• 18/02/2021
  • 15 minuts de joc
  • ul>
  • m

important

The Microsoft El centre de seguretat 365 ja està disponible en la preparació pública. El centre de seguretat de Microsoft 365 millora ja està disponible a la vista prèvia pública. Aquesta nova experiència va introduir Defender for Termination Point, Defender per a Office 365, Defensor de Microsoft 365 i molt més al Microsoft Security Center 365. Aquesta nova experiència aporta Defender per al punt final, Defensor per a Office 365, Microsoft 365 Defender, i molt més en el Microsoft 365 Centre de seguretat. Descobreix News.Learn Què hi ha de nou. Aquest tema es pot aplicar a Microsoft Defender per a Office 365 i Microsoft 365 Defender.Aquest tema Podria a tots dos Defender de Microsoft per a l’Office 365 i Microsoft 365 Defender. Consulteu la secció que s’aplica a continuació, cerqueu trucades específiques en aquest article on les diferències puguin existerns.Referen les aplicacions a la secció i busqueu trucades específiques en aquest article on hi ha article.

S’aplica a Applie a

  • Exchange en línia Protexchange Protection en línia
  • Microsoft Defender for Office 365 Pla 1 i Plan 2Microsoft Defender for Office 365 Pla 1 i Plan 2
  • Microsoft 365 DefenderMicrosoft 365 Defender

Autenticació de missatges basada en domini, reportatge i conformitat (DMARC) utilitza SPF (Sender Policy Framework) i DKIM (DomainiKeys identificats per autenticar-se enviant missatges de correu electrònic i assegureu-vos que els sistemes de missatgeria de destinació acceptin missatges enviats des del vostre domini com a autenticació de missatges basats en el vostre domini. Reportatge, informes i conformitat (DMARC) amb el marc de política de remitent (SPF) i DomainiKeys MAIL IDENTIFICAT (DK) Im) per autenticar els remitents de correu electrònic i assegurar-se que els sistemes de correu electrònic de destinació els missatges de la confiança se senten del vostre domini. La implementació de DMARC amb SPF i DKIM proporciona una protecció addicional contra l’usurpació i els martells. La implementació de DMARC amb SPF i DKIM provenen de protecció addicional contra el correu electrònic de spoofing i phishing. DMARC Permet que els sistemes de missatgeria de recepció determinin el que necessiten per fer que els missatges enviats del vostre domini que siguin rebutjats pel SPF o DKIM.DMARC ajudi a rebre sistemes de correu. P>

Visiteu el catàleg de l’associació de seguretat intel·ligent de Microsoft (missa) per veure els proveïdors de tercers que ofereixen informes de DMARC per a Microsoft 365 .VIenc el catàleg de Microsoft Intelligent Security Security Association (MISA) per veure el tercer -Party oferint informes de DMARC per a Microsoft 365.

Com treballarà SPF i DMARC junts per protegir els missatges de correu electrònic a Microsoft 365? Com funciona SPF i DMARC junts per protegir el correu electrònic a Microsoft 365 ??

Un missatge de correu electrònic pot contenir múltiples adreces originals (o remitent). El missatge de correu electrònic pot contenir múltiples adreces d’orientació d’or. Aquestes adreces s’utilitzen per a diferents finalitats. Aquestes adreces s’utilitzen per a diferents propòsits. Per exemple, prengui les adreces següents: Per exemple, considereu aquestes adreces:

  • Adreça “Correu des de”: indica el remitent i la ubicació on enviar les notificacions de retorn en cas de problemes El lliurament de missatges, com ara les notificacions de fracàs de descompte. “Correu de” Adreça: identifica el remitent i especifica on enviar devolució si es produeixen problemes amb el lliurament del missatge, com ara avisos de lliurament. Apareix a la part sobre un correu electrònic i normalment no es mostra mitjançant l’aplicació de correu electrònic. Aquest apareix a la part de sobre d’un missatge de correu electrònic i no es mostra normalment per la vostra sol·licitud de correu electrònic. De vegades es coneix com a adreça 5321.MailProm o adreça de camí inversa. A vegades es diu l’adreça 5321.Mailfrom o l’adreça del camí invers.

  • adreça “de”: l ‘ Adreça que es mostra com a adreça original per la vostra sol·licitud de correu electrònic. “De” Adreça: l’adreça que es mostra com a adreça de l’aplicació de correu electrònic. Aquesta adreça indica l’autor de correu electrònic. Aquesta adreça identifica l’autor del correu electrònic. En altres paraules, indica la bústia de la persona o sistema responsable de l’escriptura del missatge. Això és, la bústia de la persona o sistema responsable de l’escriptura del missatge. De vegades es diu adreça 5322.From.This es diu de vegades l’adreça 5322.FROM.

spf utilitza una gravació txt DNS per proporcionar la llista d’adreces autoritzades d’enviament autoritzat per a un domini determinat. Com a regla general, només es realitzen xecs SPF per a l’adreça 5321.Mailgrom. Això significa que l’adreça 5322.From no està autenticada quan només utilitzeu SPF. Podeu trobar-vos en el cas que un usuari rep un missatge que hagi estat acceptat per la comprovació SPF, però té una adreça d’enviament 5322.de usurped. Prenguem, per exemple, la següent transcripció SMTP: SPF utilitza el registre DNS txt per proporcionar una llista d’adreces IP d’enviament autoritzades per a un domini determinat. Normalment, les comprovacions SPF només es realitzen contra l’adreça 5321.Mailtrom. Això significa que l’adreça 5322.FROM no està autenticada quan utilitzeu SPF per si mateix. Això permet un escenari en què un usuari pot rebre un merescut Whip passa una comprovació SPF però ha superat 5322.co.in. Per exemple, considereu aquesta transcripció SMTP:

S: Helo woodgrovebank.comS: Mail from: [email protected]: Rcpt to: [email protected]: dataS: To: "Andrew Stobes" <[email protected]>S: From: "Woodgrove Bank Security" <[email protected]>S: Subject: Woodgrove Bank - Action requiredS:S: Greetings User,S:S: We need to verify your banking details.S: Please click the following link to verify that we have the right information for your account.S:S: https://short.url/woodgrovebank/updateaccount/12-121.aspxS:S: Thank you,S: Woodgrove BankS: .

En aquesta transcripció, les adreces del remitent són les següents: en aquesta transcripció, les adreces del remitent són les següents :

Si heu configurat SPF, el servidor de recepció realitza una comprovació del correu des de [email protected] Si el correu electrònic provenia d’una font vàlida per al domini phishing.contoso.com, el control SPF accepta el missatge. Atès que el client de correu només mostra l’adreça de, l’usuari veu que aquest missatge va venir de [email protected] Amb SPF només, la validesa de l’adreça Woodgrovebank.com mai no ha estat autenticada. A continuació, el SPF configurat, el servidor receptor realitza un xec contra el correu des de l’adreça [email protected] Si el missatge provenia d’una font vàlida per al domini phishing.contoso.com, llavors els passis de comprovació SPF. Sin el client de correu electrònic només mostra l’adreça de l’adreça, l’usuari veu que aquest missatge va sorgir de [email protected] Amb SPF només, la validesa de WoodgroveBank.com mai no s’ha autenticat.

Quan utilitzeu DMARC, el servidor de recepció també realitza una adreça de l’adreça de. A l’exemple anterior, si hi ha un registre TXT DMARC per a Woodgrovebank.com, la verificació de l’adreça de procedència rebutja aquesta. Quan utilitzeu DMARC, el servidor receptor també realitza un xec contra l’adreça. A l’exemple anterior, si hi ha un registre TXT DMARC al seu lloc per a WoodgroveBank.com, llavors la comprovació contra l’adreça falla.

Què és la gravació txt DMARC? Què és un registre DMARC txt?

Igual que els registres DNS per a SPF, la gravació de DMARC és un registre DNS en format de text (TXT) que impedeix la usurpació de la identitat i el phishing. Publiqueu els registres TXT DMARC al sistema DNS. Els registres TXT DMARC validen l’origen dels missatges electrònics comparant l’adreça IP de l’autor del correu electrònic a la de l’anomenada àrea d’enviament. La gravació de TXT DMARC identifica els servidors de correu de sortida. Els sistemes de correu electrònic de destinació poden comprovar si els missatges rebuts provenen de servidors de missatgeria permesos permesos. Llike Els registres DNS per a SPF, el registre de DMARC és un registre de text DNS (TXT) que ajuda a prevenir la falsificació i el phishing. Publiqueu registres DMARC TXT a DNS. DMARC TXT Records Valideu l’origen dels missatges de correu electrònic mitjançant la verificació de l’adreça IP d’un autor de correu electrònic contra el presumpte propietari del domini d’enviament. El registre TXT DMARC identifica els servidors de correu electrònic de sortida autoritzats. Els sistemes de correu electrònic de destinació es poden verificar que els missatges que reben els servidors de correu electrònic de sortida autoritzats.

Un registre de Microsoft txt dmarc és el següent: el registre de Microsoft dmarc txt sembla alguna cosa així:

_dmarc.microsoft.com. 3600 IN TXT "v=DMARC1; p=none; pct=100; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1"

Microsoft envia els seus informes de DMBRC a AGARI, un sistema de tercers.Microsoft envia els seus informes DMARC a AGARI, un tercer. AGARI recull i analitza el DMARC.AGARI recull i analitza els informes DMARC. Visiteu el catàleg de Microsoft Intelligent Security Association (MISA) per veure els proveïdors de tercers que ofereixen informes de DMARC per a Microsoft 365.PLICACIÓ DE LA MISA Catàleg per veure més visitants de tercers que ofereixen informes DMARC per a Microsoft 365.

Implementar DMARC per a missatges entrantsMap per al correu entrant

No teniu res a fer per configurar DMARC per als missatges que rebeu a Microsoft 365. Hem cuidat de tot.Si voleu descobrir el que està passant per correu electrònic rebutjat pels nostres xecs DMARC, vegeu la gestió de missatges electrònics entrants que fallen a DMARC xecs a Microsoft 365.You no haureu de fer res per configurar DMARC per correu que rebeu a Microsoft 365. Hem cuidat tot per a vosaltres. Si voleu aprendre què passa amb el correu electrònic que no passa, vegeu els nostres xecs de DMARC, vegeu com Microsoft 365 gestiona el correu electrònic entrant que falla DMARC.

Implementar DMARC per a missatges de sortida de Microsoft 365Print DMARC per al correu de sortida de Microsoft 365

Si utilitzeu Microsoft 365, però no un domini personalitzat, és a dir, utilitzeu onmicrosoft.com, simplement configureu o implementeu DMARC per a la vostra organització. SPF ja està configurat per a vostè i Microsoft 365 genera automàticament una signatura DKIM per als seus missatges de sortida. Per obtenir més informació sobre aquesta signatura, consulteu el comportament predeterminat de DKIM i Microsoft 365.Veu que utilitzeu Microsoft 365, però no utilitzeu un domini personalitzat, és a dir, utilitzeu Onmicrosoft.com, no necessiteu fer res més per configurar-lo Or Implement DMARC per a la vostra organització. SPF ja està configurat per a vostè i Microsoft 365 genera automàticament una signatura DKIM per al vostre correu de sortida. Per obtenir més informació sobre aquesta signatura, vegeu el comportament per defecte de DKIM i Microsoft 365.

Si teniu un domini personalitzat o utilitzeu servidors d’intercanvi local, a més de Microsoft 365, heu d’implementar manualment DMARC per als vostres missatges de sortida. . La implementació de DMARC per al vostre domini personalitzat té els passos següents: Si teniu un domini personalitzat o que utilitzeu servidors d’intercanvi en local, a més de Microsoft 365, heu d’implementar manualment DMARC per al vostre correu de sortida. La implementació de DMARC per al vostre domini personalitzat inclou aquests passos:

  • Pas 1: Determineu les fonts de correu electrònic vàlides per a les vostres previsions 1: identifiqueu les fonts de correu vàlides per al vostre domini

  • Pas 2: Configureu SPF per al vostre Faystep 2: configureu SPF per al vostre domini

  • Pas 3: configureu DKIM per al vostre dominiP personalitzat 3: configurat DKIM per al vostre domini personalitzat

  • Pas 4: Crea txt dmarc enregistrament per al seu Faystep 4: formeu el registre DMARC txt per al vostre domini

>

Pas 1: Determineu les fonts de missatgeria vàlides per al vostre FATIESP 1: identifiqueu fonts de correu vàlids per al vostre domini

Si ja heu configurat SPF, ja coneixeu el procediment. No obstant això, hi ha consideracions addicionals per a DMARC. Quan determineu les fonts de correu electrònic del vostre domini, hi ha dues preguntes que heu de respondre: si ja heu configurat SPF, ja heu passat per aquest exercici. No obstant això, per a DMARC, hi ha consideracions addicionals. Quan identifica fonts de correu per al vostre domini, hi ha dues preguntes que necessiteu per respondre:

  • Quines adreces IP enviar missatges del meu domini? Quines adreces IP enviar missatges del meu domini? p>

  • Per als missatges enviats per tercers per part meva, fer els dominis 5321.Mailfrom i 5322.From corresponen? Per a la sensació de correu de tercers en nom meu, el 5321.Mailgrom i 5322.FROM Dominis coincideixen?

Pas 2: configurar spf per al vostre Faystep 2: configureu SPF per al vostre domini

Ara si teniu una llista De tots els vostres remitents vàlids, podeu seguir els passos per configurar SPF per evitar que la usurpació de .now que tingueu una llista de tots els vostres remitents vàlids que pugueu seguir els passos per configurar SPF per ajudar a prevenir la falsificació.

Per exemple, assumint que contoso.com envia correu electrònic des de Exchange Online, un servidor d’intercanvi local, l’adreça IP és 192.168.0.1 i una aplicació WEB DON t L’adreça IP és de 192.168.100.100, la gravació TXT SPF semblaria així: per exemple, assumint que contoso.com envia correu electrònic des de Exchange Online, un servidor d’intercanvi local, l’adreça IP és 192.168.0.1 i una aplicació web L’adreça IP és de 192.168.100.100, el registre SPF txt sembla aquest:

contoso.com IN TXT " v=spf1 ip4:192.168.0.1 ip4:192.168.100.100 include:spf.protection.outlook.com -all"

Per obtenir els millors resultats, verifiqueu que la vostra gravació txt spf tingui en compte tercer tercer carregador , Assegureu-vos que el vostre registre SPF TXT tingui en compte els remitents de tercers.

Pas 3: Configureu dkim per al vostre dominip 3: configureu dkim per al vostre domini personalitzat

una vegada que tingueu Configurat SPF, heu de configurar DKIM. DKIM us permet afegir una signatura digital als missatges electrònics de la capçalera del missatge.Si no configureu DKIM i permeteu que Microsoft 365 utilitzi la configuració predeterminada del vostre domini, el DMARC pot rebutjar els missatges. De fet, la configuració predeterminada de DKIM utilitza el vostre domini onmicrosoft.com com a adreça 5322.From, i no el vostre domini personalitzat. Això crea una diferència entre les adreces 5321.Mailfrom i 5322. Des de tots els missatges enviats des del vostre domini.once heu configurat SPF, heu de configurar DKIM. DKIM us permet afegir una signatura digital als missatges de correu electrònic a la capçalera del missatge. Si no establiu DKIM i, en canvi, permeteu que Microsoft 365 utilitzi la configuració DKIM per defecte del vostre domini, DMARC pot fallar. Això es deu al fet que la configuració de DKIM per defecte utilitza el vostre domini inicial ONMICROSOFT.com com a adreça 5322.FROM, no el vostre domini personalitzat. Aquestes forces no coincideixen entre el 5321.Mailfrom i les adreces de 5322.FROM en tot el correu electrònic del vostre domini.

Si els remitents de tercers envien missatges en nom vostre i adreça 5321.Mailgrom i 5322. D’aquests Els missatges no coincideixen, DMARC rebutjarà aquest missatge de correu electrònic. Per evitar aquest problema, heu de configurar DKIM mitjançant la configuració específica d’aquest remitent de tercers per al vostre domini. Això permet que Microsoft 365 autenticés els missatges enviats per aquest servei de tercers. No obstant això, això també permet a altres entitats, per exemple, Yahoo, Gmail i Comcast, per comprovar el correu electrònic que els ha enviat pel tercer com si fossin missatges enviats per tu mateix. És un avantatge perquè, d’una banda, reforça la confiança que els clients poden tenir al vostre camp, sigui quina sigui la ubicació de les seves bústies i, de l’altra, Microsoft 365 no marcarà no un missatge com a correu brossa a causa de la usurpació de la identitat Perquè aquest correu electrònic ha estat acceptat per les comprovacions d’autenticació per al vostre domini. Si teniu enviatges de tercers que enviïn correu electrònic en nom vostre i el correu de l’enviament ha desajustat 5321.MailProm i 5322.FROM adreces, DMARC fallarà per a aquest correu electrònic. Per evitar-ho, haureu de configurar DKIM per al vostre domini específicament amb aquest remitent de tercers. Això permet que Microsoft 365 autenticarà el correu electrònic d’aquest servei de 3rd-partit. No obstant això, també permet als altres, per exemple, Yahoo, Gmail i Comcast, per verificar el correu electrònic enviat per la tercera part com si fos correu electrònic. Això és beneficiós perquè permet als vostres clients construir confiança amb el vostre domini, independentment d’on es trobi la seva bústia de correu, i al mateix temps que Microsoft 365 no marcarà un missatge com a correu brossa a causa de la falsificació, ja que passen els comprovacions d’autenticació per al vostre domini.

Per obtenir instruccions de la configuració dkim per al vostre domini, incloent com configurar DKIM per a remitents de tercers per permetre’ls utilitzar el vostre domini, vegeu Utilitzar DKIM per validar missatges de sortida enviats des del vostre domini personalitzat. Configuració de DKIM per al vostre domini, incloent-hi la configuració de DKIM per a remitents de tercers SOY SOY SPOOF el vostre domini, vegeu Utilitzeu DKIM per validar el correu electrònic de sortida del vostre domini personalitzat.

pas 4: creeu el txt Record DMARC per al vostre FORMEPEP 4: Formeu el registre DMARC txt per al vostre domini

Tot i que hi ha opcions de sintaxi que no s’esmenten aquí, aquí teniu l’optio El més freqüentment utilitzat per a Microsoft 365. Creeu el registre TXT DMARC per al vostre domini en el format següent: Tot i que hi ha altres opcions de sintaxi que no s’esmenten aquí, aquestes són les opcions més utilitzades per a Microsoft 365. Forma el registre DMARC TXT per a El vostre domini en el format:

on: on:

  • El domini és el domini que voleu protegir. El domini és el domini que voleu protegir. Per defecte, el registre protegeix el correu des del domini i tots els seus subtudomins.By per defecte, el registre protegeix el correu des del domini i tots els subdominis. Per exemple, si especifiqueu _dmarc.contoso.com, DMARC protegeix el correu d’aquest domini i tots els seus subdominis, per exemple housewares.contoso.com o plumbing.contoso.com. Per exemple, si especifiqueu _dmarc.contoso .com, A continuació, DMARC protegeix el correu des del domini i tots els subdominis, com Housewares.Contoso.com Gold Plumbing.Contoso.com.

  • El valor TTL ha de ser sempre equivalent a un O ‘ Rellotge. La unitat utilitzada per a TTL, si (1 hora), els minuts (60 minuts) o segons (3.600 segons), varia segons el registre d’escriptori, el vostre domini.TTL sempre ha de ser l’equivalent d’una hora. La unitat utilitzada per a TTL, qualsevol hora (1 hora), minuts (60 minuts), els segons d’or (3600 segons), variaran en funció del registrador del vostre domini.

  • PCT = 100 indica que aquesta regla hauria d’utilitzar-se per al 100% dels correus electrònics.PCT = 100 índexs que aquesta regla s’ha d’utilitzar per al 100% del correu electrònic.

  • Política especifica l’estratègia que voleu que el servidor de recepció segueixi si un missatge és rebutjat per DMARC. Podeu definir l’estratègia sobre cap (cap), posar en quarantena o rebutjar (rebutjar) .policy especifica quina política voleu que el servidor receptor segueixi si DMARC falla. Podeu establir la política a cap, Rebutja de l’Or

Per obtenir més informació sobre les opcions d’ús, familiaritzeu-vos amb els conceptes de la secció de bones pràctiques per a la implementació de DMARC a Microsoft 365.Pome informació sobre quines opcions d’ús, familiaritzar-se amb els conceptes de les millors pràctiques per a la implementació de DMARC a Microsoft 365.

Exemples: exemples:

  • Estratègia establerta a Cap (Cap) Política establerta a Cap

    _dmarc.contoso.com 3600 IN TXT "v=DMARC1; p=none"
  • Estratègia establerta a la política de quarantena (post quarantena) conjunt de polítiques a quarantena

    _dmarc.contoso.com 3600 IN TXT "v=DMARC1; p=quarantine"
  • Estratègia establerta per rebutjar (rebutjar) Política establerta per rebutjar

    _dmarc.contoso.com 3600 IN TXT "v=DMARC1; p=reject"

Un cop hagueu creat la gravació, heu d’actualitzar-lo des del vostre taulell de registre del domini. Per obtenir instruccions sobre l’addició de gravació de TXT DMARC als vostres registres DNS per a Microsoft 365, vegeu Crea registres DNS per a Microsoft 365 quan gestioneu les vostres gravacions DNS.once, heu d’actualitzar el registre, heu d’actualitzar el registre al vostre registrador de dominis. Per obtenir instruccions sobre l’addició del registre TXT DMARC als vostres registres DNS per a Microsoft 365, vegeu Crea registres DNS per a Microsoft 365 quan gestioneu els vostres registres DNS.

Bones pràctiques per a la implementació de DMARC en les pràctiques de Microsoft 365Best per a la implementació DMARC a Microsoft 365

Podeu implementar a DMARC gradualment sense tenir repercussions a la resta del corrent de missatgeria. Creeu i implementeu un pla de desplegament que segueixi el procediment següent. Primer pas amb un subdomini, a continuació, amb els altres i, finalment, amb el domini de nivell superior de la vostra organització abans de passar al següent pas. Podeu afectar a DMARC gradualment sense afectar la resta del vostre flux de correu. Creeu i implementeu un pla de desplegament que segueix aquests passos. Feu cadascun d’aquests passos primer amb un sub-domini, a continuació, altres subdominis i finicalment amb el domini de nivell superior de la vostra organització abans de passar al següent pas.

  1. Controlar els efectes de la DMArconitor L’impacte de la implementació de DMARC

    Comenceu amb una sola gravació en mode de seguiment per a un subdomini o domini que requereix que els receptors DMARC us enviïn estadístiques dels missatges. “Vegen per a aquesta àrea. Un enregistrament en mode de seguiment és un registre TXT DMARC l’estratègia que es defineix a Cap (P = Cap). Moltes empreses publiquen una gravació de TXT DMARC amb P = no, perquè no saben exactament la quantitat de missatges que arrisquen la pèrdua de la publicació d’una estratègia DMARC més restrictiva. Estart amb un simple registre de mode de monitorització per a un domini d’or de subdomini que Sol·licita que els repuntadors DMARC us enviïn estadístiques sobre publicacions que busquen amb aquest domini. Un registre de monitorització-moda és un registre TXT DMARC que té la seva política establerta a Cap (P = Cap). Moltes empreses publiquen un registre TXT DMARC amb P = Cap, ja que són que no estiguin segurs de la quantitat de correu electrònic que poden perdre publicant una política de DMARC més restrictiva.

    Podeu fer-ho abans, fins i tot haver implementat SPF o dkim La vostra infraestructura de missatgeria. Tanmateix, no podreu posar en quarantena ni rebutjar missatges mitjançant DMARC fins que també implementeu SPF i DKIM. Quan configureu SPF i DKIM, els informes generats a través de DMARC proporcionaran el número i la font de missatges acceptats per aquests controls, així com els que es van negar. Podeu determinar fàcilment la quota del vostre trànsit legítim que està cobert per aquestes categories i resoldre problemes. També començarà a veure el nombre de missatges fraudulents enviats, així com la seva font. Podeu fer-ho fins i tot abans que hàgiu implementat SPF Gold DKIM a la vostra infraestructura de missatgeria. Tanmateix, no podreu posar-vos en quarantena d’or Rebutjar l’or mitjançant l’ús de DMARC Utilitzeu també SPF i DKIM. A mesura que introduïu SPF i DKIM, els informes generats a través de DMARC proporcionaran els números i les fonts de missatges que passin aquests controls i els que no ho facin. Podeu veure fàcilment la quantitat del vostre trànsit legítim o no està cobert per ells i solucionar problemes. També començareu a veure quants missatges fraudulents s’està sentint i des d’on.

  2. Sol·liciteu sistemes de missatgeria externs per posar en quarantena el correu que falla a les comprovacions de DMARCREst que els sistemes de correu electrònic externs en quarantena que falla DMARC

    quan ho penseu Tot o part del vostre trànsit legítim està protegit per SPF i DKIM, i sabeu l’impacte de la implementació de DMARC, podeu implementar una estratègia de quarantena. Una estratègia de quarantena és un registre TXT DMARC que es defineix a la quarantena (p = quarantena). En fer-ho, demaneu als receptors DMARC que posessin missatges del vostre domini que siguin negats per DMARC en l’equivalent local d’un fitxer de correu no desitjat en lloc de la safata d’entrada dels vostres clients. Quan creieu que tota l’or la major part del vostre trànsit legítim és Protegit per SPF i DKIM, i enteneu l’impacte de la implementació de DMARC, podeu implementar la política de quarantena. Una política Quantine és un registre TXT DMARC que té la seva política establerta a la quarantena (P = quarantena). En fer-ho, demaneu a Dmarc REIGRSE per posar missatges del vostre domini que fallen a DMARC a l’equivalent local d’una carpeta de correu brossa en lloc de les safates d’entrada dels vostres clients

  3. demaneu-ho extern Els sistemes de missatgeria no accepten missatges que fallin a la DMARCREst que els sistemes de correu externs no acceptin llocs que fallin DMARC

    El pas final és implementar una estratègia de rebuig. Una estratègia de rebuig és una gravació TXT DMARC la seva estratègia es defineix de manera que faci un rebuig (p = rebutjar). Quan ho feu, demaneu que els receptors DMARC no acceptin missatges que fallin al DMARC.The Final Step és la implementació de les proves que rebutgen la política. A la política de rebuig és un registre DMARC TXT que té la seva política establerta per rebutjar (P = Rebutjar). Quan ho feu, demaneu a Dmarc Receibers per no acceptar que fallin els xecs DMARC

  4. Com configurar DMARC per al subdomini? Com configurar DMARC per al subdomini?

    DMARC s’executa publicant una política en forma de registre txt en DNS i és jeràrquic (per exemple, una estratègia publicada per contoso.com s’aplicarà al subdomini.contonos. com a menys que una estratègia diferent sigui Es defineix explícitament per al subdomini) .DMARC s’implementa mitjançant la publicació d’una política com a registre txt en DNS i és jeràrquic (per exemple, una política publicada per a contoso.com a sub.domain .contonos.com tret que tingui una política diferent es defineix explícitament per al Subdomini). Això és útil perquè les organitzacions poden especificar un nombre menor d’enregistraments DMARC d’alt nivell per a una major cobertura. Això és útil, ja que les organitzacions poden especificar un nombre menor de registres DMARC d’alt nivell per a una cobertura més àmplia. Aneu amb compte de configurar els registres DMARC de subdomini explícits on no voleu que els subdominis heretin el domini de nivell superior DMULC.Care per configurar els registres DMARC de subdomini explícits on no voleu que els subdominis heretin el registre DMARC del domini de primer nivell.

    També podeu afegir una política de tipus genèrica per a DMARC quan els subdominis no haurien d’enviar correu electrònic, afegint el sp=reject valor.also, podeu afegir una política de tipus comodí per a DMARC quan els subdominis no haurien d’enviar el correu electrònic, afegint el valor sp=reject. Per exemple: per exemple:

    iv Correu electrònic que falla DMARC

    Si un missatge de sortida de Microsoft 365 falla a les comprovacions DMARC i que ha definit l’estratègia en P = quarantena (quarantena) o P = Rebut (rebuig), el missatge es dirigeix a través de Piscina de descompte de risc superior per a missatges de sortida. Missatge de sortida és de Microsoft 365 i falla DMARC, i heu definit la pòlissa a P = quarantena or P = Rebutjar, el missatge és el camí a través de la piscina de lliurament d’alt risc per a missatges de sortida. Els correus electrònics de sortida no són triturats. No hi ha cap substitució per correu electrònic de sortida.

    Si publiqueu una estratègia de rebuig dmarc (p = rebutjar), cap altre client a Microsoft 365 no usurpeu el vostre domini, perquè el Els missatges no podran passar les comprovacions SPF o DKIM per al vostre domini quan es transmetrà un missatge de sortida a través del servei.D’altra banda, si publiqueu una estratègia de rebuig de DMARC, però que tots els vostres missatges de correu electrònic no estan autenticats a través de Microsoft 365, part d’aquests es poden marcar com a correu no desitjat per a correus electrònics entrants (tal com es descriu anteriorment)., O seran Es va negar si no publiqueu SPF i intenteu transmetre’ls en el sentit de sortida a través del servei. Això pot passar, per exemple, si heu oblidat d’incloure les adreces IP d’alguns servidors i aplicacions que envien missatges en nom del vostre domini quan hàgiu creat la vostra gravació TXT DMARC.IF Publiqueu una política de rebuig DMARC (P = Rebut) , Cap altre client a Microsoft 365 pot obtenir el vostre domini perquè els missatges no són blables per passar SPF Gold DKIM per al vostre domini quan es transmet un missatge de sortida a través del servei. Tanmateix, si publiqueu una política de rebuig DMARC, però no teniu tot el vostre correu electrònic autenticat a través de Microsoft 365, alguns d’ells es poden marcar com a correu brossa per correu electrònic entrant (tal com es descriu anteriorment), o serà rebutjat si no ho feu Publiqueu SPF i intenteu transmetre-la a través del servei. Això passa, per exemple, si us oblideu d’incloure algunes de les adreces IP per a servidors i aplicacions que envien correu electrònic en nom del vostre domini quan formeu el registre DMARC txt.

    Gestió de missatges electrònics entrants que fallen A Microsoft 365Com Microsoft 365 gestiona els gràfics de correu electrònic entrant DMARC

    Si la política de DMBRC del servidor d’enviament és p=reject, l’intercanvi de protecció en línia (EOP) marca el missatge com a Spoof en lloc de rebuig. Si la política DMARC del servidor d’enviament és p=reject, l’intercanvi de protecció en línia (EOP) marca el missatge com a spoof en lloc del rebuig. En altres paraules, per als missatges entrants, Microsoft 365 processos p=reject i p=quarantine de la mateixa manera. En altres paraules, per correu electrònic entrant, Microsoft 365 Treats p=reject i de la mateixa manera. Els administradors poden definir l’acció que es pot realitzar sobre els missatges classificats com a usurpació d’identitat a l’estratègia anti-hame.admins poden definir l’acció per assumir missatges classificats com a spoof dins de la política anti-phishing.

    Microsoft 365 Està configurat d’aquesta manera, ja que alguns missatges legítims poden fallar al DMARC.MICROSOFT 365 es configuren així perquè algun correu electrònic legítim pot fallar DMARC. Això pot ser el cas, per exemple, si s’envia un missatge a una llista de transmissió que el retorna a tots els seus participants. Per exemple, un missatge pot fallar DMARC si s’envia a una llista de correu que relés el missatge a tots Llista els participants. Si Microsoft 365 rebutja aquests correus electrònics, els destinataris poden perdre missatges legítims sense haver de recuperar-los. Si Microsoft 365 va rebutjar aquests missatges, la gent podria perdre correu electrònic legítim i no tenir cap manera de recuperar-la. Per això, amb aquesta configuració, aquests missatges encara es neguen a DMARC, però, en comptes de ser rebutjats, estan marcats com a mail.instead indesitjables, aquests missatges continuaran fallint a DMARC, però es marcaran com a correu brossa i no rebutjat. Si cal, els usuaris encara poden accedir a aquests missatges a la safata d’entrada mitjançant els mètodes següents: Si ho desitgeu, els usuaris encara poden obtenir aquests missatges a la safata d’entrada a través d’aquests mètodes:

    • Els usuaris afegeixen de forma individualitzada Els remitents utilitzant el seu client de correu. Els consumidors afegeixen remitents segurs individualment utilitzant el seu client de correu electrònic.

    • Els administradors poden actualitzar els informes d’intel·ligència contra el robatori d’identitat per permetre que els usurpation.administradors puguin actualitzar el spoof Informes d’intel·ligència per permetre el spoof.

    • Els administradors creen un intercanvi de regles de flux de missatgeria (també anomenat regla de transport) per a tots els usuaris que autoritzin la transmissió de missatges d’aquests transmissors particulars. Una regla de flux de correu electrònic d’intercanvi (també coneguda com a regla de transport) per a tots els usuaris que permetin missatges per a aquells remitents en particular.

    Si voleu saber-ne més, visiteu la llista de vaixells aprovada per crear més informació, vegeu Crear un remitent segur.

    Com Microsoft 365 utilitza un canal autenticat (ARC) Microsoft 365 Utilitats autenticats Cadena rebuda (ARC)

    Totes les bústies allotjades a Microsoft 365 ara dibuixen la festa d’arc amb millor lliurament de missatges i una protecció millorada contra la usurpació d identitat. Tots els bústies de correu allotjades a Microsoft 365 ara obtindran el benefici d’Arc amb una millora de la lliurament de missatges i una protecció anti-spoofing millorada.ARC conserva els resultats d’autenticació de correu des de tots els intermediaris participants, o salts, quan un correu electrònic es dirigeix des del servidor original a la bústia de destinatari, conserva els resultats d’autenticació de correu electrònic de tots els intermediaris participants, llúpols d’or, quan un correu electrònic és carretera Servidor d’origen a la bústia de destinatari. Abans de l’ARC, les modificacions realitzades per intermediaris en l’encaminament de correu electrònic, com ara les regles de transferència o les signatures automàtiques, podrien provocar errors DMARC en el moment dels correus electrònics que arriben a la bústia de correu electrònic. Abans de l’ARC, modificacions realitzades per intermediaris en l’encaminament de correu electrònic, com a reenviament Regles Signatures automàtiques d’or, Caoud Causa DMArc cau en el moment en què el correu electrònic va arribar a la bústia de destinatari. Amb ARC, la conservació de xifrat de resultats d’autenticació permet a Microsoft 365 que comprovi l’autenticitat del remitent d’un correu electrònic. Amb arc, la preservació criptogràfica dels resultats d’autenticació permet a Microsoft 365 que verifiqui l’autenticitat del remitent d’un correu electrònic.

    Microsoft 365 utilitza ARC per comprovar els resultats d’autenticació quan Microsoft és el segellador ARC, però té previst afegir suport per a segelladors d’arc de tercers en el futur. Microsoft 365 actualment utilitza ARC per verificar els resultats d’autenticació quan Microsoft és el segellador ARC, pla Per afegir suport als segelladors d’arc de tercers en el futur.

    Resolució de problemes d’implementació de problemes dMarctouLing La seva implementació DMARC

    Si EOP no és la primera entrada dels registres MX al vostre domini, Les polítiques DMARC en cas de xecs no s’aplicaran al vostre domini.Inve que heu configurat el vostre Els registres MX del domini on EOP no és la primera entrada, les fallades DMARC no s’aplicaran per al vostre domini.

    Si sou client i que la gravació principal del vostre domini no assenyala EOP, ho feu No es beneficiarà de la protecció de DMARC.SI si esteu al client, i el registre MX principal del vostre domini no apunta a EOP, no obtindreu els avantatges de DMARC. Per exemple, DMARC no funciona si els punts d’enregistrament MX al vostre servidor de correu local i que els correus electrònics es dirigeixen a EOP mitjançant un connector d’exemple A. Per exemple, DMARC no funcionarà si apunteu el registre MX a la vostra El servidor de correu local i el correu electrònic de la carretera a EOP mitjançant un connector. En aquest cas, el domini de recepció és una de les vostres àrees d’acceptació, però EOP no és el principal registre MX. Aquest escenari, el domini receptor és un dels vostres dominis acceptats, però EOP no és el MX primari. Per exemple, suposem que la gravació de MX de contoso.com punts a contoso.com i que EOP s’utilitza com a gravació de MX secundària. La gravació MX de contoso.com és llavors de la següent manera: per exemple, assumeix contoso.com els seus punts MX a si mateix i utilitza EOP com a registre MX secundari, el registre MX de Contoso.com sembla el següent:

    contoso.com 3600 IN MX 0 mail.contoso.comcontoso.com 3600 IN MX 10 contoso-com.mail.protection.outlook.com

    La totalitat o la majoria dels missatges de correu electrònic reenviaran per correu electrònic.contoso.com, ja que és la principal gravació MX, abans de ser reenviada per intercanviar protecció en línia .all , L’or més, el correu electrònic serà primer. En alguns casos, EOP ni tan sols està present a la llista de registres MX i els connectors es configuren simplement per encaminar missatges electrònics. En alguns casos, és possible que ni tan sols enumereu EOP com a registre MX en absolut i simplement connecteu els connectors per encaminar el vostre correu electrònic. No és necessari que EOP sigui la primera entrada de la validació DMARC que es faci .eop no ha de ser la primera entrada per a la validació DMARC que es faci. És simplement garantir la validació perquè és impossible assegurar-se que tots els servidors locals / no oficines de 365 realitzin verificacions DMARC.IT només assegurin la validació, ja que no podem estar segurs que tots els servidors de local / no O365 faran DMARC Comprovacions. DMARC és elegible per aplicar-se al domini d’un client (i no al servidor) quan configureu el registre TXT DMARC, però retorna al servidor receptor per realitzar realment la sol·licitud.DMARC pot ser satisfet per a un domini del client (NO SERVER) Quan configureu el registre TXT DMARC, però depèn del servidor de rebuts que realment faci l’execució. Si configureu EOP com a servidor de recepció, la funció EOP procedeix a l’aplicació DMARC.IF que configureu EOP com a servidor de rebuts, a continuació, EOP fa la comptadora.

    Un gràfic de resolució de problemes per a DMARC, proporcionat per Daniel Mande

    Per obtenir més informació més informació

    vols més Informació sobre DMARC? Aquests recursos us poden ajudar. Desitjueu més informació sobre DMARC? Aquests recursos poden ajudar.

    • Capçaleres de missatges de correu electrònic no desitjats inclouen els camps de sintaxi i de capçalera utilitzats per Microsoft 365 per a comprovades dmarc.anti-spam capçaleres de missatge inclouen els camps de sintaxi i de capçalera utilitzats Per Microsoft 365 per a xecs DMARC.

    • Vegeu la sèrie de formació de M3AAWG DMARC (missatgeria, malware, grup de treball anti-abús mòbil). Atrake the DMARC Formació Sèries de M3AAWG (missatgeria, Programari maliciós, grup de treball anti-abús mòbil).

    • Utilitzeu la llista de comprovació que ofereix dmarcian.Us la llista de verificació a DMarcian.

    • Aneu directament a la font de DMarc.org.go directament a la font de DMarc.org.

    Vegeu també aussisme també

    Com Microsoft 365 Utilitza SPF (Framework Política del remitent) per evitar que el Microsoft Usurpationhow 365 utilitzi el marc de la política de remitent (SPF) per evitar que es sopafing

    Configureu SPF a Microsoft 365 per evitar usurpings i up spf a Microsoft 365 per ajudar a prevenir la falsificació

    Utilitzar DKIM per validar missatges de sortida enviats des del vostre domini personalitzat a Microsoft 365use DKIM per validar el correu electrònic de sortida Fey des del vostre domini personalitzat a Microsoft 365

Leave a comment

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *