• 18/02/2021
  • 15 minute de redare
    • m

Important

Microsoft Centrul de securitate 365 este acum disponibil în pregătirea publică. Îmbunătățirea centrului de securitate Microsoft 365 este acum disponibil în previzualizarea publică. Această nouă experiență a introdus apărătorul pentru punctul de reziliere, apărătorul pentru Office 365, Defender Microsoft 365 și multe altele în Centrul de Securitate Microsoft 365.Această experiență aduce apărător pentru punctul final, Defender pentru Fundașul Microsoft 365, și mai mult în Microsoft 365 Centru de securitate. Descoperiți știri.Learn Ce este nou. Acest subiect poate fi aplicat la Microsoft Defender pentru Office 365 și Microsoft 365 Defender.Acest subiect ar putea atât Microsoft Defender pentru Office 365 și Defender Microsoft 365. Consultați secțiunea Se aplică, apoi căutați apeluri specifice în acest articol, unde diferențele pot exista la aplicațiile la secțiunea și căutați apeluri specifice în acest articol, unde există articol.

se aplică la applie la

  • Exchange Online Protexchange Protecție online
  • Microsoft Defender pentru Planul Office 365 și Planul 2Microsoft Defender pentru Planul 1 și Planul 2
  • Microsoft 365 DefenderMroprofter 365 Defender

Autentificarea mesajelor bazate pe domenii, raportarea și conformitatea (DMARC) utilizează SPF (Cadrul de politică expeditorului) și DKIM (Makeys identificate pentru a autentifica e- Mail Tenders și asigurați-vă că sistemele de mesagerie de destinație acceptă mesaje trimise din domeniul dvs. ca autentificare de mesaje bazate pe mesaje de încredere, raportare și conformitate (DMMAR) cu cadru de politică expeditor (SPF) și Mayyys Identificate (DK Im) Pentru a autentifica expeditorii de poștă și asigurați-vă că mesajele de e-mail de destinație se simt din domeniul dvs. Punerea în aplicare a DMARC cu SPF și DKIM oferă protecție suplimentară împotriva uzurpării și ciocănilor. Implementarea DMMC cu SPF și DKIM oferă protecție suplimentară împotriva roboferii și e-mailului de phishing. DMMAR permite sistemelor de mesagerie de recepție pentru a determina ce au nevoie pentru a face mesajele trimise din domeniul dvs. care sunt respinse de SPF sau DKM.DMARC Ajută la primirea sistemelor de poștă electronică Determinați ce să faceți cu mesajele care nu reușesc SPF Gold DKIM verificări

Vizitați catalogul inteligent al Asociației de Securitate al Microsoft (MISA) pentru a vedea furnizorii de terți care oferă rapoarte DMMAR pentru Microsoft 365 .Visit catalogul Microsoft Intelligent Security Association (MISA) pentru a vizualiza a treia -Party oferind Raportarea DMMAR pentru Microsoft 365.

Cum vor lucra împreună SPF și DMMAR pentru a proteja mesajele de e-mail în Microsoft 365? Cum funcționează SPF și DMMAR împreună pentru a proteja e-mailul în Microsoft 365 ?

Un mesaj de poștă electronică poate conține mai multe adrese originale (sau expeditor). Man Mesaj de e-mail poate conține mai multe adrese de derivă de aur de origine. Aceste adrese sunt utilizate în scopuri diferite. Aceste adrese sunt folosite în scopuri diferite. De exemplu, luați următoarele adrese: De exemplu, ia în considerare aceste adrese:

  • adresa „Mail de la”: Indică expeditorul și locația unde să trimită notificările de returnare în cazul problemelor legate de cazuri Livrarea mesajului, cum ar fi notificările de eșec cu discount. „Mail de la” Adresa: Identifică expeditorul și specifică unde să trimiteți returnare dacă apar probleme cu livrarea mesajului, cum ar fi anunțurile non-livrare. Acesta apare în partea plicului unui e-mail și, de obicei, nu este afișată de aplicația de e-mail. Acest lucru apare în porțiunea plicului unui mesaj de e-mail și nu este afișată de obicei prin aplicația dvs. de e-mail. Se numește uneori adresa 5321.mail sau adresa de cale inversă.Acest lucru se numește uneori adresa 5321.mailfrom sau adresa de cale reversă.

  • adresa „de la”: L ” Adresa afișată ca o adresă originală prin aplicația dvs. de e-mail. „De la” la adresa: adresa afișată ca adresă de la aplicația dvs. de poștă electronică. Această adresă indică autorul e-mailului. Această adresă identifică autorul e-mailului. Cu alte cuvinte, indică căsuța poștală a persoanei sau a sistemului responsabil pentru scrierea mesajului. Este, cutia poștală a persoanei sau a sistemului responsabil pentru scrierea mesajului. Se numește uneori adresa 5322.Dași este numită uneori numărul 5322.de.

SPF utilizează o înregistrare TXT DNS pentru a furniza lista de adrese IP autorizate pentru un anumit domeniu. Ca regulă generală, verificările SPF sunt efectuate numai pentru adresa 5321.mail. Aceasta înseamnă că adresa 5322. de la nu este autentificată atunci când utilizați numai SPF. Puteți să vă găsiți în cazul în care un utilizator primește un mesaj care a fost acceptat de verificarea SPF, dar are o adresă de expediere 5322.Dași uzurpată. Luați de exemplu, următorul transcripție SMTP: SPF utilizează în înregistrarea DNS TXT pentru a furniza o listă de adrese IP trimise autorizate pentru un anumit domeniu. În mod normal, verificările SPF sunt efectuate numai față de adresa 5321.mail. Acest lucru înseamnă că adresa 5322.Dhrom nu este autentificată atunci când utilizați SPF de la sine. Acest lucru permite un scenariu în care un utilizator poate primi un mesaj de bici de mesaje o verificare SPF, dar are spoofate 5322.co.in. De exemplu, luați în considerare această transcriere SMTP:

S: Helo woodgrovebank.comS: Mail from: [email protected]: Rcpt to: [email protected]: dataS: To: "Andrew Stobes" <[email protected]>S: From: "Woodgrove Bank Security" <[email protected]>S: Subject: Woodgrove Bank - Action requiredS:S: Greetings User,S:S: We need to verify your banking details.S: Please click the following link to verify that we have the right information for your account.S:S: https://short.url/woodgrovebank/updateaccount/12-121.aspxS:S: Thank you,S: Woodgrove BankS: .

În această transcriere, adresele expeditorului sunt după cum urmează: În această transcriere, adresele expeditorului sunt după cum urmează :

Dacă ați configurat SPF, serverul de recepție efectuează un cec la poșta de la [email protected] Dacă e-mailul a venit dintr-o sursă validă pentru domeniul phishing.contoso.com, controlul SPF acceptă mesajul. Deoarece clientul de poștă electronică afișează doar adresa, utilizatorul vede că acest mesaj a venit de la [email protected] Cu SPF singur, valabilitatea adresei Woodgrovebank.com nu a fost niciodată autentificată. Dacă mesajul a venit dintr-o sursă validă pentru domeniul phishing.contoso.com, atunci verificarea SPF trece. SIN Clientul de e-mail afișează numai adresa de la adresa, utilizatorul vede că acest mesaj a venit de la [email protected] Cu SPF singur, valabilitatea Woodgrovebank.com nu a fost niciodată autentificată.

Când utilizați DMarc, serverul de recepție efectuează, de asemenea, o adresă de la adresa. În exemplul de mai sus, dacă există o înregistrare TXT DMMAR pentru Woodgrovebank.com, verificarea adresei de proveniență respinge acest lucru. Când utilizați DMarc, serverul receptorului efectuează, de asemenea, un cec de la adresa de la de la de la adresa. În exemplul de mai sus, dacă există o înregistrare DMARC TXT în loc pentru Woodgrovebank.com, atunci verificarea împotriva adresei de la de la adresa nu reușește.

Ce este înregistrarea TXT DMMAR? Ce este un dmarc TXT Record?

Ca și înregistrările DNS pentru SPF, înregistrarea pentru DMMAR este o înregistrare DNS în format text (TXT) care împiedică uzura identității și phishingului. Publicați înregistrările TXT DMMAR în sistemul DNS. TXT DMMAR Records validează originea mesajelor electronice prin compararea adresei IP a autorului e-mailului la cea a așa-numitei zone de transport maritim. Înregistrarea TXT DMMAR Identifică serverele de poștă electronică permise. Sistemele de e-mail de destinație pot verifica dacă mesajele primite provin de la servere permise de mesagerie Publicați înregistrările DMARC TXT în DNS. DMMAR TXT Records validează originea mesajelor de e-mail prin verificarea adresei IP a unui autor al unui e-mail împotriva presupusului proprietar al domeniului de trimitere. Recordul DMMAR TXT identifică serverele de e-mail autorizate de ieșire. Destination Email Systems pot apoi să verifice că mesajele pe care le primesc provin de la serverele de e-mail autorizate

_dmarc.microsoft.com. 3600 IN TXT "v=DMARC1; p=none; pct=100; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1"

Microsoft își trimite rapoartele DMMRC către AGARI, un sistem terț.microsoft trimite rapoartele DMMAR către AGARI, o terță parte. AGARI colectează și analizează DMMARC.AGARI colectează și analizează rapoartele DMarc. Vizitați catalogul Microsoft Intelligent Security Association (MISA) pentru a vizualiza furnizorii terți care oferă rapoarte DMarcoft pentru Microsoft 365.please vizitați catalogul MISA pentru a vedea mai mulți vizitatori terți care oferă Raportarea DMMAR pentru Microsoft 365.

Implementare Dmarc pentru mesaje primiteMap pentru e-mail inbound

Nu aveți nimic de făcut pentru a configura DMARC pentru mesajele pe care le primiți în Microsoft 365. Am avut grijă de tot.Dacă doriți să descoperiți ce se întâmplă pentru e-mailurile respinse de cecurile noastre DMMAR, consultați Managementul mesajelor electronice care nu reușesc la verificările DMMAR în Microsoft 365. Nu trebuie să faceți nimic pentru a configura DMarco pentru poșta pe care o primiți în Microsoft 365. Am avut grijă de tot pentru tine. Dacă doriți să aflați ce se întâmplă cu corespondența care nu reușește să transmită cecurile noastre DMMAR, consultați modul în care Microsoft 365 se ocupă de e-mailul de intrare care nu reușește DMarco.

Dacă utilizați Microsoft 365, dar nu un domeniu personalizat, adică folosiți onmicrosoft.com, pur și simplu configurați sau implementați DMMC pentru organizația dvs. SPF este deja configurată pentru dvs. și Microsoft 365 generează automat o semnătură DKIM pentru mesajele dvs. de ieșire. Pentru mai multe informații despre această semnătură, consultați comportamentul implicit pentru DKIM și Microsoft 365.ive pe care îl utilizați Microsoft 365, dar nu utilizați un domeniu personalizat, care este, utilizați onmicrosoft.com, nu este nevoie să faceți altceva pentru a configura Gold implementează DMarc pentru organizația dvs. SPF este deja configurată pentru dvs. și Microsoft 365 generează automat o semnătură DKIM pentru corespondența dvs. de ieșire. Pentru mai multe informații despre această semnătură, consultați comportamentul implicit pentru DKIM și Microsoft 365.

Dacă aveți un domeniu personalizat sau utilizați servere de schimb locale în plus față de Microsoft 365, trebuie să implementați manual DMARC pentru mesajele dvs. de ieșire. . Implementarea DMMAR pentru domeniul dvs. personalizat are următorii pași: Dacă aveți un domeniu personalizat sau utilizați servere de schimb on-premise În plus față de Microsoft 365, trebuie să implementați manual DMarc pentru e-mailul dvs. de ieșire. Implementarea DMMAR pentru domeniul dvs. personalizat include acești pași:

  • Pasul 1: Determinați surse de e-mail valide pentru previziunile dvs. 1: Identificați sursele valabile de poștă pentru domeniul dvs.

  • Pasul 2: Configurare SPF pentru Faystep 2: Configurați SPF pentru domeniul dvs.

  • Pasul 3: Configurați DKIM pentru domeniul dvs. personalizat 3: Configurați DKIM pentru domeniul dvs. personalizat

  • Pasul 4: Creați înregistrarea TXT DMMAR pentru Faystep 4: Formularul înregistrării DMARC TXT pentru domeniul dvs.

Pasul 1: Determinați sursele de mesagerie valide pentru FAIESSP 1: Identificați sursele de poștă valabile pentru domeniul dvs.

Dacă ați configurat deja SPF, știți deja procedura. Cu toate acestea, există considerente suplimentare pentru DMARC. Când determinați sursele de poștă electronică pentru domeniul dvs., există două întrebări pe care trebuie să le răspundeți: Dacă ați stabilit deja SPF, atunci ați trecut deja prin acest exercițiu. Cu toate acestea, pentru DMARC, există considerente suplimentare. Când identifică sursele de poștă pentru domeniul dvs. Există două întrebări pe care trebuie să le răspundeți:

  • Ce adrese IP trimise mesaje din domeniul meu? Ce adrese IP trimit mesaje din domeniul meu?

  • Pentru mesajele trimise de părțile terțe din partea mea, fac domeniile 5321.mailfrom și 5322.De corespund? Pentru simțul poștal al unor terțe părți în numele meu, va fi 5321.mail 5322.de Domenii se potrivesc?

Pasul 2: Configurare SPF pentru Faystep 2: Configurați SPF pentru domeniul dvs.

Acum, dacă aveți o listă Dintre toți expeditorii dvs. valabili, puteți urma pașii pentru a configura SPF pentru a împiedica uzurparea lui. Acum că aveți o listă a tuturor expeditorilor dvs. valabili care puteți urmări pașii pentru a configura SPF pentru a ajuta la prevenirea spoofingului.

P> De exemplu, presupunând că Contoso.com trimite poștă de la Exchange Online, un server de schimb local al cărui adresă IP este 192.168.0.1 și o aplicație Web Don t Adresa IP este 192.168.100.100, înregistrarea TXT SPF ar arăta astfel: De exemplu, presupunând că Contoso.com trimite poștă de la Exchange Online, un server de schimb de loc al cărui adresă IP este 192.168.0.1 și o aplicație web a cărei Adresa IP este 192.168.100.100, înregistrarea SPF TXT arată astfel:

contoso.com IN TXT " v=spf1 ip4:192.168.0.1 ip4:192.168.100.100 include:spf.protection.outlook.com -all"

Pentru cele mai bune rezultate, verificați dacă înregistrarea dvs. TXT SPF ia în considerare a treia expeditor , Asigurați-vă că înregistrarea dvs. SPF TXT ia în considerare expeditorii terță parte.

Pasul 3: Configurați DKIM pentru dvs. personalizat Praf 3: Configurați DKIM pentru domeniul dvs. personalizat

odată ce ați avut Configurați SPF, trebuie să configurați DKIM. DKIM vă permite să adăugați o semnătură digitală la mesajele electronice din antetul mesajului.Dacă nu configurați DKIM și permiteți Microsoft 365 să utilizeze configurația implicită pentru domeniul dvs., DMMAR poate respinge mesajele. Într-adevăr, configurația implicită a DKIM utilizează domeniul dvs. onmicrosoft.com ca adresă 5322.De, și nu domeniul dvs. personalizat. Acest lucru creează o diferență între adresele 5321.mailfrom și 5322. de la toate mesajele trimise de la domeniul dvs..Once ați creat SPF, trebuie să configurați DKIM. DKIM vă permite să adăugați o semnătură digitală la mesajele de e-mail din antetul mesajului. Dacă nu setați DKIM și, în schimb, permiteți Microsoft 365 să utilizeze configurația DKIM implicită pentru domeniul dvs., DMarco poate eșua. Acest lucru se datorează faptului că configurația implicită DKIM utilizează domeniul inițial de onmicrosoft.com ca adresă de 5322., nu domeniul personalizat. Aceste forțe au nepotrivire între cele 5321.mail și cele 5322.de adresele de e-mail din domeniul dvs.

dacă expeditorii terțe trimite mesaje în numele dvs. și adrese 5321.mailfrom și 5322. Din acestea Mesajele nu se potrivesc, DMMAR va respinge acest mesaj de poștă electronică. Pentru a evita această problemă, trebuie să configurați DKIM prin setarea specifică acestui terț expeditor pentru domeniul dvs. Acest lucru permite Microsoft 365 să autentifice mesajele trimise de acest serviciu terț. Cu toate acestea, acest lucru permite, de asemenea, alte entități, de exemplu, Yahoo, Gmail și Comcast, pentru a verifica e-mailul care le este trimis de către terța parte ca și cum ar fi mesaje trimise de dvs. Este un avantaj deoarece, pe de o parte, consolidează încrederea că clienții pot avea în câmpul dvs., indiferent de locația cutiilor poștale și, pe de altă parte, Microsoft 365 nu va marca un mesaj ca spamul datorită uzurpării identității , pentru că acest e-mail va fi acceptat de verificările de autentificare pentru domeniul dvs.. Dacă aveți expeditori terți care trimit poștă în numele dvs. și poșta Trimitei a înregistrat 5321.mailfrom și 5322.de adresele, DMarco va eșua pentru e-mailul respectiv. Pentru a evita acest lucru, trebuie să configurați DKIM pentru domeniul dvs. special cu acel expeditor terță parte. Acest lucru permite Microsoft 365 să autentifice e-mailul de la acest serviciu 3-partid. Cu toate acestea, îi permite, de asemenea, altora, de exemplu, Yahoo, Gmail și Comcast, să verifice e-mailurile trimise de către terța parte ca și cum ar fi e-mail. Acest lucru este benefic pentru că permite clienților dvs. să construiască încredere în domeniul dvs., indiferent unde se află căsuța poștală și, în același timp, Microsoft 365 nu va marca un mesaj ca spam din cauza faptului că va trece verificările de autentificare pentru domeniul dvs. / P>

Pentru instrucțiuni din configurația DKIM pentru domeniul dvs., inclusiv modul de configurare a DKIM pentru expeditorii terță parte pentru a le permite să utilizeze domeniul dvs., consultați Utilizarea DKIM pentru a valida mesajele de ieșire trimise din domeniul dvs. personalizat.Pentru instrucțiuni Configurarea DKIM pentru domeniul dvs., inclusiv modul de configurare DKIM pentru expeditorii terță parte Soy poate spoolog domeniul dvs., consultați Utilizare DKIM pentru a valida email de ieșire simt din domeniul dvs. personalizat.

Pasul 4: Creați TXT DMMAR Record pentru Forestep 4: Formularul înregistrării DMARC TXT pentru domeniul dvs.

Deși există opțiuni de sintaxă care nu sunt menționate aici, aici sunt OPTIO Cel mai frecvent utilizat pentru Microsoft 365. Creați înregistrarea TXT DMMAR pentru domeniul dvs. în formatul următor: Deși există alte opțiuni de sintaxă care nu sunt menționate aici, acestea sunt cele mai frecvent utilizate opțiuni pentru Microsoft 365. Formularul înregistrării DMMAR TXT pentru Domeniul dvs. în format:

Unde: Unde:

  • Domeniul este domeniul pe care îl doriți. Domeniul este domeniul pe care doriți să-l protejați. În mod implicit, înregistrarea protejează poșta de la domeniu și toate sub-diminuările sale. Default, înregistrarea protejează poșta din domeniu și toate subdomeniile. De exemplu, dacă specificați _DMARC.Contoso.com, DMarcec protejează poșta din acest domeniu și toate subdomeniile sale, de exemplu Housewares.contoso.com sau Plumbing.contoso.com.fână de exemplu, dacă specificați _dmarc.contoso .com, Apoi DMMAR protejează poșta din domeniu și toate subdomenii, cum ar fi housewares.contoso.com Gold Plumbing.contoso.com.

  • Valoarea TTL trebuie să fie întotdeauna echivalentă cu una ” ceas. Unitatea utilizată pentru TTL, fie (1 oră), minutele (60 de minute) sau secunde (3.600 de secunde), variază de înregistrarea desktopului dvs. Domain.ttl ar trebui să fie întotdeauna echivalentul unei ore. Unitatea utilizată pentru TTL, fie ore (1 oră), minute (60 minute), secunde de aur (3600 secunde), vor varia în funcție de registrator pentru domeniul dvs.

  • PCT = 100 indică faptul că această regulă trebuie utilizată pentru 100% din e-mailuri.PCT = 100 indici că această regulă ar trebui să fie utilizată pentru 100% din e-mail.

  • Specifică strategia dorită de serverul de recepție să urmeze dacă un mesaj este respins de DMarc. Puteți defini strategia pe nici unul (nici unul), carantină sau respingere (Respingere) .policy Specifică ce politică doriți ca serverul de recepție să urmeze dacă DMarc nu reușește. Puteți seta politica la niciunul, carierația, respingerea aurului.

Pentru mai multe informații despre opțiunile de utilizare, familiarizați-vă cu conceptele celei mai bune secțiuni de practici pentru implementare din DMARC în Microsoft 365.Pentru informații despre care opțiunile de utilizare, se familiarizează cu conceptele din cele mai bune practici pentru implementarea DMARC în Microsoft 365.

Exemple: Exemple:

  • Strategie stabilită pe niciunul (Niciuna) Politică setată la Niciunul

    _dmarc.contoso.com 3600 IN TXT "v=DMARC1; p=none"
  • Strategy Strategy Set de politici de carantină Pentru carantina

    _dmarc.contoso.com 3600 IN TXT "v=DMARC1; p=quarantine"
  • Strategy setat pentru a respinge (respinge) Politica setată pentru a respinge

    _dmarc.contoso.com 3600 IN TXT "v=DMARC1; p=reject"

Odată ce ați creat înregistrarea, trebuie să o actualizați de la biroul de înregistrare a domeniului. Pentru a adăuga înregistrarea TXT DMMAR în înregistrările DNS pentru Microsoft 365, consultați Crearea înregistrărilor DNS pentru Microsoft 365 Când gestionați înregistrările DNS.Once ați format înregistrarea dvs., trebuie să actualizați înregistrarea la registratorul dvs. de domeniu. Pentru instrucțiuni privind adăugarea înregistrării DMMAR TXT în înregistrările DNS pentru Microsoft 365, consultați Crearea înregistrărilor DNS pentru Microsoft 365 când gestionați înregistrările DNS.

Cele mai bune practici pentru implementarea DMMC în Microsoft 365Best Practices pentru implementare DMARC în Microsoft 365

Puteți implementa treptat DMARC fără a avea repercusiuni pe restul fluxului de curierat. Creați și implementați un plan de implementare care urmează procedura de mai jos. Primul pas cu un subdomeniu, apoi cu alții, și în cele din urmă cu domeniul de nivel superior al organizației dvs. înainte de a trece la următorul pas. Puteți influența treptat DMarc, fără a afecta restul fluxului de poștă electronică. Creați și implementați un plan de eliberare care urmează acești pași. Faceți fiecare dintre acești pași mai întâi cu un subdomeniu, apoi alte subdomenii și final cu domeniul de nivel superior din organizația dvs. înainte de a trece la următorul pas.

  1. Controlarea efectelor dmarcconitorului Impactul implementării DMarc

    Începeți cu o singură înregistrare în modul de monitorizare pentru un subdomeniu sau domeniu care necesită receptoare DMarc să vă trimită statistici pe mesaje. „Ei văd pentru această zonă. O înregistrare în modul de monitorizare este o înregistrare txt dmarc a cărui strategie este setată la Nici unul (p = none). Multe companii publică o înregistrare TXT DMMAR cu p = non, deoarece nu știu exact cantitatea de mesaje pe care le riscă să le piardă prin publicarea unei strategii DMMAR mai restrictive.Start cu un record simplu de monitorizare pentru un domeniu de aur sub-domeniu Solicitări ca DMMARPSERSERS să vă trimită statistici despre postările pe care le caută utilizând acel domeniu. O înregistrare de moda de monitorizare este o înregistrare DMARC TXT care are politica sa setată la nici unul (p = none). Multe companii publică o înregistrare DMARC TXT cu p = nici unul deoarece acestea sunt nesigure cu privire la cât de mult e-mail pot pierde prin publicarea unei politici DMMAR mai restrictive.

    Puteți face acest lucru înainte de a fi implementat chiar și a implementat SPF sau DKIM infrastructura dvs. de curierat. Cu toate acestea, nu veți putea să carantină sau să refuzi mesajele folosind DMarc până când veți implementa și SPF și DKIM. Când ați înființat SPF și DKIM, rapoartele generate prin DMMC vor oferi numărul și sursa de mesaje acceptate de aceste controale, precum și cele refuzate. Puteți determina cu ușurință ponderea traficului dvs. legitim care este acoperit de aceste categorii și rezolvă problemele. De asemenea, veți începe să vedeți numărul de mesaje frauduloase trimise, precum și sursa lor. Puteți face acest lucru chiar înainte de a implementa SPF Gold Dkim în infrastructura dvs. de mesagerie. Cu toate acestea, nu veți putea fi în mod efectiv carantină de a rebuge e-mailul prin utilizarea DMARC UTIL, implementați și SPF și DKIM. După cum ați introdus SPF și DKIM, rapoartele generate prin DMarc vor oferi numerele și sursele de mesaje care transmit aceste verificări și cele care nu sunt. Puteți vedea cu ușurință cât de mult din traficul dvs. legitim este sau nu este acoperit de ei și depanarea problemelor. De asemenea, veți începe să vedeți câte mesaje frauduloase sunt simte și de unde.

  2. Cereți sisteme de mesagerie externe la carantină poșta care nu reușește la cecurile DMarcrequest că sistemele de poștă electronică externă care nu reușește DMarc

    când credeți că Toate sau o parte din traficul dvs. legitim este protejat de SPF și DKIM, și știți impactul implementării DMMAR, puteți implementa o strategie de carantină. O strategie de carantină este o înregistrare txt dmarc a cărui strategie este setată la carantină (p = carantină). În acest fel, vă cereți receptorii DMMAR să plasați mesaje din domeniul dvs. care sunt refuzate de DMarc în echivalentul local al unui fișier de corespondență nedorit, mai degrabă decât în căsuța de e-mail a clienților dvs.. Când credeți că toate aurul cel mai mult din traficul dvs. legitim este Protejat de SPF și DKIM și înțelegeți impactul implementării DMMC, puteți implementa politica de carantină. O politică cuantină este o înregistrare DMARC TXT care are politica sa stabilită în carantină (p = carantină). Făcând acest lucru, vă cereți DMARC Riflecați pentru a pune mesaje din domeniul dvs. care nu reușește DMARC în echivalentul local al unui dosar de spam în loc de inboxurile dvs. de intrări ale clienților

  3. Cereți-vă ca externul Sistemele de mesagerie nu acceptă mesaje care nu reușesc la dmarcrequest că verificările sistemelor de corespondență externe nu acceptă postări care nu reușesc DMARC

    Pasul final este de a implementa o strategie de respingere. O strategie de respingere este o înregistrare TXT DMMAR, a cărui strategie este definită în așa fel încât să facă o respingere (p = respinge). Când faceți acest lucru, vă cereți că receptoarele DMARC nu acceptă mesaje care nu reușesc la DMARC. Etapa finală este de punere în aplicare a testelor de respingere. La politica de respingere este o înregistrare DMARC TXT care are politica sa setată să respingă (p = respinge). Când faceți acest lucru, solicitați dmarc receptorii să nu accepte că nu a reușit verificările DMMAR

  4. Cum se configurează DMarco pentru subdomeniul? Cum de a crea DMMC pentru subdomeniul?

    DMARC este executat prin publicarea unei politici sub forma unei înregistrări TXT în DNS și este ierarhică (de exemplu, o strategie publicată pentru Contoso.com se va aplica subdomeniului.contonos. com nu este o altă strategie În mod explicit definit pentru subdomeniu) .DMARC este implementat prin publicarea unei politici ca înregistrare TXT în DNS și este ierarhică (de exemplu, o politică publicată pentru CONTOSO.COM va fi sub -domain .contonos.com, cu excepția cazului în care o politică diferită este definită în mod explicit pentru Subdomeniu). Acest lucru este util deoarece organizațiile pot specifica un număr mai mic de înregistrări DMMAR la nivel înalt pentru o acoperire mai mare. Acest lucru este util ca organizații să poată specifica un număr mai mic de înregistrări DMMAR de nivel înalt pentru o acoperire mai largă. Aveți grijă să configurați subdomeniul explicit DMMAR Records în cazul în care nu doriți ca subdomenii să moștenească domeniul de nivel superior DMULC.Care să fie luat pentru a configura înregistrările explicite de subdomeniri DMMAR în cazul în care nu doriți ca subdomeniile să moștenească înregistrarea DMMAR de nivel superior.

    Puteți adăuga o politică generică de tip dmarc când subdomeniile nu ar trebui să trimită e-mail, adăugând valoarea sp=reject value.also, puteți adăuga o politică de tip Wildcard pentru Dmarc când subdomenii nu ar trebui să trimită e-mail, adăugând valoarea sp=reject. De exemplu: de exemplu:

    _dmarc.contoso.com. TXT "v=DMARC1; p=reject; sp=reject; ruf=mailto:[email protected]; rua=mailto:[email protected]"

E-mail care nu reușește DMMARC

Dacă un mesaj de ieșire de la Microsoft 365 nu reușește la verificările DMMAR și că ați definit strategia de pe p = carantină (în carantină) sau p = respingerea (respingerea), mesajul este direcționat prin intermediul Piscina cu discount cu risc mai mare pentru mesajele de ieșire. E-mailurile de ieșire nu sunt zdrobite. Nu este o suprascriere pentru e-mail de ieșire.

Dacă publicați o strategie de respingere DMARC (P = Respingere), nici un alt client din Microsoft 365 nu se poate uzurpa domeniul dvs., deoarece Mesajele nu vor putea trece verificările SPF sau DKIM pentru domeniul dvs. atunci când un mesaj de ieșire va fi transmis prin intermediul serviciului.Pe de altă parte, dacă publicați o strategie de respingere DMMAR, dar că toate mesajele dvs. de e-mail nu sunt autentificate prin Microsoft 365, o parte din acestea poate fi marcată ca poștă nedorită pentru e-mailurile primite (așa cum s-a descris mai sus), sau vor fi a refuzat dacă nu publicați SPF și încercați să le transmiteți-le în sensul de ieșire prin intermediul serviciului. Acest lucru se poate întâmpla, de exemplu, dacă ați uitat să includeți adresele IP ale unor servere și aplicații care trimit mesaje în numele domeniului dvs. atunci când ați creat înregistrarea dvs. TXT DMMAR. Dacă publicați o politică de respingere DMarc (P = Respingere) , nici un alt client din Microsoft 365 nu poate strica domeniul dvs., deoarece mesajele nu vor putea trece de la SPF Gold DKIM pentru domeniul dvs. atunci când retransmiteți un mesaj de ieșire prin intermediul serviciului. Cu toate acestea, dacă publicați o politică DMarc Reject, dar nu aveți toate e-mailurile dvs. autentificate prin Microsoft 365, unele dintre acestea pot fi marcate ca spam pentru e-mail de intrare (așa cum este descris mai sus) sau va fi respins dacă nu faceți acest lucru Publicați SPF și încercați să o transmiteți-l prin intermediul serviciului. Acest lucru se întâmplă, de exemplu, dacă uitați să includeți unele dintre adresele IP pentru servere și aplicații care trimit poștă în numele domeniului dvs. atunci când formați înregistrarea DMMAR TXT.

Managementul mesajelor electronice primite care nu reușesc la Microsoft 365How Microsoft 365 Manipulează diagrame de e-mail de intrare DMMARC

Dacă politica DMMRC a serverului SEND este p=reject, Exchange Online Protection (EOP) marchează mesajul ca a Spoof în loc de respingere. Dacă politica DMMAR a serverului de trimitere este p=reject, Exchange Online Protection (EOP) marchează mesajul ca spoof în loc de respingerea IT. Cu alte cuvinte, pentru mesajele primite, procesele Microsoft 365 p=reject și p=quarantine al aceluiași mod. În alte cuvinte, pentru e-mail de intrare, Microsoft 365 tratează p=reject și p=quarantine în același mod. Administratorii pot defini acțiunea care trebuie efectuată pe mesajele clasificate ca identitate uzurpare în Strategia Anti-Hames.Admins poate defini acțiunea de a lua mesajele clasificate ca spumă în cadrul politicii anti-phishing.

Microsoft 365 Este configurat în acest fel, deoarece unele mesaje legitime pot eșua la DMMARC.Microsoft 365 este configurat ca acest lucru deoarece un e-mail legitim poate eșua dmarc. Acest lucru poate fi cazul, de exemplu, dacă un mesaj este trimis la o listă de difuzare care să le transmită tuturor participanților săi. De exemplu, un mesaj ar putea eșua dmarc dacă este trimis la o listă de corespondență care apoi remediază mesajul tuturor Lista participanților. Dacă Microsoft 365 respinge aceste e-mailuri, destinatarii pot pierde mesaje legitime fără a avea nici o modalitate de a le recupera. Dacă Microsoft 365 a respins aceste mesaje, oamenii ar putea pierde e-mailurile legitime și nu au nicio modalitate de ao prelua. De aceea, cu această configurație, aceste mesaje sunt încă refuzate de DMarc, dar, în loc să fie respinse, ele sunt marcate ca un mail nedorite.Instead, aceste mesaje vor eșua în continuare DMarc, dar vor fi marcate ca spam și nu vor fi respinse. Dacă este necesar, utilizatorii pot accesa în continuare aceste mesaje în căsuța de e-mail prin următoarele metode: Dacă se dorește, utilizatorii pot obține în continuare aceste mesaje în căsuța de e-mail prin intermediul acestor metode:

  • Utilizatorii individual add aprobat expeditorii care utilizează clienții de mail Raportarea inteligenței pentru a permite spoof-ul.

  • Administratorii creează un schimb de reguli de curierat (numit și regulă de transport) pentru toți utilizatorii care autorizează transmiterea mesajelor de la acești expeditori speciali O regulă de flux de corespondență (cunoscută și ca regulă de transport) pentru toți utilizatorii care permit mesaje pentru acei expeditori speciali

  • Dacă doriți să aflați mai multe, vizitați listele de expediere Create Aprobat (mai multe informații, consultați Crearea unui expeditor sigur.

    Cum utilizează un canal autentificat (Arc) Utilități Microsoft 365 Autentificate Lanț recepționat (ARC)

    Toate cutiile poștale găzduite în Microsoft 365 Desenați acum Arc Party cu o livrare mai bună a mesajelor și o protecție îmbunătățită împotriva identității D Usurpation D.Toate cutiile poștale găzduite în Microsoft 365 vor câștiga acum beneficiul a arcului cu o livrare îmbunătățită a mesajelor și a îmbunătățirii protecției anti-spoofing.ARC păstrează rezultatele autentificării corespondenților sau de la intermediarii participanți sau sare, când un e-mail este dirijat de pe serverul original la căsuța poștală a destinatarului Conservează rezultatele autentificării e-mailului de la toți intermediarii participanți, hopurile de aur, când un e-mail este rutier de la serverul originar la cutia poștală destinatară. Înainte de ARC, modificările făcute de intermediari în rutarea e-mailului, cum ar fi regulile de transfer sau semnăturile automate, ar putea avea ca rezultat eșecurile DMARC în momentul în care e-mailurile ajung la cutia poștală a destinatarului. Înainte de ARC, modificări efectuate de intermediari în rutarea de e-mail, cum ar fi expedierea Reguli Gold Automat Signatures, CONDUD CAUZĂ DMMAR FALLES Până când e-mailul a ajuns la căsuța poștală destinatară. Cu ARC, rezultatele de autentificare Conservarea criptării permite Microsoft 365 să verifice autenticitatea expeditorului unui e-mail. Cu ARC, conservarea criptografică a rezultatelor de autentificare permite Microsoft 365 să verifice autenticitatea expeditorului unui e-mail.

    Microsoft 365 utilizează ARC pentru a verifica rezultatele de autentificare atunci când Microsoft este etanșatorul ARC, dar intenționează să adauge suport pentru agenții de etanșare ARC terță parte în viitor. Microsoft 365 utilizează în prezent ARC pentru a verifica rezultatele de autentificare atunci când Microsoft este Saler, Plan Pentru a adăuga suport pentru selei de arc terță parte în viitor.

    Depanarea problemelor de implementare a DarcCTOBHOOTING Implementarea DMMAR

    Dacă EOP nu este prima intrare a înregistrărilor MX din domeniul dvs., Politicile DMMAR în caz de cecuri nu vor fi aplicate pentru domeniul dvs..V-ați configurat Recordurile MX ale domeniului în care EOP nu este prima intrare, eșecurile DMarc nu vor fi puse în aplicare pentru domeniul dvs.

    Dacă sunteți un client și că înregistrarea principală MX a domeniului dvs. nu indică EOP, faceți Nu beneficiați de protecția dmarc.if Sunteți în client, iar înregistrarea MX primară a domeniului dvs. nu indică EOP, nu veți obține beneficiile lui DMarc. De exemplu, DMARC nu funcționează dacă înregistrează MX puncte la serverul dvs. de mail local și că e-mailurile sunt apoi direcționate către EOP utilizând A. De exemplu Conector, DMarcC nu va funcționa dacă indicați înregistrarea MX la- Serverul Mail Server și apoi e-mailul rutier către EOP utilizând un conector. În acest caz, domeniul de recepție este una dintre domeniile dvs. de acceptate, dar EOP nu este principala înregistrare MX.În acest scenariu, domeniul de primire este unul dintre domeniile dvs. acceptate, dar EOP nu este MX primar. De exemplu, presupuneți că înregistrarea MX a Contoso.com indică contoso.com în sine și că EOP este utilizat ca înregistrare secundară MX. Înregistrarea MX a Contoso.com este apoi după cum urmează: De exemplu, presupune Contoso.com punctele sale MX la sine și utilizează EOP ca o înregistrare MX secundară, înregistrarea MX Contoso.com arată ca:

    contoso.com 3600 IN MX 0 mail.contoso.comcontoso.com 3600 IN MX 10 contoso-com.mail.protection.outlook.com

    Întreaga sau majoritatea mesajelor de poștă electronică vor mai întâi înainte la mail.contoso.com, deoarece este principala înregistrare MX, înainte de a fi redirecționată pentru a schimba protecția online , Cel mai mult, e-mailul va fi mai întâi. În unele cazuri, EOP nu este chiar prezent în lista de înregistrări și conectorii MX sunt pur și simplu configurați pentru a ruta mesaje electronice.În unele cazuri, este posibil să nu listați nici măcar ca o înregistrare MX și pur și simplu conectați conectorii pentru a vă ruta e-mail. Nu este necesar ca EOP să fie prima intrare a validării DMMAR care trebuie făcută. EOOP nu trebuie să fie prima intrare pentru validarea DMMC care trebuie făcută. Este pur și simplu să se asigure validarea deoarece este imposibil să se asigure că toate serverele locale / non-Office 365 efectuează verificări dmarc.it doar asigură validarea, deoarece nu putem fi siguri că toate serverele on-premis / non-O365 vor face dmarc Verificări. DMARC este eligibil să fie aplicat domeniului unui client (și nu la server) când configurați înregistrarea DMMAR TXT, dar se întoarce la serverul de recepție pentru a efectua efectiv aplicația.DMarcc este eligibil pentru a fi impus pentru domeniul unui client (Nu server) Când ați configurat înregistrarea DMMART TXT, dar este de până la serverul de recepție pentru a face efectiv aplicarea. Dacă configurați EOP ca un server de recepție, funcția EOP se desfășoară în aplicația DMMARC. Dacă ați configurat EOP ca server de recepție, atunci EOP face dmarcagement.

    Un grafic de depanare pentru DMMAR, furnizat de Daniel Mande

    pentru mai multe informații

    Vrei mai multe Informații despre dmarc? Aceste resurse vă pot ajuta. Încă mai multe informații despre DMarc? Aceste resurse pot ajuta de Microsoft 365 pentru verificările DMMAR.

  • Vezi seria de formare M3AAWG DMMAR (mesagerie, malware, grup de lucru anti-abuz anti-abuz). Malware, Grupul de lucru anti-abuz mobil).

  • Utilizați lista de verificare oferită de dmarcian.Utilizați lista de verificare la dmarcian.

  • Du-te direct la sursa de la dmarc.org.go direct la sursa de la dmarc.org.

  • vezi și AusSisee, de asemenea,

    Cum Microsoft 365 utilizează SPF (cadru de politică expeditorului) pentru a evita Microsoft UsurpationHow 365 utilizează cadrul de politică expeditor (SPF) pentru a preveni spionarea

    Configurarea SPF în Microsoft 365 pentru a preveni uzurpings și SPF în Microsoft 365 pentru a ajuta la prevenirea spoofingului

    Utilizarea DKIM pentru a valida mesajele trimise trimise din domeniul dvs. personalizat în Microsoft 365US DKIM pentru a valida e-mailul de ieșire FEY din domeniul dvs. personalizat în Microsoft 365

    Leave a comment

    Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *