• 18/02/2021
  • 15 minutos de xogo
    • /li>

Importante

O Microsoft O Centro de Seguridade 365 xa está dispoñible en preparación pública. O mellor centro de seguridade Microsoft 365 xa está dispoñible en vista previa pública. Esta nova experiencia introduciu o defensor do punto de rescisión, o defensor da Office 365, o defensor de Microsoft 365 e moito máis no Microsoft Security Center 365.Esta nova experiencia trae defensor para o punto final, defensor de Microsoft 365, Microsoft 365, e máis no Microsoft 365 Centro de seguridade. Discover News.Learn What’s New. Este tema pode ser aplicado a Microsoft Defender para Office 365 e Microsoft 365 Defender. Este tema pode tanto para Microsoft Defender para Office 365 como Microsoft 365 Defender. Por favor, consulte a sección aplícase a, a continuación, busca chamadas específicas neste artigo onde as diferenzas poden exister. Referen ás aplicacións á sección e busque chamadas específicas neste artigo onde hai artigo.

Aplícase a Applie a

  • Protección en liña de Exchange en liña
  • Microsoft Defender para Office 365 Plan 1 e Plan 2Microsoft Defender para Office 365 Plan 1 e Plan 2
  • Microsoft 365 defendentermicrosoft 365 defensor

Autenticación de mensaxes baseada en dominio, informes e conformidade (DMARC) usa SPF (Framework de política de remitente) e DKIM (DomainKeys identificados para autenticar e- Os remitentes de correo e asegúrese de que os sistemas de mensaxes de destino acepten mensaxes enviadas desde o seu dominio como a autenticación de mensaxes baseadas en confianza, o informe e a conformidade (DMARC) baseado no marco de políticas do remitente (SPF) e DomainKeys identificou o correo (DK) IM) Para autenticar os remitentes de correo e asegúrese de que os sistemas de correo electrónico de destino son as mensaxes de confianza do seu dominio. A implementación de DMARC con SPF e DKIM proporciona protección adicional contra a usurpación e martelos. Implementación de DMARC con SPF e DKIM Protección adicional contra a falla e o correo electrónico de phishing. DMarc permite que os sistemas de mensaxes de recepción determinen o que precisan facer que as mensaxes enviadas desde o seu dominio sexan rexeitadas polo SPF ou DKIM.DMARC axuda a recibir sistemas de correo determinan que facer as mensaxes que se senten do seu dominio que fallan os cheques de DKIM de SPF.

Visita o catálogo de asociación de seguridade intelixente de Microsoft (Misa) para ver proveedores de terceiros que ofrecen informes DMARC para Microsoft 365 .Visit o catálogo de Microsoft Intelligent Security (MISA) para ver o terceiro -Parting ofrecendo informes DMARC para Microsoft 365.

Como vai traballar SPF e DMARC para protexer as mensaxes de correo electrónico en Microsoft 365? Como funcionan SPF e DMARC para protexer o correo electrónico en Microsoft 365 ?

Unha mensaxe de correo electrónico pode conter varios enderezos orixinais (ou remitentes). A mensaxe de correo electrónico pode conter varios enderezos de remitente de orixe de orixe. Estes enderezos úsanse para diferentes fins. Estes enderezos úsanse para diferentes fins. Por exemplo, tome as seguintes enderezos: por exemplo, considere estes enderezos:

  • Enderezo “Correo a partir de”: indica o remitente e a localización onde enviar as notificacións de retorno en caso de problemas A entrega de mensaxes, como as notificacións de falla de desconto. “Correo desde” Enderezo: Identifica o remitente e especifica onde enviar devolución se hai algún problema coa entrega da mensaxe, como avisos de non entrega. Aparece na parte sobre un correo electrónico e normalmente non se mostra pola aplicación de correo electrónico. Isto aparece na porción de sobre unha mensaxe de correo electrónico e normalmente non se mostra a súa solicitude de correo electrónico. Ás veces é chamado enderezo 5321.Mailfrom ou enderezo de ruta inversa. Isto é ás veces chamado o enderezo 5321.Mailfrom ou o enderezo de ruta inversa.

  • Enderezo “de”: l ‘ O enderezo amosado como enderezo orixinal da súa aplicación de correo electrónico. “De” a enderezo: a dirección amosada como a dirección da súa solicitude de correo. Este enderezo indica o autor de correo electrónico. Este enderezo identifica o autor do correo electrónico. Noutras palabras, indica a caixa de correo da persoa ou sistema responsable de escribir a mensaxe. É, a caixa de correo da persoa ou sistema responsable de escribir a mensaxe. Ás veces chámase enderezo 5322.from.This ás veces chámase o enderezo 5322.from.

SPF usa unha gravación TXT DNS para proporcionar a lista de enderezos de envío de IP autorizados para un dominio dado. Como regra xeral, só se realizan cheques SPF para a dirección 5321.Mailfrom. Isto significa que a dirección 5322.from non está autenticada cando só usa SPF. Pódese atopar no caso de que un usuario reciba unha mensaxe que foi aceptada pola comprobación de SPF pero ten un enderezo de envío 5322.from usurped. Tomé por exemplo, a seguinte transcrición SMTP: SPF usa o rexistro DNS TXT para proporcionar unha lista de enderezos de envío de IP autorizado para un dominio dado. Normalmente, as comprobacións SPF só se realizan só contra o enderezo 5321.Mailfrom. Isto significa que a dirección 5322.from non está autenticada cando usa SPF por si só. Isto permite un escenario onde un usuario poida recibir un chicote de mensaxes pases un cheque de SPF pero ten que falar 5322.co.in. Por exemplo, considere esta transcrición SMTP:

S: Helo woodgrovebank.comS: Mail from: [email protected]: Rcpt to: [email protected]: dataS: To: "Andrew Stobes" <[email protected]>S: From: "Woodgrove Bank Security" <[email protected]>S: Subject: Woodgrove Bank - Action requiredS:S: Greetings User,S:S: We need to verify your banking details.S: Please click the following link to verify that we have the right information for your account.S:S: https://short.url/woodgrovebank/updateaccount/12-121.aspxS:S: Thank you,S: Woodgrove BankS: .

Nesta transcrición, as direccións do remitente son as seguintes: Nesta transcrición, os enderezos do remitente son os seguintes :

Se configurou SPF, o servidor de recepción realiza un cheque por correo de [email protected] Se o correo electrónico proviña dunha fonte válida para o dominio Phishing.Contoso.com, o control SPF acepta a mensaxe. Dado que o cliente de correo só mostra a dirección, o usuario ve que esta mensaxe veu de [email protected] Con SPF por si só, a validez da dirección woodgrovebank.com nunca foi autenticada. Vostede configurou SPF, entón o servidor receptor realiza un cheque contra o correo de enderezo [email protected] Se a mensaxe proviña dunha fonte válida para o Phishing de dominio.Contoso.com, entón a verificación SPF pasa. SIN O cliente de correo electrónico só mostra o enderezo do enderezo, o usuario ve que esta mensaxe veu de [email protected] Con SPF só, a validez de Woodgrovebank.com nunca foi autenticada.

Cando se usa DMARC, o servidor de recepción tamén realiza un enderezo da dirección. No exemplo anterior, se hai un rexistro DMARC TXT para Woodgrovank.com, a verificación do enderezo de procedencia rexeita este. Cando usa DMARC, o servidor receptor tamén realiza un cheque contra o enderezo do enderezo. No exemplo anterior, se hai un rexistro DMARC TXT no lugar para Woodgrovebank.com, entón o cheque contra o enderezo do enderezo falla.

¿Que é a gravación de TXT DMARC? ¿Que é un rexistro DMARC TXT?

Como os rexistros DNS para SPF, a gravación para DMARC é un rexistro DNS en formato de texto (txt) que impide a usurpación de identidade e phishing. Publica os rexistros TXT DMARC no sistema DNS. TXT DMARC Records valida a orixe das mensaxes electrónicas comparando a dirección IP do autor do correo electrónico ao da chamada área de envío. A gravación de TXT DMARC identifica que se permiten servidores de correo saíntes. Os sistemas de correo electrónico de destino poden comprobar se as mensaxes recibidas proceden dos servidores de mensaxería permitidos permitidos. Like os rexistros DNS para SPF, o rexistro de DMARC é un rexistro de texto DNS (TXT) que axuda a evitar a falla e o phishing. Publicaches DMARC TXT Records en DNS. DMARC TXT Records valida a orixe das mensaxes de correo electrónico verificando a dirección IP do autor dun correo electrónico contra o suposto propietario do dominio de envío. O rexistro DMARC TXT identifica servidores de correo electrónico autorizados. Destino Email Sistemas pode comprobar mensaxes que reciben orixinado Autorizados de saída de correo-e Servidores

rexistro Microsoft TXT DMARC é a seguinte :. DMARC TXT Rexistro de Microsoft é algo así:

_dmarc.microsoft.com. 3600 IN TXT "v=DMARC1; p=none; pct=100; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1"

Microsoft envía os seus informes DMBRC a Agari, un sistema de terceiros.Microsoft envía os seus informes DMarc a Agari, un terceiro. Agari recolle e analiza o DMarc.agari recolle e analiza informes DMARC. Visita o catálogo Microsoft Intelligent Security Association (MISA) para ver os provedores de terceiros que ofrecen informes DMARC para Microsoft 365.Please Visita O Misa Catalog para ver máis de terceiros Visitor Oferta DMARC Informes para Microsoft 365.

Despregar Dmarc para mensaxes entrantes para correo de entrada

Non tes nada que ver para configurar DMARC para as mensaxes que recibes en Microsoft 365. Nós coidamos todo.Se queres descubrir o que está a suceder por correo electrónico rexeitado polos nosos controis DMarc, consulte a xestión de mensaxes electrónicas de entrada que falla nos controis DMARC en Microsoft 365. Non ten que facer unha cousa para configurar DMarc por correo que recibe en Microsoft 365. Coidamos todo por ti. Se queres aprender o que acontece co correo que non pasa os nosos controis DMARC, vexa como Microsoft 365 manexa o correo electrónico que falla DMARC.

Implementar DMarc para obter mensaxes de saída de Microsoft 365 DMARC para o correo de Microsoft 365

Se está a usar Microsoft 365, pero non un dominio personalizado, é dicir, usa onmicrosoft.com, simplemente configurar ou implementar DMARC para a súa organización. SPF xa está configurado para ti e Microsoft 365 xera automaticamente unha sinatura DKIM para as túas mensaxes saíntes. Para obter máis información sobre esta sinatura, consulte o comportamento predeterminado para DKIM e Microsoft 365.Ves usa Microsoft 365 pero non está a usar un dominio personalizado, é dicir, usa onmicrosoft.com, non necesita facer outra cousa para configurar Gold implementa DMARC para a túa organización. SPF xa está configurado para vostede e Microsoft 365 xera automaticamente unha sinatura dkim para o seu correo saínte. Para obter máis información sobre esta sinatura, consulte o comportamento predeterminado para DKIM e Microsoft 365.

Se ten un dominio personalizado ou usa servidores de intercambio locais ademais de Microsoft 365, ten que implementar manualmente DMARC para as súas mensaxes de saída. .. A implementación de DMAC para o seu dominio personalizado ten os seguintes pasos: Se ten un dominio personalizado ou está a usar servidores de Exchange local ademais de Microsoft 365, cómpre implementar manualmente DMarc para o seu correo de saída. Implementar DMarc para o seu dominio personalizado inclúe estes pasos:

  • Paso 1: Determine fontes de correo electrónico válido para as súas previsións 1: Identificar fontes válidas de correo para o seu dominio

  • Paso 2: Configurar SPF para o seu FAYSTEP 2: Configurar SPF para o seu dominio

  • Paso 3: Configurar DKIM para o seu DOMAINP 3 personalizado: configurar DKIM para o seu dominio personalizado

  • Paso 4: Crear TXT DMARC Gravación para o seu FAYSTEP 4: Forma o rexistro DMARC TXT para o seu dominio

Paso 1: Determine fontes de mensaxería válidas para o seu Fatiesp 1: Identificar fontes de correo válido para o seu dominio

Se xa configurou SPF, xa coñece o procedemento. Non obstante, hai consideracións adicionais para DMARC. Cando determinas as fontes de correo electrónico para o teu dominio, hai dúas preguntas que debes responder: Se xa configuraches SPF, xa pasaches por este exercicio. Non obstante, para DMarc, hai consideracións adicionais. Cando identifica fontes de correo para o seu dominio hai dúas preguntas que precisa para responder:

  • Que enderezos IP Envía mensaxes do meu dominio? Que enderezos IP Envían mensaxes do meu dominio?

  • Para as mensaxes enviadas por parte de terceiros da miña banda, faga os dominios 5321.Mailfrom e 5322.From corresponde? Para a sensación de correo a partir de terceiros no meu nome, será o 5321.Mailfrom e 5322.from Domains Match?

Paso 2: Configurar SPF para o seu FAYSTEP 2: Configure SPF para o seu dominio

Agora se ten unha lista De todos os seus remitentes válidos, pode seguir os pasos para configurar SPF para evitar a usurpación de. Agora que ten unha lista de todos os seus remitentes válidos que pode seguir os pasos para configurar SPF para axudar a previr a falla.

Por exemplo, asumindo que Contoso.com envía correo de Exchange Online, un servidor de Exchange local cuxo enderezo IP é de 192.168.0.1 e unha aplicación web Don T o enderezo IP é 192.168.100.100, a gravación de TXT SPF sería así: por exemplo, asumindo contoso.com envía correo de Exchange Online, un servidor de Exchange local cuxo enderezo IP é de 192.168.0.1 e unha aplicación web que O enderezo IP é 192.168.100.100, o rexistro de SPF TXT parece así:

contoso.com IN TXT " v=spf1 ip4:192.168.0.1 ip4:192.168.100.100 include:spf.protection.outlook.com -all"

Para obter os mellores resultados, verifique que a gravación TXT SPF ten en conta o terceiro terceiro cargo , Asegúrese de que o seu rexistro de SPF TXT teña en conta os remitentes de terceiros.

Paso 3: Configurar DKIM para o seu Custom DomainP 3: Configure DKIM para o seu dominio personalizado

Unha vez que teña Configurado SPF, debes configurar DKIM. DKIM permítelle engadir unha sinatura dixital a mensaxes electrónicas no encabezado da mensaxe.Se non configura DKIM e permita que Microsoft 365 use a configuración predeterminada para o seu dominio, DMARC pode rexeitar mensaxes. De feito, a configuración predeterminada de DKIM usa o seu dominio onmicrosoft.com como enderezo 5322.from e non o seu dominio personalizado. Isto crea unha diferenza entre as direccións 5321.Mailfrom e 5322. Desde todas as mensaxes enviadas desde o teu dominio. Configuraches SPF, debes configurar DKIM. DKIM permítelle engadir unha sinatura dixital a mensaxes de correo electrónico no encabezado da mensaxe. Se non configura DKIM e, en cambio, Microsoft 365 usar a configuración de DKIM predeterminada para o seu dominio, DMARC pode fallar. Isto ocorre porque a configuración de DKIM por defecto usa o seu dominio inicial onmicrosoft.com como o enderezo 5322.from, non o seu dominio personalizado. Estas forzas teñen discordes entre os 5321.Mailfrom e as direccións 5322.from en todo o correo electrónico do seu dominio.

Se os remitentes de terceiros envían mensaxes no seu nome e enderezos 5321.mailfrom e 5322. Dende estes As mensaxes non coinciden, DMARC rexeitará esta mensaxe de correo electrónico. Para evitar este problema, debes configurar DKIM configurando especificamente este remitente de terceiros para o teu dominio. Isto permite a Microsoft 365 autenticar mensaxes enviadas por este servizo de terceiros. Non obstante, isto tamén permite que outras entidades, por exemplo, Yahoo, Gmail e Comcast, para comprobar o correo electrónico que se lles envía polo terceiro coma se fosen mensaxes enviadas por ti mesmo. É unha vantaxe porque, por unha banda, reforza a confianza de que os clientes poden ter no seu campo, independentemente da localización das súas caixas de correo e, por outra, Microsoft 365 non marcará unha mensaxe como Spam debido á usurpación da identidade , porque este correo electrónico foi aceptado polos controis de autenticación para o seu dominio. Se ten remitentes de terceiros que envían correo no seu nome e o correo electrónico o envío non coincide con enderezos 5321.Mailfrom e 5322., DMARC fallará para ese correo electrónico. Para evitar isto, cómpre configurar DKIM para o seu dominio específicamente con ese remitente de terceiros. Isto permite a Microsoft 365 autenticar o correo electrónico a partir deste servizo de 3ª festa. Non obstante, tamén permite a outros, por exemplo, Yahoo, Gmail e Comcast, para verificar o correo electrónico enviado a eles polo terceiro coma se fose correo electrónico. Isto é beneficioso porque permite que os seus clientes poidan construír a confianza co seu dominio, non importa onde se localice a súa caixa de correo e, ao mesmo tempo, Microsoft 365 non marcará unha mensaxe como spam debido á falla porque pasa comprobacións de autenticación para o seu dominio.

Para obter instrucións sobre a configuración DKIM para o seu dominio, incluída a forma de configurar DKIM para os remitentes de terceiros para que poidan utilizar o seu dominio, consulte Usar DKIM para validar as mensaxes de saída enviadas desde o seu dominio personalizado. Para obter instrucións sobre Configuración de DKIM para o seu dominio, incluíndo a forma de configurar DKIM para os remitentes de terceiros Soy pode apoderarse do seu dominio, consulte Use DKIM para validar o correo electrónico de saída do seu dominio personalizado.

Paso 4: Crea o txt Rexistro DMARC para o seu Forestep 4: Forma o rexistro DMARC TXT para o seu dominio

Aínda que hai opcións de sintaxe que non se mencionan aquí, aquí están o Optio O máis frecuentemente usado para Microsoft 365. Crea o rexistro TXT DMARC para o teu dominio no seguinte formato: Aínda que hai outras opcións de sintaxe que non se mencionan aquí, estas son as opcións máis utilizadas para Microsoft 365. Forma o rexistro DMARC TXT para O seu dominio no formato:

Onde: onde:

  • O dominio é o dominio que desexa protexer. O dominio é o dominio que desexa protexer. Por defecto, o rexistro protexe o correo do dominio e todos os seus subtodomains. Por defecto, o rexistro protexe o correo do dominio e todos os subdominios. Por exemplo, se especifica _dmarc.contoso.com, DMARC protexe o correo deste dominio e todos os seus subdominios, por exemplo utewares.contoso.com ou encanamento .contoso.com. Por exemplo, se especifica _DMarc.Contoso .com, Entón DMARC protexe o correo do dominio e todos os subdominios, como housewares.contoso.com Gold Plumbing.Contoso.com.

  • O valor TTL debe ser sempre equivalente a un O ‘ reloxo. A unidade utilizada para TTL, xa sexa (1 hora), os minutos (60 minutos) ou os segundos (3.600 segundos), varía rexistrando o escritorio do seu dominio. Debe sempre ser o equivalente a unha hora. A unidade utilizada para TTL, calquera hora (1 hora), minutos (60 minutos), segundos de ouro (3600 segundos), variará dependendo do rexistrador do seu dominio.

  • PCT = 100 indica que esta regra debe ser usada para o 100% dos correos electrónicos.PCT = 100 índices que esta regra debe ser utilizada para o 100% do correo electrónico.

  • A política especifica a estratexia que desexa que o servidor de recepción siga se unha mensaxe é rexeitada por DMARC. Pode definir a estratexia en ningunha (ningunha), cuarentena ou rexeitar (rexeitar) .Policy especifica a política que desexa que o servidor recibe siga se o DMARC falla. Pode configurar a política a Ningunha, garantirina, ouro rexeitar.

Para obter máis información sobre as opcións a empregar, familiarizarse cos conceptos da sección Mellor Prácticas para a implementación de DMarc en Microsoft 365.For información sobre as opcións de uso, familiarizarse cos conceptos en mellores prácticas para a implementación de DMarc en Microsoft 365.

Exemplos: Exemplos:

  • Strategy Set on Ningunha (ningunha) Política configurada en ningunha

    _dmarc.contoso.com 3600 IN TXT "v=DMARC1; p=none"
  • Estratexia Establecer en collixencia de corentena (colocar a corentena) a corentena

    _dmarc.contoso.com 3600 IN TXT "v=DMARC1; p=quarantine"
  • Conxunto de estratexia para rexeitar a política (rexeitar) Conxunto de política para rexeitar

    _dmarc.contoso.com 3600 IN TXT "v=DMARC1; p=reject"

Unha vez que creou a súa gravación, debes actualizalo desde a túa mesa de rexistro de dominio. Para obter instrucións sobre a adición de TXT DMARC Gravación aos seus rexistros DNS para Microsoft 365, consulte Crear DNS Records para Microsoft 365 cando xestiona as túas gravacións DNS.Once tes que formular o teu rexistro, debes actualizar o rexistro no teu rexistrador de dominio. Para obter instrucións sobre a adición do disco DMARC TXT aos seus rexistros DNS para Microsoft 365, consulte Crear DNS Records para Microsoft 365 cando xestiona os seus rexistros DNS.

Mellores prácticas para a implementación de DMARC en Microsoft 365Best Prácticas para a implementación DMarc en Microsoft 365

Pode implementar a DMarc gradualmente sen ter repercusións no resto do seu río Courier. Crea e implementa un plan de implementación que segue o procedemento a continuación. Primeiro paso cun subdominio, despois cos demais e, finalmente, co dominio de nivel superior da súa organización antes de pasar ao seguinte paso. Pode impactar a DMarc gradualmente sen impactar o resto do seu fluxo de correo. Crea e implementa un plan de desprazamento que segue estes pasos. Fai cada un destes pasos primeiro cun subdominio, a continuación, outros subdominios, e declace co dominio de nivel superior da túa organización antes de pasar ao seguinte paso.

  1. Controlar os efectos do DMarConitor O impacto da implementación de DMARC

    Comezar cunha única gravación en modo de monitorización para un subdominio ou dominio que require receptores DMARC para enviarlle estatísticas sobre mensaxes. ‘Ven para esta área. Unha gravación no modo de monitorización é un rexistro DMARC TXT cuxa estratexia está configurada a ningunha (p = ningunha). Moitas empresas publiquen unha gravación de TXT DMARC con P = NON, porque non saben exactamente a cantidade de mensaxes que arriscan a perder publicando unha estratexia DMArc máis restrictiva. Startt cun rexistro de modo de seguimento simple para un dominio de ouro de subdominio que Solicitudes que DMarc Repersers envíe as estatísticas sobre mensaxes que buscan usar ese dominio. Un rexistro de moda-fashion é un rexistro DMARC TXT que ten a súa política definida a ningunha (p = ningunha). Moitas empresas publican un disco DMARC TXT con P = Ningún porque non están seguros de canto correo electrónico pode perder publicando unha política DMARC máis restrictiva.

    pode facelo antes de ter implementado SPF ou DKIM en A súa infraestrutura de mensaxería. Non obstante, non poderás obter a corentena ou rexeitar mensaxes usando DMARC ata que tamén implementas SPF e DKIM. Cando configure SPF e DKIM, os informes xerados a través de DMarc proporcionarán o número e fonte de mensaxes que son aceptadas por estes controis, así como os que rexeitaron. Pode determinar facilmente a parte do seu tráfico lexítimo que está cuberto por estas categorías e resolver problemas. Tamén comezará a ver o número de mensaxes fraudulentas enviadas, así como a súa fonte. Pode facelo mesmo antes de implementar SPF Gold DKIM na súa infraestrutura de mensaxería. Non obstante, non poderás efectivamente a corentena de corentena. Rexeita o correo mediante o uso de DMARC UTIL que tamén implementa SPF e DKIM. Como introduciu SPF e DKIM, os informes xerados a través de DMarc proporcionarán os números e fontes de mensaxes que pasen estes cheques e os que non o fan. Pode ver facilmente o que é o seu tráfico lexítimo ou non está cuberto por eles e solucionar problemas. Tamén comezarás a ver cantas mensaxes fraudulentas están sendo séntese e desde onde.

  2. Solicitar sistemas de mensaxes externas para cuarentena o correo que falla aos controis de DMarcrequíde que os sistemas de correo externos de Corentine Mail que falla DMARC

    cando pensas que Todo ou parte do seu tráfico lexítimo está protexido por SPF e DKIM, e vostede sabe o impacto da implementación de DMarc, pode implementar unha estratexia de corentena. Unha estratexia de cuarentena é un rexistro TXT DMARC cuxa estratexia está definida en corentena (P = corentena). Ao facelo, está a pedir receptores DMarc para poñer mensaxes do seu dominio que son negados por DMarc no equivalente local dun ficheiro de correo non desexado en vez de na caixa de entrada dos seus clientes. Cando crees que todo o ouro a maior parte do seu tráfico lexítimo é Protexido por SPF e DKIM, e entende o impacto da implementación de DMARC, pode implementar a política de corentena. Unha política cuantina é un disco DMARC TXT que ten a súa política definida en corentena (P = corentena). Ao facelo, está a pedir a República DMARC para poñer mensaxes do seu dominio que falla DMarc no equivalente local dun cartafol de spam en lugar das caixas de entrada dos seus clientes

  3. Preguntar que o externo Os sistemas de mensaxería non aceptan mensaxes que fallan no DMarcrequíde que os sistemas de correo externos non teñen as mensaxes que fallan DMarc

    O último paso é implementar unha estratexia de rexeitamento. Unha estratexia de rexeitamento é unha gravación de TXT DMARC cuxa estratexia está definida de tal xeito que facer un rexeitamento (P = rexeitar). Cando o fas, estás a pedir receptores DMarc que non acepten mensaxes que fallan no DMarc.The o paso final é a implementación de probas de rexeitar a política. Na política de rexeitamento é un disco DMARC TXT que ten a súa política definida para rexeitar (P = rexeitar). Cando fai isto, está a pedir os datos DMarc que non acepten que fallan os cheques DMarc

  4. Como configurar o DMARC para o subdominio? Como configurar DMARC para subdominio?

    DMARC execútase publicando unha política en forma de rexistro TXT en DNS e é jerárquica (por exemplo, unha estratexia publicada para contoso.com aplicarase ao subdominio .contonos. com a menos que sexa unha estratexia diferente de forma explícita definida para o subdominio) .dmarc publicouse publicando unha política como un rexistro TXT en DNS e é jerárquica (por exemplo, unha política publicada para contoso.com a sub.domain .contonos.com a menos que teña unha política diferente disinca para o Subdominio). Isto é útil porque as organizacións poden especificar un número menor de gravacións DMARC de alto nivel para unha maior cobertura. Isto é útil cando as organizacións poden ser capaces de especificar unha menor cantidade de rexistros de DMARC de alto nivel para unha cobertura máis ampla. Teña coidado de configurar os rexistros DMARC do subdominio explícito onde non quere subdominios para herdar o dominio de nivel superior dmulc.care ser tomado para configurar os rexistros DMARC do subdominio explícito onde non quere que os subdominios herden o rexistro DMARC de nivel superior.

    Tamén podes engadir unha política de tipo xenérico para DMAC cando os subdominios non deberían enviar correo electrónico, engadindo o valorsp=reject. Tamén podes engadir unha política de tipo comodín para DMARC Cando os subdominios non deberían enviar correo electrónico, engadindo o valor sp=reject. Por exemplo: por exemplo:

    _dmarc.contoso.com. TXT "v=DMARC1; p=reject; sp=reject; ruf=mailto:[email protected]; rua=mailto:[email protected]"

Xestión de mensaxes electrónicas de saída que fallan en DMARC CHECKS en Microsoft 365How Microsoft 365 Mangueira Outbound correo electrónico que falla DMARC

Se unha mensaxe de saída de Microsoft 365 falla aos controis DMARC e que definiu a estratexia de P = cuarentena (en corentena) ou P = rexeitar (rexeitamento), a mensaxe é enrutada a través de Piscina de desconto de risco máis elevada para as mensaxes de saída. A mensaxe está saída de Microsoft 365 e falla DMarc, e estableceu a política de P = corentena Gold P = Rexeita, a mensaxe é a estrada a través da piscina de entrega de alto risco para as mensaxes de saída. Os correos electrónicos de saída non son esmagados. Non hai ningunha substitución para o correo electrónico de saída.

Se publica unha estratexia de rexeitamento DMARC (P = Rexeita), ningún outro cliente en Microsoft 365 non pode usurpar o seu dominio, porque o As mensaxes non poderán superar os cheques SPF ou DKIM para o seu dominio cando se transmitirá unha mensaxe de saída a través do servizo.Doutra banda, se publica unha estratexia de rexeitamento DMARC, pero que todas as mensaxes de correo electrónico non están autenticadas a través de Microsoft 365, parte destes poden marcarse como correo non desexado para os correos electrónicos entrantes (como se describe arriba)., Ou serán Rexeitouse se non publica SPF e intente transmitilos no sentido saíndo a través do servizo. Isto pode ocorrer, por exemplo, se esqueciches incluír as direccións IP dalgúns servidores e aplicacións que envían mensaxes en nome do teu dominio cando creaches a túa gravación TXT DMARC.If publica unha política de rexeitamento DMARC (P = rexeitar) , ningún outro cliente de Microsoft 365 pode falsificar o seu dominio por que as mensaxes non beable paso SPF ouro DKIM para o seu dominio cando vehicular unha mensaxe de saída a través do servizo. Non obstante, se publicas unha política de rexeitamento DMARC, pero non tes todo o teu correo electrónico autenticado a través de Microsoft 365, algúns deles poden ser marcados como spam por correo electrónico de entrada (como o describen arriba), ou será rexeitado se non o fas Publicar SPF e tratar de relé o saída a través do servizo. Isto ocorre, por exemplo, se se esquece de incluír algúns dos enderezos IP para servidores e aplicacións que envían correo en nome do seu dominio cando forman o seu rexistro DMARC TXT.

Xestión de mensaxes electrónicas entrantes que fallan a Microsoft 365how Microsoft 365 manexa as gráficas de correo electrónico de entrada dmarc

Se a política DMBRC do servidor de envío é p=reject, a protección en liña de intercambio (EOP) marca a mensaxe como a Spoof en vez de rexeitar. Se a política DMARC do servidor de envío é p=reject, a protección en liña de Exchange (EOP) marca a mensaxe como Spoof en vez de rexeitar. Noutras palabras, para as mensaxes entrantes, Microsoft 365 procesos p=reject e p=quarantine do mesmo xeito.in outras palabras, para o correo electrónico de entrada, Microsoft 365 trata p=reject e p=quarantine do mesmo xeito. Os administradores poden definir a acción que se realizará nas mensaxes clasificadas como a usurpación de identidade na estratexia anti-hamada. Admins pode definir a acción a tomar as mensaxes clasificadas como Spoof dentro da política anti-phishing.

Microsoft 365 Está configurado deste xeito, porque algunhas mensaxes lexítimas poden fallar no DMarc.Microsoft 365 está configurado así porque algúns correos electrónicos lexítimos poden fallar DMARC. Este pode ser o caso, por exemplo, se se envía unha mensaxe a unha lista de transmisión que os transmiten a todos os seus participantes. Por exemplo, unha mensaxe pode fallar dmarc se se envía a unha lista de correo que logo retrata a mensaxe a todos Lista participantes. Se Microsoft 365 rexeita estes correos electrónicos, os destinatarios poden perder mensaxes lexítimas sen ter algunha maneira de recuperala. Se Microsoft 365 rexeitou estas mensaxes, a xente podería perder un correo electrónico lexítimo e non ter forma de recuperala. É por iso que, con esta configuración, estas mensaxes aínda se rexeitan por DMarc, pero, en vez de ser rexeitadas, están marcadas como correo de correo indesexables, estas mensaxes aínda fallarán a DMARC pero serán marcadas como spam e non rexeitaron. Se é necesario, os usuarios aínda poden acceder a estas mensaxes na súa caixa de entrada a través dos seguintes métodos: se o desexa, os usuarios aínda poden obter estas mensaxes na súa caixa de entrada a través destes métodos:

  • usuarios engadidos individualmente Os remitentes que utilizan o seu cliente de correo. Users Engadir remitentes seguros individualmente empregando o seu cliente de correo electrónico.

  • Os administradores poden actualizar a intelixencia de informes contra o roubo de identidade para permitir a usurpación. Os distribuidores poden actualizar a Spoof Informes de intelixencia para permitir a spoof

  • Os administradores crean un intercambio de regras de fluxo de mensaxería (tamén chamado regra de transporte) para todos os usuarios que autorizan a transmisión de mensaxes destes cargadores específicos. Administradores crean Unha regra de fluxo de correo de Exchange (tamén coñecida como regra de transporte) para todos os usuarios que permitan mensaxes para aqueles remitentes particulares.

Se queres saber máis, visite as listas de envíos aprobadas para crear máis información, consulte Crear Sender seguro.

Como Microsoft 365 usa unha canle autenticada (ARC) como Microsoft 365 Utilidades Chain autenticada (ARC)

Todas as caixas de correo aloxadas en Microsoft 365 agora debuxan a festa de ARC con mellor entrega de mensaxes e unha protección mellorada contra a usurpación D identity.All Hosted Caixas de correo en Microsoft 365 agora gañará a prestación de arco con melloración mellorada de mensaxes e protección anti-fallante mellorada.ARC retén os resultados de autenticación de correo de todos os intermediarios participantes ou saltos, cando un correo electrónico está dirixido a partir do servidor orixinal á caixa de correo do destinatario, conserva os resultados de autenticación por correo electrónico a partir de todos os intermediarios participantes, o hop de ouro, cando un correo electrónico é a estrada desde o servidor orixinario da caixa de correo do destinatario. Antes do arco, as modificacións realizadas por intermediarios no enrutamento de correo electrónico, como as regras de transferencia ou as sinaturas automáticas, poderán producir fallos de DMARC no momento en que os correos electrónicos alcanzan a caixa de correo do destinatario. Antes de Arc, modificacións realizadas por intermediarios no enrutamento de correo electrónico, como reenvío Regras Sinaturas automáticas de ouro, COUD Causa DMARC Fallas Ata o momento en que o correo electrónico chegou á caixa de correo do destinatario. Con Arc, a preservación de cifrado de resultados de autenticación permite a Microsoft 365 comprobar a autenticidade do remitente dun correo electrónico. Con arco, a preservación criptográfica dos resultados de autenticación permite a Microsoft 365 verificar a autenticidade do remitente do correo electrónico.

Microsoft 365 usa o arco para comprobar os resultados de autenticación cando Microsoft é o sellador de arco, pero planea engadir soporte para selantes de arco de terceiros no futuro. Microsoft 365 actualmente utiliza o arco para verificar os resultados da autenticación cando Microsoft é o Sellador de ARC para verificar Para engadir soporte para selantes de arco de terceiros no futuro.

Resolución de problemas Problemas de implementación de DMarctoublehooting a súa implementación DMARC

Se EOP non é a primeira entrada dos rexistros MX no seu dominio, As políticas DMARC en caso de cheques non se aplicarán para o teu dominio. Configuraches o teu Os rexistros MX de dominio onde EOP non é a primeira entrada, non se aplicarán fallos de DMARC para o seu dominio.

Se vostede é un cliente e que a gravación MX principal do seu dominio non apunta a EOP, o fai Non se beneficia da protección do DMarc.if está no cliente, eo rexistro MX do seu dominio non apunta a EOP, non obterá os beneficios do DMarc. Por exemplo, DMarc non funciona se a gravación MX apunta ao seu servidor de correo local e que os correos electrónicos son encamiñados a EOP usando un conector de exemplo, DMARC non funcionará se apunta o rexistro MX ao seu Servidor de correo electrónico e logo de correo electrónico de estrada a EOP usando un conector. Neste caso, o dominio de recepción é unha das súas áreas de aceptación, pero EOP non é o principal disco MX.in este escenario, o dominio receptor é un dos seus dominios aceptados pero EOP non é o MX primario. Por exemplo, supoña que a gravación MX de contoso.com apunta a contoso.com e que o EOP é usado como gravación de MX secundaria. A gravación MX de Contoso.com é a continuación, a continuación: Por exemplo, asume contoso.com os seus puntos MX en si mesmos e usa EOP como un rexistro de MX secundaria, o rexistro MX de Contoso.com parece o seguinte:

V

contoso.com 3600 IN MX 0 mail.contoso.comcontoso.com 3600 IN MX 10 contoso-com.mail.protection.outlook.com

O conxunto ou a maioría das mensaxes de correo electrónico avanzarán por correo electrónico a mail.contoso.com, xa que é a gravación MX principal, antes de ser reenviada para intercambiar protección en liña. Todos , O ouro máis, o correo electrónico primeiro será o primeiro. Nalgúns casos, EOP nin sequera está presente na lista de rexistros e conectores de MX simplemente configurados para dirixir mensaxes electrónicas. Nalgúns casos, pode que nin sequera a lista EOP como un rexistro MX e simplemente conecte conectores para percorrer o seu Correo electrónico. Non é necesario que o EOP sexa a primeira entrada da validación DMARC a facer .eop non ten que ser a primeira entrada para a validación DMARC a facer. É simplemente garantir a validación porque é imposible asegurarse de que todos os servidores locais / non-office 365 realizan verificacións dmarc.It só garante a validación, xa que non podemos estar seguros de que todos os servidores en premisa / non O365 farán DMarc Comprobacións. DMARC é elegível para ser aplicado ao dominio dun cliente (e non ao servidor) cando configura o rexistro DMARC TXT, pero devolve ao servidor receptor para que realmente realice a aplicación.DMarc é elegível para o dominio dun cliente (Non servidor) Cando configura o rexistro DMARC TXT, pero depende do servidor de recibos para realmente facer a execución. Se configura EOP como servidor de recepción, a función EOP procede á aplicación DMarc.Sh configura o EOP como o servidor de reciba, entón EOP fai o DMArcagement.

un gráfico de resolución de problemas para DMARC, proporcionado por Daniel Mande

Para máis información para máis información

Quere máis Información sobre DMARC? Estes recursos poden axudarche. Máis información sobre DMARC? Estes recursos poden axudar.

  • Os encabezados de mensaxes de correo electrónico non desexados inclúen os campos de sintaxe e cabeceira utilizados por Microsoft 365 para os encabezados de mensaxes DMarc.anti-Spam que inclúen os campos de sintaxe e cabeceira empregados por Microsoft 365 para cheques DMarc.

  • Ver a serie de formación DMARC M3AAWG (mensaxería, malware, grupo de traballo anti-abuso móbil). Take The DMarc Training Series de M3AAWG (Mensaxería, Malware, grupo de traballo anti-abuso móbil).

  • Use a lista de verificación ofrecida por Dmarcian.USE a lista de verificación en DMarcian.

  • Vaia directamente á fonte en dmarc.org.go directamente á fonte en dmarc.org.

Ver tamén Aussisee tamén

Como Microsoft 365 Utiliza SPF (Marco de política de remitente) Para evitar o usurpationhow de Microsoft UsurPationChow 365 Usa Marco de Política de Sender (SPF) para evitar a Spoofing

Configurar SPF en Microsoft 365 para evitar a usurpura e UP SPF en Microsoft 365 para axudar a previr Spoofing

Usando DKIM para validar as mensaxes de saída enviadas do seu dominio personalizado en Microsoft 365USE DKIM para validar Outbound Email Fey de dominio personalizado en Microsoft 365

Leave a comment

O teu enderezo electrónico non se publicará Os campos obrigatorios están marcados con *