• 18/02/2021
  • 15 minutos de jogo
    • m

Importante

a microsoft 365 Centro de Segurança agora está disponível em preparação pública. O Melhorado Microsoft 365 Security Center está agora disponível na visualização pública. Essa nova experiência introduziu defesa para o ponto de rescisão, defensor para o Office 365, o Microsoft 365 Defender e muito mais no Microsoft Security Center 365.Esta nova experiência traz defensor para o terminal, defensor para o Office 365, Microsoft 365 Defender, e mais para o Microsoft 365 Centro de Segurança. Descubra notícias.Aprenda o que é novo. Este tópico pode ser aplicado ao defensor da Microsoft para o Office 365 e o Microsoft 365 Defender.Este tópico pode para o Defensor da Microsoft para o Office 365 e o Microsoft 365 Defender. Por favor, consulte a seção aplica-se e, em seguida, procure por chamadas específicas neste artigo em que as diferenças podem exister.refer para os aplicativos à seção e procurar por chamadas específicas neste artigo em que há artigo.

Aplica-se ao aplicativo para

  • Exchange Online Protexchange Proteção on-line
  • Microsoft Defender para o Office 365 Plano 1 e Plano 2Microsoft Defender para o Gabinete 365 Plano 1 e Plano 2
  • Microsoft 365 DefendeMicrosoft 365 Defender

Autenticação de mensagens, relatórios e conformidade baseados em domínio (DMARC) usa SPF (Framework de política do remetente) e DKIM (Domínio identificados para autenticar e- Remetentes de correio e assegure-se de que os sistemas de mensagens de destino aceitem mensagens enviadas de seu domínio como confiável. Autenticação de mensagens, relatórios e conformidade com base em Domain (DMARC) com trabalhos com a Framework de Políticas do Remetente (SPF) e o Mail identificados (DK Im) para autenticar remetentes de correio e garantir que os sistemas de e-mail de destino confiem em mensagens do seu domínio. A implementação do DMARC com SPF e DKIM fornece proteção adicional contra a usurpação e martelos. Implementação de DMARC com SPF e DKIM Provids Proteção adicional contra spoofing e e-mail de phishing. DMARC permite que os sistemas de mensagens de recepção para determinar o que precisam fazer mensagens enviadas de seu domínio que são rejeitadas pelo SPF ou DKIM.Dmarc Ajuda a receber sistemas de e-mail a determinar o que fazer com mensagens desprezadas a partir do seu domínio que falham verificações de dkim de ouro SPF.

Visite o Catálogo Inteligente de Associação de Segurança da Microsoft (MISA) para visualizar provedores de terceiros que oferecem relatórios DMARC para o Microsoft 365.Visit o catálogo de Associação Microsoft Intelligent Security Association (MISA) para visualizar o terceiro -Party oferecendo relatórios DMARC para o Microsoft 365.

Como o SPF e o DMARC trabalharão juntos para proteger mensagens de e-mail no Microsoft 365? Como o SPF e o DMARC trabalham juntos para proteger o e-mail no Microsoft 365 ?

Uma mensagem de e-mail pode conter vários endereços originais (ou remetentes). A mensagem de e-mail pode conter vários endereços do Remetente de Ouro Origator. Esses endereços são usados para fins diferentes. Estes endereços são usados para fins diferentes. Por exemplo, faça os seguintes endereços: Por exemplo, considere esses endereços:

  • endereço “mail de”: indica o remetente e o local onde enviar as notificações de retorno em caso de problemas A entrega de mensagens, como notificações de falha de desconto. “Mail from” Endereço: Identifica o remetente e especifica onde enviar o retorno se algum problema ocorrer com a entrega da mensagem, como avisos de não entrega. Ele aparece na parte do envelope de um e-mail e geralmente não é exibido pelo aplicativo de e-mail.Este aparece na parte do envelope de uma mensagem de e-mail e geralmente não é exibida pelo seu aplicativo de e-mail. Às vezes é chamado de endereço 5321.mailfrom ou caminho inverso.Isso é chamado de endereço 5321.mailfrom ou o endereço do caminho reverso.

  • l ‘de “: l’ Endereço exibido como um endereço original pelo seu aplicativo de e-mail. “De” para endereço: o endereço exibido como o endereço do endereço do seu aplicativo de e-mail. Este endereço indica o autor de e-mail.Este endereço identifica o autor do email. Em outras palavras, indica a caixa de correio da pessoa ou sistema responsável por escrever a mensagem.que é, a caixa de correio da pessoa ou sistema responsável por escrever a mensagem. Às vezes, é chamado de endereço 5322.fra.Este é às vezes chamado de 5322.de endereço.

SPF usa uma gravação de DNS TXT para fornecer a lista de endereços IP de envio autorizado para um determinado domínio. Como regra geral, os cheques SPF são executados apenas para o endereço 5321.mailfrom. Isso significa que o endereço 5322.From não é autenticado quando você usa apenas SPF. Você pode se encontrar no caso em que um usuário recebe uma mensagem que foi aceita pelo SPF Check, mas tenha um endereço de despacho 5322.drom usured. Tome por exemplo, a seguinte transcrição SMTP: SPF usa para o registro do DNS TXT para fornecer uma lista de endereços IP de envio automático para um determinado domínio. Normalmente, as verificações SPF são apenas realizadas apenas em relação ao endereço 5321.mailfrom. Isso significa que o endereço 5322.From não é autenticado quando você usa SPF por si só. Isso permite um cenário em que um usuário pode receber um chicote de mensagem passa uma verificação do SPF, mas tem falsificado 5322.co.in. Por exemplo, considere esta transcrição SMTP:

S: Helo woodgrovebank.comS: Mail from: [email protected]: Rcpt to: [email protected]: dataS: To: "Andrew Stobes" <[email protected]>S: From: "Woodgrove Bank Security" <[email protected]>S: Subject: Woodgrove Bank - Action requiredS:S: Greetings User,S:S: We need to verify your banking details.S: Please click the following link to verify that we have the right information for your account.S:S: https://short.url/woodgrovebank/updateaccount/12-121.aspxS:S: Thank you,S: Woodgrove BankS: .

Nesta transcrição, os endereços do remetente são os seguintes: Nesta transcrição, os endereços do remetente são os seguintes :

Se você tiver configurado SPF, o servidor de recepção executará uma verificação no correio de [email protected] Se o e-mail vier de uma fonte válida para o domínio Phishing.contoso.com, o controle SPF aceita a mensagem. Como o cliente de e-mail exibe apenas o endereço, o usuário vê que esta mensagem veio de seguranç[email protected] Com SPF sozinho, a validade do endereço WoodgroveBank.com nunca foi autenticada.ive você configurou SPF, então o servidor do receptor executa uma verificação contra o endereço do endereço [email protected] Se a mensagem vier de uma fonte válida para o domínio phishing.contoso.com, então a verificação do SPF passa. O pecado O cliente de e-mail exibe apenas o endereço do endereço, o usuário vê que esta mensagem veio de seguranç[email protected] Com o SPF sozinho, a validade do WoodgroveBank.com nunca foi autenticada.

Ao usar DMARC, o servidor de recepção também executa um endereço no endereço. No exemplo acima, se houver um registro DMARC TXT para WoodgroveBank.com, a verificação do endereço de proveniência rejeita este.Quando você usa DMARC, o servidor do receptor também executa uma verificação contra o endereço do endereço. No exemplo acima, se houver um registro DMARC TXT no lugar para WoodgroveBank.com, a verificação contra o endereço do endereço falhará.

O que é gravação de txt dmarc? O que é um registro DMARC TXT?

Like os registros DNS para SPF, a gravação para DMARC é um registro DNS no formato de texto (TXT) que impede a usurpação de identidade e phishing. Você publica os registros TXT DMARC no sistema DNS. Os registros TXT DMARC validam a origem das mensagens eletrônicas, comparando o endereço IP do autor do e-mail para o da chamada área de envio. O TXT DMARC Gravar identifica permissão de servidores de correio de saída. Os sistemas de e-mail de destino podem então verificar se as mensagens recebidas são permitidas dos servidores de mensagens permitidos. Como os registros DNS para SPF, o registro para DMARC é um registro de texto DNS (TXT) que ajuda a evitar falsificação e phishing. Você publica registros DMARC TXT no DNS. Os registros DMARC TXT validam a origem das mensagens de e-mail, verificando o endereço IP do autor de um e-mail contra o suposto proprietário do domínio de envio. O registro DMARC TXT identifica servidores de e-mail de saída autorizados. Os sistemas de e-mail de destino podem verificar se as mensagens que recebem são originadas de servidores de e-mail de saída autorizados.

Um registro do Microsoft TXT DMARC é o seguinte: O registro DMARC TXT do Microsoft parece algo assim:

_dmarc.microsoft.com. 3600 IN TXT "v=DMARC1; p=none; pct=100; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1"

Microsoft envia seus relatórios DMBRC para Agari, um sistema de terceiros. Microsoft envia seus relatórios DMARC para Agari, um terceiro. Agari recolhe e analisa o DMARC.agari coleta e analisa relatórios DMARC. Visite o catalog do Microsoft Intelligent Security Association (MISA) para visualizar fornecedores de terceiros que oferecem relatórios DMARC para o Microsoft 365.Por favor, visite o catálogo da MISA para visualizar mais visitante de terceiros oferecendo relatórios DMARC para Microsoft 365.

Implementar DMARC para mensagens de entrada para mensagens de entrada

Você não tem nada a ver para configurar DMARC para as mensagens que você recebe no Microsoft 365. Nós cuidamos de tudo.Se você quiser descobrir o que está acontecendo para o e-mail rejeitado por nossos cheques DMARC, consulte Gerenciamento de mensagens eletrônicas recebidas que falham em verificações dmarc no Microsoft 365.Você não precisa fazer uma coisa para configurar o DMARC para e-mails que você recebe na Microsoft 365. Nós cuidamos de tudo para você. Se você deseja aprender o que acontece com o correio que não passa por passar nossos cheques dmarc, veja como o Microsoft 365 lida com e-mails de entrada que falha DMARC.

Implementar DMARC para mensagens de saída do Microsoft 365Print DMARC para o Microsoft 365

Se você estiver usando o Microsoft 365, mas não um domínio personalizado, ou seja, você usa OnMicrosoft.com, basta configurar ou implementar DMARC para sua organização. O SPF já está configurado para você e o Microsoft 365 gera automaticamente uma assinatura DKIM para suas mensagens de saída. Para obter mais informações sobre essa assinatura, consulte Comportamento padrão para o DKIM e Microsoft 365.ive você usa o Microsoft 365, mas você não está usando um domínio personalizado, ou seja, você usa OnMicrosoft.com, você não precisa fazer mais nada para configurar Implemento de ouro DMARC para sua organização. O SPF já está configurado para você e o Microsoft 365 gera automaticamente uma assinatura DKIM para o seu correio de saída. Para obter mais informações sobre essa assinatura, consulte Comportamento padrão para DKIM e Microsoft 365.

Se você tiver um domínio personalizado ou usar servidores locais de câmbio, além do Microsoft 365, você deverá implementar manualmente DMARC para suas mensagens de saída. . A implementação do DMARC para seu domínio personalizado tem as seguintes etapas: Se você tiver um domínio personalizado ou estiver usando servidores do Exchange no local, além do Microsoft 365, você precisará implementar manualmente DMARC para o seu correio de saída. A implementação do DMARC para o seu domínio personalizado inclui estas etapas:

  • Etapa 1: determinar fontes de e-mail válidas para as suas previsões 1: Identifique fontes válidas de e-mail para o seu domínio

  • Etapa 2: Configure SPF para o seu FayStep 2: Configurar SPF para o seu domínio

  • Etapa 3: Configure o DKIM para o seu domínio personalizadoP 3: Configurar DKIM para o seu domínio personalizado

  • Etapa 4: criar txt dmarc Gravação para o seu FayStEP 4: Forme o registro DMARC TXT para o seu domínio

Etapa 1: Determine as fontes de mensagens válidas para o seu FatiesP 1: Identifique fontes válidas de e-mail para o seu domínio

Se você já configurou SPF, você já conhece o procedimento. No entanto, existem considerações adicionais para DMARC. Quando você determina as fontes de e-mail para o seu domínio, há duas perguntas necessárias para responder: Se você já configurou SPF, então você já passou por este exercício. No entanto, para Dmarc, existem considerações adicionais. Quando identifica fontes de correio para o seu domínio, há duas perguntas que você precisa responder:

  • Quais endereços IP enviam mensagens do meu domínio? Quais endereços IP enviam mensagens do meu domínio?

  • para mensagens enviadas por terceiros da minha parte, faça os domínios 5321.mailfrom e 5322.de corresponderem? Para e-mail sentir de terceira partes em meu nome, o 5321.mailfrom e 5322.From domínios partem?

passo 2: configure spf para o seu Faystep 2: Configurar SPF para o seu domínio

Agora, quer você tenha uma lista De todos os seus remetentes válidos, você pode seguir as etapas para configurar o SPF para evitar a usurpação de. Agora você tem uma lista de todos os seus remetentes válidos Você pode seguir as etapas para configurar SPF para ajudar a evitar falsificação.

Por exemplo, assumindo que a Contoso.com envia o Mail do Exchange Online, um servidor de Exchange local cujo endereço IP é 192.168.0.1 e um aplicativo de Don Web O endereço IP é 192.168.100.100, a gravação TXT SPF seria assim: por exemplo, assumindo a contoso.com envia o e-mail do Exchange Online, um servidor de Exchange no local cujo endereço IP é 192.168.0.1, e um aplicativo da web Endereço IP é 192.168.100.100, o SPF TXT Grave parece este:

contoso.com IN TXT " v=spf1 ip4:192.168.0.1 ip4:192.168.100.100 include:spf.protection.outlook.com -all"

Para obter melhores resultados, verifique se a sua gravação TXT SPF leva em conta terceiro terceiro carregadores , Certifique-se de que o seu registro SPF TXT leva em conta os remetentes de terceiros.

Etapa 3: Configure o DKIM para o seu DomainP 2: Configure o DKIM para o domínio personalizado

Depois de ter SPF configurado, você deve configurar o DKIM. O DKIM permite que você adicione uma assinatura digital a mensagens eletrônicas no cabeçalho da mensagem.Se você não configurar o DKIM e permitir que a Microsoft 365 use a configuração padrão do seu domínio, o DMARC pode rejeitar as mensagens. De fato, a configuração padrão do DKIM usa seu domínio onmicrosoft.com como endereço 5322.drom e não seu domínio personalizado. Isso cria uma diferença entre os endereços 5321.mailfrom e 5322.de em todas as mensagens enviadas do seu domínio. Unce você configurou SPF, você precisa configurar o DKIM. O DKIM permite que você adicione uma assinatura digital para mensagens de e-mail no cabeçalho da mensagem. Se você não definir o DKIM e permitir que a Microsoft 365 use a configuração padrão do DKIM para seu domínio, o DMARC pode falhar. Isso ocorre porque a configuração padrão do DKIM usa seu domínio inicial onmicrosoft.com como o endereço 5322.from, não seu domínio personalizado. Essas forças têm incompatibilidade entre o 5321.mailfrom e os endereços 5322.from em todos os e-mails sentirem do seu domínio.

Se os remetentes de terceiros enviarem mensagens em seu nome e endereços 5321.Mailfrom e 5322. As mensagens não correspondem, Dmarc rejeitará essa mensagem de e-mail. Para evitar esse problema, você deve configurar o DKIM, configurando especificamente este remetente de terceiros para o seu domínio. Isso permite que a Microsoft 365 autentique as mensagens enviadas por este serviço de terceiros. No entanto, isso também permite que outras entidades, por exemplo, Yahoo, Gmail e Comcast, para verificar o email que é enviado para eles pelo terceiro como se fossem mensagens enviadas por si mesmo. É uma vantagem porque, por um lado, reforça a confiança de que os clientes podem ter em seu campo, qualquer que seja a localização de suas caixas de correio e, por outro, a Microsoft 365 não marcará uma mensagem como spam devido à usurpação de identidade. , porque este e-mail terá sido aceito pelas verificações de autenticação para o seu domínio. Se você tiver remetentes de terceiros que enviam e-mails em seu nome e o e-mail O envio é incompatível 5321.mailfrom e 5322.de endereços, dmarc falhará para esse e-mail. Para evitar isso, você precisa configurar o DKIM para o seu domínio especificamente com esse remetente de terceiros. Isso permite que a Microsoft 365 autentique email deste serviço de terceiros. No entanto, também permite que outros, por exemplo, Yahoo, Gmail e Comcast, para verificar o email enviado para eles pelo terceiro como se fosse email. Isso é benéfico porque permite que seus clientes criem confiança com seu domínio, não importa onde sua caixa de correio esteja localizada e, ao mesmo tempo, o Microsoft 365 não marque uma mensagem como spam devido ao spoofing porque ele passa a autenticação verificações para o seu domínio.

para obter instruções sobre a configuração do DKIM para o seu domínio, incluindo como configurar o DKIM para remetentes de terceiros para permitir que eles usem seu domínio, consulte Usando o DCKIM para validar as mensagens de saída enviadas do seu domínio personalizado. Configurando o DKIM para seu domínio, incluindo como configurar o DKIM para remetentes de terceiros Soy pode spoof seu domínio, consulte o DKIM para validar o e-mail de saída Sinta no seu domínio personalizado.

Etapa 4: Crie o TXT Registro DMARC para o seu FileVeP 4: Forme o registro DMARC TXT para o seu domínio

Embora haja opções de sintaxe que não sejam mencionadas aqui, aqui estão o opro O mais utilizado para o Microsoft 365. Crie o registro TXT DMARC para o seu domínio no seguinte formato: Embora existam outras opções de sintaxe que não são mencionadas aqui, estas são as opções mais usadas para o Microsoft 365. Formam o registro DMARC TXT para Seu domínio no formato:

Onde:

  • domínio é o domínio que você deseja proteger. Domínio é o domínio que você deseja proteger. Por padrão, o registro protege o email do domínio e todos os seus subtodomains. Por padrão, o registro protege o correio do domínio e todos os subdomínios. Por exemplo, se você especificar _dmarc.contoso.com, o DMARC protege o correio deste domínio e todos os seus subdomínios, por exemplo, Housewares.contoso.com ou plumbing.contoso.com.Por exemplo, se você especificar _dmarc.contoso .com, Em seguida, DMARC protege o correio do domínio e todos os subdomínios, como Housewares.contoso.com Gold Plumbing.contoso.com.

  • O valor TTL deve ser sempre equivalente a um O ‘ relógio. A unidade usada para TTL, se (1 hora), os minutos (60 minutos) ou segundos (3,600 segundos), varia registrando a área de trabalho Seu domínio.ttl deve ser sempre o equivalente a uma hora. A unidade usada para TTL, qualquer hora (1 hora), minutos (60 minutos), segundos de ouro (3600 segundos), variará dependendo do registrador para o seu domínio.

  • PCT = 100 indica que esta regra deve ser usada para 100% dos e-mails.PCT = 100 índices que esta regra deve ser usada para 100% do email.

  • Política Especifica a estratégia que você deseja que o servidor de recepção segue se uma mensagem for rejeitada pela DMARC. Você pode definir a estratégia em nenhum (Nenhum), quarentena ou rejeitar (rejeitar) .Policy especifica qual política você deseja que o servidor de recebimento segue se dmarc falhar. Você pode definir a política para nenhum, rejeição de ouro.

Para obter mais informações sobre as opções para usar, familiarizar-se com os conceitos da seção de práticas recomendadas para a implementação de DMARC no Microsoft 365. para obter informações sobre quais opções para usar, familiarizar-se com os conceitos nas melhores práticas para implementar DMARC no Microsoft 365.

Exemplos: exemplos:

  • Estratégia definida em nenhuma política (nenhum) definido como nenhum

    _dmarc.contoso.com 3600 IN TXT "v=DMARC1; p=none"
  • Estratégia definida no conjunto de políticas de quarentena (colocar quarentena) Para quarentena

    _dmarc.contoso.com 3600 IN TXT "v=DMARC1; p=quarantine"
  • Definir estratégia para rejeitar (rejeitar) definido para rejeitar

    _dmarc.contoso.com 3600 IN TXT "v=DMARC1; p=reject"

Depois de criar sua gravação, você deve atualizá-la do seu registro de registro de domínio. Para obter instruções sobre como adicionar a gravação do TXT DMARC para seus registros DNS para o Microsoft 365, consulte Criar registros DNS para o Microsoft 365 quando você gerencia suas gravações DNS.Once que você execute seu registro, você precisa atualizar o registro em seu registrador de domínio. Para obter instruções sobre como adicionar o registro DMARC TXT a seus registros DNS para o Microsoft 365, consulte Criar registros DNS para o Microsoft 365 quando você gerenciar seus registros DNS.

Melhores práticas para a implementação do DMARC em Microsoft 365best práticas para implementação DMARC no Microsoft 365

Você pode implementar DMARC gradualmente sem ter uma repercussão no resto do seu fluxo de correio. Crie e implemente um plano de implantação que segue o procedimento abaixo. Primeiro passo com um subdomínio, depois com os outros e, finalmente, com o domínio de nível superior da sua organização antes de se mudar para a próxima etapa. Você pode impactar a DMARC gradualmente sem afetar o resto do seu fluxo de correio. Crie e implemente um plano de roll-out que segue essas etapas. Faça cada uma dessas etapas primeiro com um subdomínio, em seguida, outros subdomínios e finalmente com o domínio de nível superior em sua organização antes de passar para a próxima etapa.

  1. Controle os efeitos do DmarConitor O impacto da implementação de DMARC

    com uma única gravação no modo de monitoramento para um subdomínio ou domínio que requer que os receptores Dmarc enviem estatísticas sobre as mensagens. “Eles vêem para esta área.” Uma gravação no modo de monitoramento é um registro TXT DMARC cuja estratégia é definida como Nenhum (p = nenhum). Muitas empresas publicam uma gravação de TXT DMARC com P = Non, porque eles não sabem exatamente a quantidade de mensagens que arriscam a perda de publicação de uma estratégia de DMARC mais restritiva.Start com um simples registro de modo de monitoramento para um domínio de ouro do sub-domínio que Solicita que os repetidores Dmarc enviem estatísticas sobre postos que buscam usar esse domínio. Um registro de moda de monitoramento é um registro DMARC TXT que possui sua política definida como Nenhum (p = nenhum). Muitas empresas publicam um registro dmarc txt com p = nenhum porque eles não têm certeza sobre quanto e-mail eles podem perder publicando uma política dmarc mais restritiva.

    Você pode fazer isso antes mesmo de ter implementado SPF ou DKIM sua infraestrutura de correio. No entanto, você não será capaz de colocar em quarentena ou recusar mensagens usando DMARC até que você também implemente SPF e DKIM. Quando você configura SPF e DKIM, os relatórios gerados via DMARC fornecerão o número e a fonte de mensagens aceitas por esses controles, bem como as recusadas. Você pode determinar facilmente a parte do seu tráfego legítimo que é coberto por essas categorias e resolver problemas. Você também começará a ver o número de mensagens fraudulentas enviadas, assim como sua fonte. Você pode fazer isso mesmo antes de implementar o SPF Gold DKIM em sua infraestrutura de mensagens. No entanto, você não poderá efetivamente emarantemente o correio de rejeição de ouro usando o DMARC Util, você também implementa o SPF e o DKIM. Como você introduziu SPF e DKIM, os relatórios gerados por meio do DMARC fornecerão os números e fontes de mensagens que passam esses cheques e aqueles que não. Você pode ver facilmente quanto do seu tráfego legítimo é ou não é coberto por eles e solucionar problemas de problemas. Você também começará a ver quantas mensagens fraudulentas estão sendo sente e de onde.

  2. Solicitar sistemas de mensagens externas para colocar o correio que falha nas verificações de dmarcrequest que o correio de quarentena de sistemas de correio externos que falham DMARC

    quando você acha que Tudo ou parte do seu tráfego legítimo é protegido por SPF e DKIM, e você sabe o impacto da implementação do DMARC, você pode implementar uma estratégia de quarentena. Uma estratégia de quarentena é um registro DMARC TXT cuja estratégia é definida para quarentena (p = quarentena). Ao fazer isso, você está pedindo aos receptores DMARC para colocar mensagens do seu domínio que são negadas por DMARC no equivalente local de um arquivo de correspondência indesejado, em vez da caixa de entrada de seus clientes. Quando você acredita que toda a maior parte do seu tráfego legítimo é Protegido pelo SPF e pelo DKIM, e você entende o impacto da implementação do DMARC, você pode implementar a política de quarentena. Uma política quantina é um registro DMARC TXT que possui sua política definida para quarentena (p = quarentena). Ao fazer isso, você está perguntando a DMARC Reigsal para colocar mensagens do seu domínio que falham DMARC no equivalente local de uma pasta de spam, em vez de as caixas de entrada de seus clientes

  3. Peça que o externo Os sistemas de mensagens não aceitam mensagens que falham no DMARCrequest que os sistemas de correio externos não são aceitas postagens que falham DMARC

    O passo final é implementar uma estratégia de rejeição. Uma estratégia de rejeição é uma gravação TXT DMARC cuja estratégia é definida de forma a fazer uma rejeição (p = rejeitar). Quando você faz isso, você está pedindo aos receptores DMARC não aceitam mensagens que falham no DMARC.A etapa final é implementar as políticas de rejeição de testes. Na política de rejeição é um registro DMARC TXT que possui sua política definida para rejeitar (p = rejeitar). Quando você faz isso, você está perguntando aos recebimentos de DMARC para não aceitar que falhou os cheques de DMARC

  4. Como configurar DMARC para o subdomínio? Como configurar DMARC para subdomínio?

    dmarc é executado publicando uma política na forma de um registro TXT no DNS e é hierárquico (por exemplo, uma estratégia publicada para contoso.com será aplicada ao subdomínio.Contonos. COM, a menos que uma estratégia diferente seja explicitamente definido para o subdomínio) .dmarc é implementado publicando uma política como um registro de TXT no DNS e é hierárquico (por exemplo, uma política publicada para contoso.com terá sub.domain .contonos.com, a menos que tenha uma política diferente definida explicitamente para o Subdomínio). Isso é útil porque as organizações podem especificar um número menor de registros DMARC de alto nível para maior cobertura.Este é útil, pois as organizações podem ser capazes de especificar um número menor de registros DMARC de alto nível para cobertura mais ampla. Tenha cuidado para configurar os registros do Subdomínio explícito DMARC em que você não deseja que os subdomínios herdam o domínio de nível superior DMulc.care para configurar os registros DMARC do subdomínio explícito, onde você não deseja que os subdomínios herdem o registro DMARC do domínio de nível superior.

    Você também pode adicionar uma política de tipo genérico para DMARC quando os subdomínios não devem enviar email, adicionando o sp=reject valor.also, você pode adicionar uma política de tipo curinga para DMARC Quando os subdomínios não devem enviar e-mail, adicionando o valor sp=reject. Por exemplo: Por exemplo:

    _dmarc.contoso.com. TXT "v=DMARC1; p=reject; sp=reject; ruf=mailto:[email protected]; rua=mailto:[email protected]"

Gerenciamento de mensagens eletrônicas de saída que falham em verificações dmarc no Microsoft 365Compras Microsoft 365. E-mail que falha DMARC

Se uma mensagem de saída do Microsoft 365 falhar nas verificações DMARC e que você definiu a estratégia em p = quarentena (quarentena) ou p = rejeitar (rejeição), a mensagem é roteada via Piscina de desconto de risco maior para mensagens de saída.IVE Mensagem é de saída do Microsoft 365 e falha DMARC, e você definiu a política para P = Quarentine Gold P = Rejeitar, a mensagem é roída através do pool de entrega de alto risco para mensagens de saída. E-mails de saída não são esmagados. Não há substituição para e-mail de saída.

Se você publicar uma estratégia de rejeição DMARC (P = rejeitar), nenhum outro cliente no Microsoft 365 não pode usurpar seu domínio, porque o As mensagens não poderão passar os verificações SPF ou DKIM para seu domínio quando uma mensagem de saída será retransmitida através do serviço.Por outro lado, se você publicar uma estratégia de rejeição DMARC, mas todas as suas mensagens de e-mail não são autenticadas via Microsoft 365, a parte destes pode ser marcada como correspondência indesejada para e-mails recebidos (conforme descrito acima)., Ou eles serão Recusou se você não publicar SPF e tentar transmiti-los no sentido de saída através do serviço. Isso pode acontecer, por exemplo, se você esqueceu de incluir os endereços IP de alguns servidores e aplicativos que enviam mensagens em nome do seu domínio quando você tiver criado sua gravação txt dmarc.Se você publicar uma política de rejeição DMARC (p = rejeitar) , nenhum outro cliente no Microsoft 365 pode spoon seu domínio, porque as mensagens não vão beable para passar o DKIM do SPF Gold para seu domínio ao transmitir uma mensagem de saída através do serviço. No entanto, se você publicar uma política de rejeição DMARC, mas não tiver todo o seu email autenticado através do Microsoft 365, alguns podem ser marcados como spam para e-mail de entrada (descritos acima), ou ele será rejeitado se você não for Publique SPF e tente transmiti-lo através do serviço. Isso acontece, por exemplo, se você esquecer de incluir alguns dos endereços IP para servidores e aplicativos que enviam email em nome do seu domínio quando você forme seu registro DMARC TXT.

gerenciamento de mensagens eletrônicas recebidas que falham Para o Microsoft 365Como Microsoft 365 alças de entrada de e-mail de entrada DMARC

Se a política DMBRC do servidor de envio for p=reject, o Exchange Online Protection (EOP) marca a mensagem como Spoof em vez de rejeição.Se a política dmarc do servidor de envio é p=reject, o Exchange Online Proteção (EOP) marca a mensagem como paródia em vez de rejeição. Em outras palavras, para mensagens recebidas, processos Microsoft 365 p=reject e p=quarantine da mesma maneira. Outras palavras, para e-mail de entrada, Microsoft 365 Trata p=reject e p=quarantine da mesma maneira. Os administradores podem definir a ação a ser executada nas mensagens classificadas como usurpação de identidade na estratégia anti-Hames.Admins pode definir a ação para assumir mensagens classificadas como paródia dentro da política anti-phishing.

Microsoft 365 é configurado dessa maneira, porque algumas mensagens legítimas podem falhar no dmarc.microsoft 365 é configurada como essa porque algum e-mail legítimo pode falhar dmarc. Esse pode ser o caso, por exemplo, se uma mensagem for enviada para uma lista de broadcast que, em seguida, transmiti-las a todos os participantes. Por exemplo, uma mensagem pode falhar dmarc se for enviada para uma lista de discussão que, em seguida, transmitir a mensagem para todos Listar participantes. Se o Microsoft 365 rejeitar esses e-mails, os destinatários poderão perder mensagens legítimas sem ter qualquer maneira de recuperá-los. Se o Microsoft 365 rejeitou essas mensagens, as pessoas poderiam perder e-mails legítimos e não terá como recuperá-la. É por isso que, com essa configuração, essas mensagens ainda são recusadas por DMARC, mas, em vez de serem rejeitadas, elas são marcadas como mensagens indesejáveis. Estas mensagens ainda falharão dmarc, mas serão marcadas como spam e não rejeitadas. Se necessário, os usuários ainda podem acessar essas mensagens em sua caixa de entrada através dos seguintes métodos: Se desejado, os usuários ainda podem obter essas mensagens em sua caixa de entrada por meio desses métodos:

  • usuários adicionam individualmente aprovado Os remetentes usando seus e-mails.Uusers Adicionar remetentes seguros individualmente usando seu cliente de e-mail.

  • Os administradores podem atualizar a inteligência de relatórios contra o roubo de identidade para permitir que o usurpation.Administrators possam atualizar a paródia Relatório de inteligência para permitir a falha.

  • Os administradores criam uma troca de regra de fluxo de correio (também chamada de regra de transporte) para todos os usuários que autorizam a transmissão de mensagens desses carregadores específicos.Administradores criam Uma regra de fluxo de email do Exchange (também conhecida como uma regra de transporte) para todos os usuários que permitem mensagens para esses remetentes específicos.

Se você gostaria de saber mais, visite a página Criar listas de remetentes Aprovados.Para mais informações, consulte Criar remetente seguro.

Como o Microsoft 365 usa um canal autenticado (arco) como Microsoft 365 utilitários autenticados da cadeia recebida (ARC)

Todas as caixas de correio hospedadas no Microsoft 365 agora desenhar a festa de arco com melhor entrega de mensagens e proteção aprimorada em relação à usurpation d Identity.Todas caixas de correio hospedadas no Microsoft 365 agora ganharão o benefício de arco com melhor desempenho de mensagens e proteção aprimorada anti-falsificação.A ARC retém os resultados de autenticação de email de todos os intermediários participantes ou saltos, quando um e-mail é roteado a partir do servidor original para a caixa de correio do destinatário. Preserva que a autenticação de e-mail resulta de todos os intermediários participantes, o Gold Hops, quando um email é a estrada do Servidor de origem para a caixa de correio do destinatário. Antes do ARC, as modificações feitas por intermediários no roteamento de e-mail, como regras de transferência ou assinaturas automáticas, podem resultar em falhas DMARC no momento em que os e-mails atingem a caixa de correio do destinatário. Antes de modificações realizadas por intermediários no roteamento de e-mail, como encaminhamento Regras Gold Automatic Assinaturas, Coud Cause Dmarc Calles no momento em que o email atingiu a caixa de correio do destinatário. Com ARC, a preservação de criptografia de resultados de autenticação permite que a Microsoft 365 verifique a autenticidade do remetente de um e-mail.Com Arc, a preservação criptográfica dos resultados da autenticação permite que a Microsoft 365 verifique a autenticidade do remetente de um e-mail.

Microsoft 365 usa o arco para verificar os resultados da autenticação quando a Microsoft é o selador do arco, mas planeje adicionar suporte para selantes de arco de terceiros no futuro. O Microsoft 365 utiliza atualmente o Arco para verificar os resultados da autenticação quando a Microsoft é o Selador de ARC. Para adicionar suporte a selantes de arco de terceiros no futuro.

Solucionando problemas de implementação de DMarctoubleshooting sua implementação DMARC

Se a EOP não for a primeira entrada dos registros MX em seu domínio, As políticas DMARC em caso de cheques não serão aplicadas para o seu domínio. Você configurou o seu Registros MX do domínio onde a EOP não é a primeira entrada, as falhas DMARC não serão aplicadas para o seu domínio.

Se você é um cliente e que a gravação MX principal do seu domínio não aponta para EOP, você faz Não se beneficie da proteção do DMARC.Se você está no cliente, e o registro MX primário do seu domínio não aponta para a EOP, você não receberá os benefícios do DMARC. Por exemplo, o DMARC não funciona se a gravação MX aponta para o seu servidor de email local e que os e-mails forem roteados para o EOP usando um conector de exemplo, Dmarc não funcionará se você apontar o registro MX para o seu Servidor de correio de instalações e, em seguida, e-mail rodoviário para o EOP usando um conector. Nesse caso, o domínio da recepção é uma das suas áreas aceitas, mas a EOP não é o principal registro MX.No cenário, o domínio receptor é um dos seus domínios aceitos, mas o EOP não é o MX primário. Por exemplo, suponha que a gravação MX de Contoso.com aponta para o próprio Contoso.com e que o EOP é usado como uma gravação secundária MX. A gravação MX de Contoso.com é então da seguinte forma: Por exemplo, assume Contoso.com Seus pontos MX em si e usam o EOP como um registro MX secundário, o registro MX da Contoso.com se parece com o seguinte:

contoso.com 3600 IN MX 0 mail.contoso.comcontoso.com 3600 IN MX 10 contoso-com.mail.protection.outlook.com

A inteira ou a maioria das mensagens de e-mail primeiro encaminhará para o Mail.contoso.com, pois é a principal gravação MX, antes de ser encaminhada para trocar a proteção online. , Ouro mais, o e-mail será primeiro reoudeed para mail.contoso.com, já que é o principal MX e, em seguida, o correio terá caminho para EOP. Em alguns casos, a EOP ainda não está presente na lista de registros e conectores MX são simplesmente configurados para rotear mensagens eletrônicas. Em alguns casos, você pode nem mesmo listar o EOP como um registro MX em tudo e simplesmente conectar conectores para encaminhar seu o email. Não é necessário que a EOP seja a primeira entrada da validação DMARC a ser feita. Oop não precisa ser a primeira entrada para a validação DMARC a ser feita. É simplesmente garantir a validação porque é impossível certificar-se de que todos os servidores locais / não-Office 365 executem verificações dmarc.it apenas garante a validação, pois não podemos ter certeza de que todos os servidores externos / não-O365 farão DMARC Verificações. DMARC é elegível para ser aplicado ao domínio de um cliente (e não para o servidor) quando você configura o registro DMARC TXT, mas ele retorna ao servidor de recebimento para realizar o aplicativo.dmarc é elegível para ser aplicado para o domínio de um cliente (Não servidor) Quando você configura o registro DMARC TXT, mas cabe ao servidor de recibo para realmente fazer a aplicação. Se você configurar o EOP como um servidor de recepção, a função EOP prossegue para o aplicativo dmarc.If você configurar o EOP como o servidor de recibo, e depois o dmarking.

Um gráfico de solução de problemas para DMARC, fornecido por Daniel Mande

Para mais informações para mais informações

Quer mais Informações sobre DMARC? Esses recursos podem ajudá-lo. Ou mais informações sobre DMARC? Esses recursos podem ajudar.

  • Os cabeçalhos de mensagem de e-mail indesejados incluem os campos de sintaxe e cabeçalho usados pelo Microsoft 365 para DMARC.ANTI-SPAM CHECKS Cabeçalhos incluem os campos de sintaxe e cabeçalho usados pelo Microsoft 365 para verificações de DMARC.

  • Consulte a série de treinamento M3aawg DMARC (mensagens, malware, grupo de trabalho anti-abuso móvel). The Dmarc Training Series de m3aawg (mensagens, Malware, grupo de trabalho anti-abuso móvel).

  • Use a lista de verificação oferecida pelo DMcian. Use a lista de verificação no Dmarcian.

  • Vá diretamente para a fonte no dmarc.org.Go diretamente para a fonte em dmarc.org.

ver também aussisee também

Como o Microsoft 365 Usa o SPF (Framework de Políticas do Remetente) para evitar que o Microsoft UsurPationHow 365 use o SPF SPF (SPF) para evitar falsificação

Configure SPF no Microsoft 365 para evitar usurpings e up spf no Microsoft 365 para ajudar a evitar o spoofing

Usar o DKIM para validar as mensagens de saída enviadas de seu domínio personalizado no Microsoft 365Use DKIM para validar o e-mail de saída fey do seu domínio personalizado no Microsoft 365

Leave a comment

O seu endereço de email não será publicado. Campos obrigatórios marcados com *