter Wechsel von none → quarantine → reject in Wochen statt Monaten.
• Executive Reporting: Zeigen Sie Fortschritt und Risikoreduzierung bei jedem Migrationsschritt den Stakeholdern.
• KI-gestützt: Red Sift Radar findet und behebt Sicherheitslücken zehnmal schneller – ohne Personalaufstockung. Nach dem Setup können Sie Radar zur fortlaufenden Überwachung nutzen.
• Kundenerfolg, mehrfach ausgezeichnet: Unser dediziertes Team aus Engineers und Success Managern begleitet Sie auf jedem Schritt. Bewertet mit 4,9/5 auf G2, Red Sift OnDMARC ist die Nr. 1 in Europa.

Umfassende Anleitungen zu E-Mail-Authentifizierungsprotokollen finden Sie hier:

• Vollständiger DMARC-Implementierungsleitfaden
• Best Practices zur SPF- und DKIM-Konfiguration
• E-Mail-Authentifizierung für Microsoft 365-Umgebungen