• 18/02/2021
  • 15 minutos de juego
    • m
  • {P /

    IMPORTANTE 365 Security Center ahora está disponible en la preparación pública. El mejor centro de seguridad de Microsoft 365 ahora está disponible en la vista previa pública. Esta nueva experiencia introdujo el defensor para el punto de terminación, el defensor de la Oficina 365, el defensor de Microsoft 365 y mucho más en el Centro de Seguridad de Microsoft 365. Esta nueva experiencia trae a Defensor para Endpoint, defensor para Office 365, Microsoft 365 Defender, y más en Microsoft 365 Centro de Seguridad. Descubre noticias. Aprende lo nuevo. Este tema se puede aplicar a Microsoft Defender para Office 365 y Microsoft 365 Defender. Este tema podría tanto a Microsoft Defender para Office 365 y Microsoft 365 Defender. Por favor, consulte la sección a la que se aplica, luego busque llamadas específicas en este artículo donde las diferencias pueden existir. Referencia a las aplicaciones a la sección y busque llamadas específicas en este artículo donde hay un artículo.

se aplica a Applie to

  • Exchange Online ProtExchange Online Protection
  • Microsoft Defender para Office 365 Plan 1 y Plan 2Microsoft Defender para Office 365 Plan 1 y Plan 2
  • Microsoft 365 DefendermicRosoft 365 Defender

La autenticación, informes y conformidad de mensajes basados en el dominio utiliza SPF (marco de política del remitente) y DKIM (DomainKeys identificados para autenticar e- Los remitentes de correo y asegúrese de que los sistemas de mensajería de destino acepten los mensajes enviados desde su dominio como una autenticación de mensajes, informes y conformidad confiables de la autenticación, informes y conformidad (DMARC) con marco de política del remitente (SPF) y DomainKeys identificó el correo (DK IM) Para autenticar los remitentes de correo y asegurarse de que los mensajes de Sistemas de correo electrónico de destino confían en los mensajes que se sientan desde su dominio. La implementación de DMARC con SPF y DKIM proporciona protección adicional contra la usurpación y los martillos. La implementación de DMARC con SPF y DKIM proviste una protección adicional contra la falsificación y el correo electrónico de phishing. DMARC permite que los sistemas de mensajería de recepción determinen qué necesitan para hacer que los mensajes enviados desde su dominio rechazan el SPF o DKIM.DMARC ayuda a recibir los sistemas de correo. Determine qué hacer con los mensajes que se sientan de su dominio que fallan los controles DKIM de oro SPF.

Visite el catálogo de asociación de seguridad inteligente de Microsoft (MISA) para ver a los proveedores de terceros que ofrecen informes de DMARC para Microsoft 365. Visitar el catálogo de Microsoft Intelligent Security Association (Misa) para ver Tercero -Porción de Party para informes de DMARC para Microsoft 365.

¿Cómo trabajarán SPF y DMARC para proteger los mensajes de correo electrónico en Microsoft 365? ¿Cómo funcionan los SPF y DMARC para proteger el correo electrónico en Microsoft 365 ?

Un mensaje de correo electrónico puede contener múltiples direcciones originales (o remitentes). El mensaje de correo electrónico puede contener múltiples direcciones de remitente de oro de origen. Estas direcciones se utilizan para diferentes propósitos. Estas direcciones se utilizan para diferentes propósitos. Por ejemplo, tome las siguientes direcciones: por ejemplo, considere estas direcciones:

  • dirección «de correo»: indica el remitente y la ubicación donde enviar las notificaciones de devolución en problemas de caso con La entrega de mensajes, como las notificaciones de fallas de descuento. «Correo de» Dirección «: identifica al remitente y especifica dónde enviar la devolución si se produce algún problema con la entrega del mensaje, como los avisos de no entrega. Aparece en la parte del sobre de correo electrónico y generalmente no se muestra en la aplicación de correo electrónico. Esto aparece en la parte del sobre de un mensaje de correo electrónico y generalmente no se muestra por su aplicación de correo electrónico. A veces se denomina dirección 5321.mailde o dirección de ruta inversa. Esto a veces se denomina dirección 5321.maildefrom o la dirección de ruta inversa.

  • Dirección «de»: l ‘ Dirección mostrada como dirección original por su aplicación de correo electrónico. «Desde» a Dirección: la dirección que se muestra como la dirección de su solicitud de correo. Esta dirección indica al autor de correo electrónico. Esta dirección identifica al autor del correo electrónico. En otras palabras, indica el buzón de la persona o el sistema responsable de escribir el mensaje. Ese es, el buzón de la persona o sistema responsable de escribir el mensaje. A veces se llama dirección 5322.desfrom.Esta a veces se llama la dirección 5322.desfrom.

SPF utiliza una grabación de DNS TXT para proporcionar la lista de direcciones IP de envío autorizadas para un dominio dado. Como regla general, las verificaciones SPF solo se realizan para la dirección 5321.mailde. Esto significa que la dirección 5322.de no se autentica cuando solo usa SPF. Puede encontrarse en el caso de que un usuario reciba un mensaje que haya sido aceptado por el cheque SPF, pero tiene una dirección de envío 5322.desfrom usurped. Tomemos, por ejemplo, la siguiente transcripción SMTP: SPF usa al registro DNS TXT para proporcionar una lista de direcciones IP de envío automáticas para un dominio dado. Normalmente, las verificaciones SPF solo se realizan solo contra la dirección 5321.mailfrom. Esto significa que la dirección 5322.de no se autentica cuando usa SPF por sí mismo. Esto permite un escenario donde un usuario puede recibir un látigo de mensaje pasa un cheque SPF, pero se ha falsificado 5322.co.in. Por ejemplo, considere esta transcripción SMTP:

S: Helo woodgrovebank.comS: Mail from: [email protected]: Rcpt to: [email protected]: dataS: To: "Andrew Stobes" <[email protected]>S: From: "Woodgrove Bank Security" <[email protected]>S: Subject: Woodgrove Bank - Action requiredS:S: Greetings User,S:S: We need to verify your banking details.S: Please click the following link to verify that we have the right information for your account.S:S: https://short.url/woodgrovebank/updateaccount/12-121.aspxS:S: Thank you,S: Woodgrove BankS: .

En esta transcripción, las direcciones del remitente son las siguientes: En esta transcripción, las direcciones del remitente son las siguientes :

Si ha configurado SPF, el servidor de recepción realiza un cheque por correo de [email protected] Si el correo electrónico provino de una fuente válida para el dominio Phishing.contoso.com, el control SPF acepta el mensaje. Dado que el cliente de correo solo muestra la dirección, el usuario ve que este mensaje vino de [email protected] Solo con SPF, la validez de la dirección de WoodGroveBank.com nunca se ha autenticado. Prove que configuró SPF, luego el servidor Receptor realiza un cheque contra el correo de la dirección de la dirección [email protected] Si el mensaje provino de una fuente válida para el phishing de dominio.contoso.com, luego pasa la verificación SPF. Sin el cliente de correo electrónico Muestra solo la dirección de la dirección, el usuario ve que este mensaje vino de [email protected] Con SPF solo, la validez de WoodGroveBank.com nunca se autenticó.

Cuando se utiliza DMARC, el servidor de recepción también realiza una dirección en la dirección. En el ejemplo anterior, si hay un registro de TXT DMARC para WoodgroveBank.com, la verificación de la dirección de procedencia rechaza esta. Cuando usa DMARC, el servidor receptor también realiza un cheque contra la dirección de la dirección. En el ejemplo anterior, si hay un registro de DMARC TXT en su lugar para WoodgroveBank.com, entonces la verificación contra la dirección de la dirección falla.

¿Qué es la grabación de TXT DMARC? ¿Qué es un disco DMARC TXT?

Al igual que los registros DNS para SPF, la grabación para DMARC es un registro DNS en formato de texto (TXT) que evita la usurpación de la identidad y el phishing. Publica los registros de TXT DMARC en el sistema DNS. Los registros de TXT DMARC validan el origen de los mensajes electrónicos comparando la dirección IP del autor del correo electrónico a la del llamado área de envío. La grabación de TXT DMARC identifica los servidores de correo salientes permitidos. Los sistemas de correo electrónico de destino pueden verificar si los mensajes recibidos provienen de los servidores de mensajería permitidos permitidos. Como los registros DNS para SPF, el registro para DMARC es un registro de texto DNS (TXT) que ayuda a prevenir la falsificación y el phishing. Publica los registros de DMARC TXT en DNS. DMARC TXT registra validar el origen de los mensajes de correo electrónico al verificar la dirección IP de un autor de un correo electrónico contra el supuesto propietario del dominio de envío. El registro DMARC TXT identifica los servidores de correo electrónico autorizados. Los sistemas de correo electrónico de destino pueden verificar que los mensajes que reciben se originan en los servidores de correo electrónico de salida autorizados.

Un registro de Microsoft TXT DMARC es el siguiente: el registro DMARC TXT de Microsoft se ve algo así:

_dmarc.microsoft.com. 3600 IN TXT "v=DMARC1; p=none; pct=100; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1"

Microsoft envía sus informes de DMBRC a Agari, un sistema de terceros. Microsoft envía sus informes de DMARC a Agari, un tercero. Agari recopila y analiza el DMARC.AGARI recopila y analiza los informes DMARC. Visite el catálogo de Microsoft Intelligent Security Association (MISA) para ver a los proveedores de terceros que ofrecen informes de DMARC para Microsoft 365. Visite el catálogo MISA para ver a más visitantes de terceros que ofrece informes de DMARC para Microsoft 365.

Implementar DMARC para mensajes de mensajes entrantes para correo entrante

No tiene nada que hacer para configurar DMARC para los mensajes que recibe en Microsoft 365. Nos encargamos de todo.Si desea descubrir lo que está sucediendo por correo electrónico rechazado por nuestros cheques DMARC, consulte la administración de mensajes electrónicos entrantes que fallan en las verificaciones de DMARC en Microsoft 365. No tiene que hacer una cosa para configurar DMARC por correo que recibe en Microsoft 365. Hemos cuidado todo por ti. Si desea aprender lo que le sucede por correo, no pasa a pasar por nuestros cheques DMARC, consulte cómo Microsoft 365 maneja el correo electrónico entrante que falla Dmarc.

Implementar DMARC para mensajes salientes de Microsoft 365Print DMARC para correo saliente de Microsoft 365

Si está utilizando Microsoft 365, pero no es un dominio personalizado, es decir, use ONMICRosoft.com, simplemente configure o implemente DMARC para su organización. SPF ya está configurado para usted y Microsoft 365 genera automáticamente una firma DKIM para sus mensajes salientes. Para obtener más información sobre esta firma, consulte el comportamiento predeterminado para DKIM y Microsoft 365.Ir que usa Microsoft 365, pero no está usando un dominio personalizado, es decir, use ONMICROOFT.COM, no necesita hacer nada más para configurar Gold Implement DMARC para su organización. SPF ya está configurado para usted y Microsoft 365 genera automáticamente una firma DKIM para su correo saliente. Para obtener más información sobre esta firma, consulte el comportamiento predeterminado para DKIM y Microsoft 365.

Si tiene un dominio personalizado o use servidores de Exchange local además de Microsoft 365, debe implementar manualmente DMARC para sus mensajes salientes. . La implementación de DMARC para su dominio personalizado tiene los siguientes pasos: Si tiene un dominio personalizado o está utilizando servidores de intercambio en las instalaciones, además de Microsoft 365, debe implementar manualmente DMARC para su correo saliente. La implementación de DMARC para su dominio personalizado incluye estos pasos:

  • Paso 1: Determine las fuentes de correo electrónico válidas para sus pronósticos 1: Identifique las fuentes válidas de correo para su dominio

  • Paso 2: Configure SPF para su FAYSTEP 2: Configure SPF para su dominio

  • Paso 3: Configure DKIM para su DOMINIMIENTO PERSONALIZADO 3: Configuración DKIM para su dominio personalizado

  • Paso 4: Cree la grabación de TXT DMARC para su FAYSTEP 4: Forme el registro DMARC TXT para su dominio

Paso 1: Determine las fuentes de mensajería válidas para su FatiesP 1: Identifique las fuentes válidas de correo para su dominio

Si ya ha configurado SPF, ya conoce el procedimiento. Sin embargo, hay consideraciones adicionales para DMARC. Cuando determine las fuentes de correo electrónico para su dominio, hay dos preguntas que necesita para responder: si ya ha configurado SPF, ya ha pasado por este ejercicio. Sin embargo, para DMARC, hay consideraciones adicionales. Cuando identifica las fuentes de correo para su dominio, hay dos preguntas que necesita para responder:

  • ¿Qué direcciones IP envían mensajes de mi dominio? ¿Qué direcciones IP envían mensajes de mi dominio?

  • Para los mensajes enviados por terceros en mi parte, ¿los dominios 5321.maildesde y 5322.desfrom corresponden? Para la sensación de correo de terceros en mi nombre, será el 5321.mailde y 5322. ¿FROM MATOS DE DOMANOS?

Paso 2: Configure SPF para su FAYSTEP 2: Configure SPF para su dominio

Ahora si tiene una lista De todos sus remitentes válidos, puede seguir los pasos para configurar SPF para evitar la usurpación de. Ahora que tiene una lista de todos sus remitentes válidos, puede seguir los pasos para configurar SPF para ayudar a prevenir la falsificación.

Por ejemplo, suponiendo que Contoso.com envía correo desde Exchange Online, un servidor de Exchange local cuya dirección IP es 192.168.0.1 y una aplicación web DON T La dirección IP es 192.168.100.100, la grabación SPT SPF se verá así: por ejemplo, suponiendo que Contoso.com envía correo desde Exchange Online, un servidor de Exchange local cuya dirección IP es 192.168.0.1 y una aplicación web cuyo La dirección IP es 192.168.100.100, el registro SPF TXT parece este:

contoso.com IN TXT " v=spf1 ip4:192.168.0.1 ip4:192.168.100.100 include:spf.protection.outlook.com -all"

Para obtener los mejores resultados, verifique que su grabación TXT SPF tenga en cuenta el tercer tercer remitente , Asegúrese de que su registro SPF TXT tenga en cuenta los remitentes de terceros.

Paso 3: Configure DKIM para su DomainP 3: Configure DKIM para su dominio personalizado

Una vez que tenga SPF configurado, debe configurar DKIM. DKIM le permite agregar una firma digital a los mensajes electrónicos en el encabezado del mensaje.Si no configura DKIM y permite que Microsoft 365 use la configuración predeterminada para su dominio, en su lugar, DMARC puede rechazar los mensajes. De hecho, la configuración predeterminada de DKIM usa su dominio Onmicrosoft.com como Dirección 5322.desfrom, y no su dominio personalizado. Esto crea una diferencia entre las direcciones 5321.mailde y 5322.desfrom en todos los mensajes enviados desde su dominio. También ha configurado SPF, debe configurar DKIM. DKIM le permite agregar una firma digital a los mensajes de correo electrónico en el encabezado del mensaje. Si no establece DKIM y, en su lugar, permite que Microsoft 365 use la configuración de DKIM predeterminada para su dominio, DMARC puede fallar. Esto se debe a que la configuración de DKIM predeterminada utiliza su dominio inicial OnMicrosoft.com como la dirección 5322.desfrom, no es su dominio personalizado. Esta Fuerza tiene desajuste entre el 5321.mailde y el 5322.Diros de la sensación de correo electrónico de su dominio.

Si los remitentes de terceros envían mensajes en su nombre y las direcciones 5321.mailde y 5322. De estos Los mensajes no coinciden, DMARC rechazará este mensaje de correo electrónico. Para evitar este problema, debe configurar DKIM al configurar específicamente a este remitente de terceros para su dominio. Esto permite que Microsoft 365 autentique los mensajes enviados por este servicio de terceros. Sin embargo, esto también permite a otras entidades, por ejemplo, Yahoo, Gmail y Comcast, para verificar el correo electrónico que los envíe por el tercero, como si fueran mensajes enviados por ti mismo. Es una ventaja porque, por un lado, refuerza la confianza de que los clientes pueden tener en su campo, independientemente de la ubicación de sus buzones y, por otro lado, Microsoft 365 no marcará ningún mensaje como el spam debido a la usurpación de la identidad. , debido a que este correo electrónico habrá sido aceptado por las verificaciones de autenticación para su dominio. Si tiene remitentes de terceros que envían correo en su nombre y el correo, el envío tiene desajustado 5321.mailde y 5322.desfrom Direcciones, DMARC fallará Para ese correo electrónico. Para evitar esto, debe configurar DKIM para su dominio específicamente con ese remitente de terceros. Esto permite que Microsoft 365 autentique el correo electrónico de este servicio de terceros. Sin embargo, también permite a otros, por ejemplo, Yahoo, Gmail y Comcast, para verificar el correo electrónico enviado por el tercero como si fuera un correo electrónico. Esto es beneficioso porque le permite a sus clientes crear confianza con su dominio sin importar dónde se encuentra su buzón, y al mismo tiempo que Microsoft 365 no marque un mensaje como SPAM debido a la falsificación porque pasa la autenticación para su dominio.

Para obtener instrucciones en la configuración de DKIM para su dominio, incluido cómo configurar DKIM para remitentes de terceros para permitirles usar su dominio, consulte Uso de DKIM para validar los mensajes de salida enviados desde su dominio personalizado. Para obtener instrucciones sobre Configuración de DKIM para su dominio, incluido cómo configurar DKIM para remitentes de terceros SOY puede falsificar su dominio, consulte Use DKIM para validar la sensación de correo electrónico saliente de su dominio personalizado.

Paso 4: Crea el TXT Registro DMARC para su ForestEP 4: forme el registro DMARC TXT para su dominio

Aunque hay opciones de sintaxis que no se mencionan aquí, aquí están las opciones Los más utilizados para Microsoft 365. Crea el registro de TXT DMARC para su dominio en el siguiente formato: Aunque hay otras opciones de sintaxis que no se mencionan aquí, estas son las opciones más utilizadas para Microsoft 365. Forma el registro DMARC TXT para Su dominio en el formato:

Dónde: Dónde:

  • El dominio es el dominio que desea proteger. El dominio es el dominio que desea proteger. De forma predeterminada, el registro protege el correo del dominio y todos sus subtodones. Por defecto, el registro protege el correo del dominio y todos los subdominios. Par exemple, si vous spécifiez _dmarc.contoso.com, DMARC protège le courrier issu de ce domaine et tous ses sous-domaines, par exemple housewares.contoso.com ou plumbing.contoso.com.For example, if you specify _dmarc.contoso .com, then DMARC protects mail from the domain and all subdomains, such as housewares.contoso.com or plumbing.contoso.com.

  • La valeur TTL doit toujours être équivalente à una hora. La unidad utilizada para TTL, ya sea (1 hora), los minutos (60 minutos) o segundos (3,600 segundos), varía registrando el escritorio, su dominio.tl siempre debe ser el equivalente de una hora. La unidad utilizada para TTL, ya sea las horas (1 hora), los minutos (60 minutos), los segundos de oro (3600 segundos), variarán dependiendo del registrador para su dominio.

  • PCT = 100 indica que esta regla debe utilizarse para el 100% de los correos electrónicos.PCT = 100 Índices de que esta regla debe usarse para el 100% del correo electrónico.

  • Política Especifica la estrategia que desea que el servidor de recepción siga si un mensaje es rechazado por DMARC. Puede definir la estrategia en ninguna (ninguna), poner en cuarentena o rechazar (rechazar) .Policy Especifica qué política desea que el servidor receptor siga si DMARC falla. Puede configurar la política de Ninguna, la quarrantina, el rechazo de oro.

Para obtener más información sobre las opciones para usar, familiarízase con los conceptos de la sección de Mejores Prácticas para la implementación de DMARC en Microsoft 365. Para obtener información sobre las opciones de usar, familiarizarse con los conceptos en las mejores prácticas para implementar DMARC en Microsoft 365.

Ejemplos: Ejemplos:

  • STORY STORY ON NINGUNO (Ninguno) Política establecida en Ninguna

    _dmarc.contoso.com 3600 IN TXT "v=DMARC1; p=none"
  • STRAING STRAYE SOBRE LA POLÍTICA DE POLÍTICA DE PUERTERA (PUT PUT PUT) Para poner en cuarentena

    _dmarc.contoso.com 3600 IN TXT "v=DMARC1; p=quarantine"
  • Estrategia establecida para rechazar (rechazar) Política configurada para rechazar

    _dmarc.contoso.com 3600 IN TXT "v=DMARC1; p=reject"

Una vez que haya creado su grabación, debe actualizarlo desde su escritorio de registro de dominio. Para obtener instrucciones sobre la adición de la grabación de TXT DMARC a sus registros DNS para Microsoft 365, consulte Crear registros DNS para Microsoft 365 Cuando administre sus grabaciones DNS.ONCE, ha formado su registro, debe actualizar el registro en su registrador de dominios. Para obtener instrucciones sobre cómo agregar el registro DMARC TXT a sus registros DNS para Microsoft 365, consulte Crear registros DNS para Microsoft 365 cuando administre sus registros DNS.

Mejores prácticas para la implementación de DMARC en las prácticas de implementación de Microsoft 365Best DMARC en Microsoft 365

Puede implementar DMARC gradualmente sin tener repercusiones en el resto de su transmisión de mensajería. Cree e implemente un plan de implementación que sigue el procedimiento a continuación. Primer paso con un subdominio, luego con otros, y finalmente con el dominio de nivel superior de su organización antes de pasar al siguiente paso. Puede afectar a DMARC gradualmente sin afectar el resto de su flujo de correo. Cree e implemente un plan de despliegue que sigue estos pasos. Haga cada uno de estos pasos primero con un subdominio, luego otros subdominios, y finalmente con el dominio de nivel superior en su organización antes de pasar al siguiente paso.

  1. Controle los efectos del DMARCONITOR El impacto de la implementación de DMARC

    Comience con una sola grabación en el modo de monitoreo para un subdominio o dominio que requiera que los receptores DMARC le envíen estadísticas de mensajes. ‘Ven a esta área. Una grabación en modo de monitoreo es un registro de TXT DMARC cuya estrategia está establecida en Ninguna (P = Ninguna). Muchas compañías publican una grabación de TXT DMARC con P = no, porque no saben exactamente la cantidad de mensajes que se arriesgan a perder publicando una estrategia DMARC más restrictiva. Inicio con un simple registro de modo de monitoreo para un dominio de oro subdominio que Solicita que DMARC requesteras le envíe estadísticas sobre las publicaciones que buscan utilizando ese dominio. Un registro de Monitoring-Fashion es un registro DMARC TXT que tiene su póliza establecida en Ninguna (P = Ninguno). Muchas compañías publican un registro de DMARC TXT con P = Ninguno porque no están seguros de cuánto correo electrónico pueden perder al publicar una política DMARC más restrictiva.

    Puede hacerlo antes de incluso haber implementado SPF o DKIM en Su infraestructura de mensajería. Sin embargo, no podrá poner en cuarentena o rechazar mensajes utilizando DMARC hasta que también implemente SPF y DKIM. Cuando configura SPF y DKIM, los informes generados a través de DMARC proporcionarán el número y la fuente de mensajes que son aceptados por estos controles, así como los rechazados. Puede determinar fácilmente la parte de su tráfico legítimo que está cubierto por estas categorías y resolver problemas. También comenzará a ver el número de mensajes fraudulentos enviados, así como su fuente. Puede hacerlo incluso antes de que haya implementado SPF Gold Dkim en su infraestructura de mensajería. Sin embargo, no podrá poner en cuarentena efectivamente el correo de rechazo de oro utilizando DMARC UTIL, también implementó SPF y DKIM. A medida que introdujo SPF y DKIM, los informes generados a través de DMARC proporcionarán los números y las fuentes de mensajes que pasan estos controles, y los que no lo hacen. Puede ver fácilmente la cantidad de su tráfico legítimo o no está cubierto por ellos, y solucionar problemas. También comenzará a ver cuántos mensajes fraudulentos se sienten, y desde dónde.

  2. Pedir sistemas de mensajería externa para poner en cuarentena el correo que falla a las verificaciones de DMRACRECESTS que los sistemas de correo externos de la Cuarentena del correo que fallan Dmarc

    cuando crees que La totalidad o parte de su tráfico legítimo está protegido por SPF y DKIM, y usted conoce el impacto de la implementación de DMARC, puede implementar una estrategia de cuarentena. Una estrategia de cuarentena es un registro de TXT DMARC, cuya estrategia está configurada para cuarentena (P = cuarentena). Al hacerlo, está pidiendo a los receptores DMARC que coloquen mensajes de su dominio que se le niega DMARC en el equivalente local de un archivo de correo no deseado en lugar de en la bandeja de entrada de sus clientes. Cuando cree que todo el oro la mayor parte de su tráfico legítimo es Protegido por SPF y DKIM, y usted comprende el impacto de la implementación de DMARC, puede implementar la política de cuarentena. Una política de Cantina es un registro DMARC TXT que tiene su póliza establecida para poner en cuarentena (P = cuarentena). Al hacer esto, le pide que DMARC Reigse coloque mensajes de su dominio que falle DMARC en el equivalente local de una carpeta de spam en lugar de las bandejas de usuario de sus clientes

  3. Pida que el externo Los sistemas de mensajería no aceptan mensajes que fallan en el DMRACREQUEST que los sistemas de correo externos verifican que no acepten las publicaciones que fallan DMARC

    El paso final es implementar una estrategia de rechazo. Una estrategia de rechazo es una grabación de TXT DMARC cuya estrategia se define de tal manera que haga un rechazo (P = rechazo). Cuando hace esto, está pidiendo que los receptores DMARC no acepten mensajes que fallan en el DMARC. El paso final está implementando las pruebas de la política de rechazo. En la política de rechazo, es un registro de DMARC TXT que tiene su póliza establecida para rechazar (P = rechazar). Cuando hace esto, le pide que las jeteras de DMARC no acepten que fallan las verificaciones de DMARC

  4. ¿Cómo configurar DMARC para el subdominio? ¿Cómo configurar DMARC para subdominio?

    DMARC se ejecuta publicando una política en forma de un registro de TXT en DNS y es jerárquico (por ejemplo, una estrategia publicada para contoso.com se aplicará a la subdominio.contonos. COM a menos que una estrategia diferente sea Definido explícitamente para el subdominio) .DMARC se implementa mediante la publicación de una política como un registro de TXT en DNS y es jerárquico (por ejemplo, una política publicada para contoso.com, se incluirá a Sub.Domain .Contonos.com a menos que la política diferente se define explícitamente para el Subdominio). Esto es útil porque las organizaciones pueden especificar un número menor de grabaciones DMARC de alto nivel para una mayor cobertura. Esto es útil, ya que las organizaciones pueden especificar un número menor de registros DMARC de alto nivel para una cobertura más amplia. Tenga cuidado de configurar los registros explícitos del subdominio DMARC donde no desea que los subdominios heredan el dominio de mayor nivel DMULC.Care se tome para configurar los registros explícitos del subdominio DMARC donde no desea que los subdominios heredan el registro DMARC del dominio de alto nivel.

    También puede agregar una política de tipo genérico para DMARC cuando los subdominios no deben enviar un correo electrónico, agregando el valor sp=reject valor.also, puede agregar una política de tipo comodín para DMARC cuando los subdominios no deben enviar un correo electrónico, agregando el valor sp=reject. Por ejemplo: por ejemplo:

    _dmarc.contoso.com. TXT "v=DMARC1; p=reject; sp=reject; ruf=mailto:[email protected]; rua=mailto:[email protected]"

La gestión de los mensajes electrónicos salientes que fallan en los controles de DMARC en Microsoft 365HOW Microsoft 365 Handles Outbound correo electrónico que falla con DMARC

Si un mensaje saliente de Microsoft 365 falla a las verificaciones de DMARC y que ha definido la estrategia en P = cuarentena (en cuarentena) o p = rechazo (rechazo), el mensaje se enruta a través de MÁS MAYOR DE DESCUENTO DE RIESGO DE RIESGO PARA MENSAJES PERSONALES. MENSAJE DE PERSONALIZACIÓN DE LOS MICROSOFT 365 Y FALLA DE MICROSOFT DE MICROSFT 365 Y FALLA DMARC, y usted ha establecido la Política a P = Cuarentena Gold P = Rechazar, el mensaje está roadd a través del grupo de entrega de alto riesgo para los mensajes salientes. Los correos electrónicos salientes no están aplastados. No hay anulación para el correo electrónico saliente.

Si publica una estrategia de rechazo de DMARC (P = rechazo), ningún otro cliente en Microsoft 365 no puede usurpar su dominio, porque el Los mensajes no podrán pasar los cheques SPF o DKIM para su dominio cuando se transmitirá un mensaje saliente a través del servicio.Por otro lado, si publica una estrategia de rechazo de DMARC, pero que todos sus mensajes de correo electrónico no se autentican a través de Microsoft 365, parte de estos se puede marcar como correo no deseado para correos electrónicos entrantes (como se describe anteriormente). O serán Se negó si no publica SPF e intente transmitirlos en el sentido saliente a través del servicio. Esto puede suceder, por ejemplo, si ha olvidado incluir las direcciones IP de algunos servidores y aplicaciones que envían mensajes en nombre de su dominio cuando haya creado su grabación TXT DMARC. Si publica una política de rechazo de DMARC (P = rechazo) , ningún otro cliente en Microsoft 365 puede falsificar su dominio porque los mensajes no se blebles para pasar SPF Gold DKIM para su dominio al transmitir un mensaje saliendo a través del servicio. Sin embargo, si publica una política de rechazo DMARC, pero no tiene todo su correo electrónico autenticado a través de Microsoft 365, algunos de ellos pueden estar marcados como SPAM para el correo electrónico entrante (como se describe anteriormente), o será rechazado si no lo hace Publique SPF y trate de transmitirlo saliendo a través del servicio. Esto sucede, por ejemplo, si olvida incluir algunas de las direcciones IP para servidores y aplicaciones que envían correo en nombre de su dominio cuando forme su registro DMARC TXT.

Administración de mensajes electrónicos entrantes que fallan a Microsoft 365Cuó Microsoft 365 Maneja Gráficos de correo electrónico de entrada DMARC

Si la política de DMBRC del servidor de envío es p=reject, Exchange Online Protection (EOP) marca el mensaje como un SPOOF En lugar de rechazar. Si la política de DMARC del servidor de envío es p=reject, Exchange Online Protection (EOP) marca el mensaje como Spoof en lugar del rechazo. En otras palabras, para los mensajes entrantes, los procesos de Microsoft 365 p=reject

y p=quarantine de la misma manera. En otras palabras, para correo electrónico entrante, Microsoft 365 TREVES p=reject y p=quarantine de la misma manera. Los administradores pueden definir la acción que se realizará en los mensajes clasificados como la usurpación de identidad en la estrategia anti-hames. Los padres pueden definir la acción para asumir los mensajes clasificados como falsificados dentro de la política antiphishing.

Microsoft 365 Está configurado de esta manera, porque algunos mensajes legítimos pueden fallar en el DMARC.Microsoft 365 se configura así porque algún correo electrónico legítimo puede fallar DMARC. Este puede ser el caso, por ejemplo, si se envía un mensaje a una lista de transmisión que luego los transmite a todos sus participantes. Por ejemplo, un mensaje puede fallar DMARC si se envía a una lista de correo que luego transmite el mensaje a todos Lista de los participantes. Si Microsoft 365 rechaza estos correos electrónicos, los destinatarios pueden perder mensajes legítimos sin tener ninguna manera de recuperarlos. Si Microsoft 365 rechazó estos mensajes, las personas pueden perder un correo electrónico legítimo y no tener manera de recuperarlo. Es por eso que, con esta configuración, estos mensajes todavía son rechazados por DMARC, pero, en lugar de ser rechazados, están marcados como correo no deseados. En encuentlado, estos mensajes seguirán fallarán DMARC, pero se marcarán como spam y no se rechazarán. Si es necesario, los usuarios aún pueden acceder a estos mensajes en su bandeja de entrada a través de los siguientes métodos: Si lo desea, los usuarios aún pueden obtener estos mensajes en su bandeja de entrada a través de estos métodos:

  • Los usuarios agregan individualmente. Añadir aprobado Los remitentes usan su cliente de correo. Los usuarios agregan remitentes seguros individualmente utilizando su cliente de correo electrónico.

  • Los administradores pueden actualizar la inteligencia de los informes contra el robo de identidad para permitir que el usurpación. Los administradores pueden actualizar la falsificación. Informes de inteligencia para permitir la falsificación.

  • Los administradores crean un intercambio de reglas de flujo de mensajería (también llamado regla de transporte) para todos los usuarios que autorizan la transmisión de mensajes de estos envíos en particular. Los administradores crean Una regla de flujo de correo de Exchange (también conocida como regla de transporte) para todos los usuarios que permiten mensajes para esos remitentes en particular.

Si desea saber más, visite la página Crear lista de listas de remitentes aprobada. Para obtener más información, consulte Crear remitente seguro.

Cómo Microsoft 365 usa un canal autenticado (arco). Cómo Microsoft 365 Utilidades autenticadas de la cadena recibida (arco)

Todos los buzones alojados en Microsoft 365 ahora Dibuja la fiesta de ARC con una mejor entrega de mensajes y una protección mejorada contra la identidad de USURPATION D.Todos los buzones alojados en Microsoft 365 ahora obtendrán el beneficio. de ARC con una mejor capacidad de entrega de mensajes y una mayor protección contra la falsificación.ARC retiene los resultados de la autenticación de correo de todos los intermediarios participantes, o los saltos, cuando un correo electrónico se enruta desde el servidor original al buzón de correo del destinatario. Conserva los resultados de la autenticación de correo electrónico de todos los intermedios intermedios participantes, los saltos de oro, cuando un correo electrónico es de la carretera de la carretera. Servidor de origen al buzón del destinatario. Antes de ARC, las modificaciones hechas por intermediarios en el enrutamiento de correo electrónico, como las reglas de transferencia o las firmas automáticas, podrían resultar en fallas DMARC en el momento en que los correos electrónicos llegan al buzón del destinatario. Antes de arco, modificaciones realizadas por intermediarios en el enrutamiento de correo electrónico, como reenvío Reglas de las firmas automáticas de oro, COUD causa DMARC caídas en el momento en que el correo electrónico llegó al buzón del destinatario. Con el arco, la conservación de los resultados de la autenticación permite que Microsoft 365 verifique la autenticidad del remitente de un correo electrónico. Con ARC, la preservación criptográfica de los resultados de la autenticación permite que Microsoft 365 verifique la autenticidad del remitente de un correo electrónico.

Microsoft 365 usa ARC para verificar los resultados de la autenticación cuando Microsoft es el sellador de arco, pero planea agregar soporte para los selladores de arco de terceros en el futuro. Microsoft 365 actualmente utiliza ARC para verificar los resultados de la autenticación cuando Microsoft es el sellador de arco, plan Para agregar soporte para los selladores de arco de terceros en el futuro.

Solucionar problemas de implementación Problemas de la implementación de DMARCUBLESHOTING Su implementación de DMARC

Si EOP no es la primera entrada de los registros MX en su dominio, Las políticas de DMARC en caso de cheques no se aplicarán para su dominio. Evito que haya configurado su Los registros MX de dominio donde EOP no es la primera entrada, las fallas DMARC no se aplicarán para su dominio.

Si usted es un cliente y que la grabación principal de su dominio no apunta a EOP, lo hace No se beneficia de la protección de DMARC. Si está en el cliente, y el registro MX primario de su dominio no apunta a EOP, no obtendrá los beneficios de DMARC. Por ejemplo, DMARC no funciona si la grabación MX apunta a su servidor de correo local y que los correos electrónicos se enrutan a EOP utilizando A. Por ejemplo, el Conector de ejemplo, DMARC no funcionará si señala el registro MX a su Local Servidor de correo y luego por correo electrónico de carretera a EOP mediante el uso de un conector. En este caso, el dominio de recepción es una de sus áreas aceptadas, pero EOP no es el principal registro MX. En este escenario, el dominio de recepción es uno de los dominios aceptados, pero EOP no es el MX principal. Por ejemplo, supongamos que la grabación MX de Contoso.com apunta a contoso.com en sí mismo y que EOP se utiliza como una grabación secundaria MX. La grabación de MX de contoso.com es de la siguiente manera: por ejemplo, asume contoso.com sus puntos MX en sí misma y usa EOP como un registro MX secundario, el registro MX de Contoso.com parece lo siguiente:

El conjunto o la mayoría de los mensajes de correo electrónico primero presentarán a Mail.Contoso.com, ya que es la grabación principal de MX, antes de «reenviar para intercambiar protección en línea. , Gold Muy, el correo electrónico será por primera vez. En algunos casos, la EOP ni siquiera está presente en la lista de registros MX y los conectores simplemente se configuran para enrutar mensajes electrónicos. En algunos casos, es posible que ni siquiera listar EOP como un registro MX en absoluto y simplemente conectar conectores para encender su Email. No es necesario que EOP sea la primera entrada de la validación de DMARC que se realice .eop no tiene que ser la primera entrada para que se realice la validación de DMARC. Es simplemente asegurar la validación porque es imposible asegurarse de que todos los servidores locales / no de Office 365 realicen las verificaciones DMARC.it solo garantizan la validación, ya que no podemos estar seguros de que todos los servidores locales / no O365 harán DMARC Cheques. DMARC es elegible para ser aplicado al dominio de un cliente (y no al servidor) cuando configura el registro DMARC TXT, pero regresa al servidor receptor para realizar realmente la aplicación.DMARC es elegible para ser ejecutado para el dominio de un cliente (No servidor) Cuando configure el registro DMARC TXT, pero corresponde al servidor de recibo en realidad hacer la ejecución. Si configura EOP como un servidor de recepción, la función EOP procede a la aplicación DMARC. Si configura EOP como servidor de recibo, entonces EOP hace el DMARCAGRATIG.

una gráfica de solución de problemas para DMARC, proporcionada por Daniel Mande

para obtener más información para obtener más información

QUIERO MÁS Información sobre DMARC? Estos recursos pueden ayudarlo. ¿Su información sobre DMARC? Estos recursos pueden ayudar.

  • Los encabezados de mensajes de correo electrónico no deseados incluyen la sintaxis y los campos de encabezado utilizados por Microsoft 365 para los encabezados de mensajes DMARC.anti-SPAM, se utilizan los campos de sintaxis y encabezados utilizados. por Microsoft 365 para las verificaciones de DMARC.

  • Ver la serie M3AAWG DMARC TRAINING (Mensajería, Malware, Grupo de trabajo contra el abuso móvil) .Take The DMARC Training Series de M3AAWG (Mensajería, Malware, grupo de trabajo de micrófono móvil).

  • Utilice la lista de verificación ofrecida por dmarcian.use la lista de verificación en Dmarcian.

  • Vaya directamente a la fuente en dmarc.org.go directamente a la fuente en dmarc.org.

  • Consulte también aussisee también

    Cómo Microsoft 365 usa SPF (marco de política del remitente) para evitar que Microsoft usurpationHow 365 usa el marco de la política del remitente (SPF) para evitar la falsificación

    Configurar SPF en Microsoft 365 para evitar usurpes y UP SPF en Microsoft 365 para ayudar a prevenir la falsificación

    usando DKIM para validar los mensajes salientes enviados desde su dominio personalizado en Microsoft 365USE DKIM para validar el correo electrónico de salida de su dominio personalizado en Microsoft 365

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *