Come impostare DMARC per Office 365: Guida passo passo
di
Tempo di lettura: 11 min
Microsoft supporta e incoraggia il DMARC per gli utenti di Office 365, che consente loro di adottare i protocolli di autenticazione delle email all'unanimità su tutti i loro domini registrati. In questo blog spieghiamo le procedure per impostare DMARC per Office 365 per convalidare le e-mail di Office 365 che hanno:
- Indirizzi di routing e-mail online con Microsoft
- Domini personalizzati aggiunti nel centro di amministrazione
- Domini parcheggiati o inattivi, ma registrati
Nel secondo trimestre del 2023, Microsoft è stato definito da varie fonti il marchio più impersonato nelle truffe di phishing. Protocolli come DMARC sono indispensabili per potenziare il vostro meccanismo di difesa.
I punti chiave da prendere in considerazione
- Il DMARC è essenziale per migliorare la sicurezza delle e-mail e impedisce lo spoofing dei domini e gli abusi di phishing.
- L'impostazione del DMARC richiede i record SPF o DKIM esistenti per un'autenticazione ottimale delle e-mail.
- Il monitoraggio e l'adeguamento dei criteri DMARC da nessuno a zero è fondamentale per migliorare gradualmente la sicurezza delle e-mail.
- Anche i domini inattivi dovrebbero avere il DMARC configurato per prevenire attività di posta elettronica non autorizzate.
- PowerDMARC offre funzionalità avanzate di reporting e monitoraggio che migliorano l'efficacia di DMARC in Office 365.
Scopriamo come il DMARC in Office 365 aiuta a prevenire le minacce sofisticate alle e-mail.
Come impostare DMARC per Office 365
DMARC o Domain-based Message Authentication, Reporting, and Conformance esiste come record TXT nel DNS del vostro dominio. Il DMARC funge da difesa primaria contro le minacce provenienti dal vostro dominio. Prima di configurare il DMARC, il vostro dominio deve contenere i record SPF o DKIM o, meglio ancora, entrambi, per una protezione avanzata.
Se si utilizza un dominio personalizzato, di seguito sono riportati i passaggi per creare il record DMARC. Si noti che non è obbligatorio configurare sia SPF che DKIM per impostare il DMARC. È tuttavia consigliabile aggiungere un ulteriore livello di protezione.
Semplificate il DMARC per Office 365 con PowerDMARC!
Cose da considerare prima di iniziare
Secondo documenti di Microsoft:
- Se si utilizza MOERA (Microsoft Online Email Routing Address), che dovrebbe terminare con onmicrosoft.com, SPF e DKIM saranno già configurati. Tuttavia, è necessario creare i record DMARC utilizzando il centro di amministrazione di Microsoft 365.
- Se si utilizza un dominio personalizzato, come example.com, è necessario configurare manualmente SPF, DKIM e DMARC per il proprio dominio.
- Per i domini parcheggiati (domini inattivi), Microsoft consiglia di assicurarsi di specificare esplicitamente che non devono essere inviati messaggi di posta elettronica da questi domini. In caso contrario, questi domini potrebbero essere utilizzati per attacchi di spoofing e phishing.
- Per i messaggi inoltrati o modificati in transito, è essenziale impostare ARC. Ciò consente di preservare le intestazioni di autenticazione delle e-mail originali nonostante le modifiche, per un'autenticazione accurata.
Passo 1: Identificare le fonti di posta elettronica valide per il proprio dominio
Si tratta di indirizzi IP di origine (comprese le terze parti) a cui si desidera consentire l'invio di e-mail per conto dell'utente.
Passo 2: Impostare l'SPF per il proprio dominio
Ora è necessario configurare SPF per la verifica del mittente. A tal fine, è necessario creare un record SPF TXT che includa tutte le fonti di invio valide, compresi i fornitori di e-mail esterni. Potete iscrivervi gratuitamente a PowerDMARC e utilizzare il nostro strumento di generazione di record SPF per creare il vostro record.
Passo 3: impostare DKIM per Office 365 sul proprio dominio
Per abilitare il DMARC di Office 365 è necessario che il dominio sia configurato con SPF o DKIM. Si consiglia di configurare DKIM e DMARC su Office 365 per garantire un ulteriore livello di sicurezza alle e-mail del vostro dominio. Potete iscrivervi gratuitamente a PowerDMARC e utilizzare il nostro strumento di generazione di record DKIM per creare il vostro record.
Passo 4: Creare un record DMARC TXT
È possibile utilizzare il generatore di record DMARC gratuito di PowerDMARC generatore di record DMARC per questo passaggio. Generate immediatamente un record con la sintassi corretta da pubblicare nel vostro DNS e configurate il DMARC per il vostro dominio!
Si noti che solo una politica di applicazione di rifiutare può prevenire efficacemente gli attacchi di impersonificazione. Si consiglia di iniziare con un criterio nessuno e monitorare regolarmente il traffico e-mail. Fate questo per qualche tempo prima di passare definitivamente all'applicazione.
Per il vostro record DMARC, definite la modalità del criterio (nessuno/quarantena/rifiuto) e un indirizzo e-mail nel campo "rua" se desiderate ricevere i rapporti DMARC.
| Politica DMARC | Tipo di politica | Sintassi | Azione |
|---|---|---|---|
| nessuno | rilassato/assenza di azione/permissivo | p=nessuno; | Non intervenire sui messaggi che non superano l'autenticazione, cioè consegnarli. |
| quarantena | forzato | p=quarantena; | Quarantena dei messaggi che non superano il DMARC |
| scarto | forzato | p=rifiuto; | Scartare i messaggi che non superano il DMARC |
La sintassi del record DMARC può essere simile a questa:
v=DMARC1; p=reject; rua=mailto:[email protected];
Questo record ha un criterio di "rifiuto" ed è stato attivato il reporting aggregato DMARC per il dominio.
Passaggi per aggiungere un record DMARC di Office 365 utilizzando Microsoft Admin Center
Per aggiungere il proprio record DMARC Office 365 per domini MOERA (domini *onmicrosoft.com), questi sono i passi da seguire:
1. Accedere al centro di amministrazione Microsoft
2. Andare a Mostra tutto > Impostazioni > Domini
3. Selezionate il vostro dominio *onmicrosoft.com dall'elenco dei domini nella pagina Domini per aprire la pagina dei dettagli del dominio.
4. Fare clic sulla scheda Record DNS di questa pagina e selezionare + Aggiungi record
5. Verrà visualizzata una casella di testo per aggiungere un nuovo record DMARC, con vari campi. Di seguito sono riportati i valori da inserire per i campi specifici:
Tipo: TXT
Nome: _dmarc
TTL: 1 ora
Valore: (incollare il valore del record DMARC creato)
6. Fare clic su Salva
Aggiunta del record DMARC di Office 365 per il dominio personalizzato
Se si dispone di un dominio personalizzato, come example.com, abbiamo preparato una guida dettagliata su su come impostare il DMARC. Potete seguire i passaggi della nostra guida per configurare facilmente il protocollo. Microsoft fornisce alcune preziose raccomandazioni per la configurazione del DMARC per i domini personalizzati. Siamo d'accordo con questi consigli e li suggeriamo anche ai nostri clienti! Vediamo quali sono:
- Quando si configura il DMARC, si inizia con un criterio di tipo "nessuno".
- Passare lentamente alla quarantena e poi al rifiuto.
- Si può anche mantenere un valore percentuale basso (pct) per l'impatto della polizza, iniziando con 10 e aumentando lentamente fino a 100.
- Assicuratevi di aver abilitato il reporting DMARC per monitorare regolarmente i vostri canali e-mail.
Aggiunta di un record DMARC di Office 365 per i domini inattivi
Abbiamo preparato una guida dettagliata su proteggere i vostri domini inattivi/parcheggiati con SPF, DKIM e DMARC. Potete seguire i passaggi dettagliati, ma per una rapida panoramica, anche i vostri domini inattivi devono avere il DMARC configurato.
È sufficiente pubblicare un record DMARC accedendo alla console di gestione DNS per il dominio inattivo. Se non avete accesso al vostro DNS, contattate subito il vostro provider DNS. Questo record può essere configurato per rifiutare tutti i messaggi provenienti da domini inattivi che non superano il DMARC:
v=DMARC1; p=rifiuto;
Configurare DMARC per Office 365 nel modo giusto con PowerDMARC!
Perché impostare il DMARC per Office 365?
Office 365 è dotato di soluzioni anti-spam e sicurezza delle e-mail gateway di sicurezza e-mail già integrati nella sua suite di sicurezza. Quindi, perché si dovrebbe richiedere un criterio DMARC in Office 365 per l'autenticazione? Perché queste soluzioni proteggono solo dalle e-mail di phishing in entrata. e-mail di phishing inviate al vostro dominio. Il protocollo di autenticazione DMARC è la soluzione di prevenzione del phishing in uscita. Consente ai proprietari di domini di specificare ai server di posta elettronica riceventi come rispondere alle e-mail inviate dal vostro dominio che non superano l'autenticazione. Il DMARC riduce anche il rischio che i messaggi legittimi finiscano nella cartella dello spam.
Il DMARC si avvale di due pratiche di autenticazione standard, SPF e DKIM. Queste convalidano l'autenticità delle e-mail. I criteri DMARC di Office 365 possono offrire una maggiore protezione contro gli attacchi di impersonificazione e spoofing.
L'impostazione del DMARC per le e-mail aziendali è più importante che mai nello scenario attuale perché:
- Le agenzie federali hanno lanciato avvertimenti contro gli hacker che sfruttano politiche DMARC assenti o deboli. deboli politiche DMARC
- Laconformità al DMARC è obbligatoria per Mittenti di Yahoo e Google
- Il rapporto IC3 dell'FBI indica gli Stati Uniti come il paese più colpito dagli attacchi di phishing.
- IBM riporta che un'azienda su cinque è colpita da violazioni di dati dovute alla perdita o al furto di credenziali.
È davvero necessario il DMARC quando si utilizza Office 365?
C'è un'idea sbagliata comune tra le aziende: pensano che Office 365 garantisca la sicurezza dallo spam e dalle e-mail fraudolente. Tuttavia, nel maggio 2020, una serie di attacchi di phishing sono stati condotti a diverse società assicurative del Medio Oriente. Gli aggressori hanno utilizzato Office 365, causando una significativa perdita di dati e violazioni della sicurezza. Ecco cosa abbiamo imparato da questa vicenda:
Motivo 1: la soluzione di sicurezza di Microsoft non è infallibile
Ecco perché affidarsi semplicemente alle soluzioni di sicurezza integrate di Microsoft non è sufficiente. È necessario compiere degli sforzi esterni per proteggere il proprio dominio, e questo può essere un grave errore.
Motivo 2: È necessario impostare DMARC per Office 365 per proteggersi dagli attacchi in uscita.
Sebbene le soluzioni di sicurezza integrate di Office 365 possano offrire protezione contro le minacce alle e-mail in entrata e i tentativi di phishing, è comunque necessario garantire che i messaggi in uscita inviati dal proprio dominio siano autenticati in modo efficace prima di arrivare nelle caselle di posta di clienti e partner. È qui che interviene DMARC per Office 365.
Motivo 3: DMARC vi aiuterà a monitorare i vostri canali di posta elettronica
Il DMARC non solo protegge il vostro dominio dallo spoofing del dominio diretto e dagli attacchi di phishing. Vi aiuta anche a monitorare i vostri canali e-mail. Sia che si tratti di un criterio imposto come "rifiuto/quarantena", sia di un criterio più indulgente come "nessuno", è possibile monitorare i risultati dell'autenticazione con Rapporti DMARC. Questi rapporti vengono inviati al vostro indirizzo e-mail o a un analizzatore di rapporti DMARC. analizzatore di rapporti DMARC strumento di analisi dei rapporti DMARC. Il monitoraggio assicura che le vostre e-mail legittime vengano consegnate correttamente.
Come funziona il DMARC in Office 365?
Per implementare il DMARC in Office 365, i proprietari dei domini devono pubblicare i record DMARC nelle loro impostazioni DNS. Possono specificare il loro criterio preferito (nessuno, quarantena o rifiuto). Possono anche configurare le e-mail di Office 365 con spoofing in modo che vengano rifiutate dai server di ricezione.
Gli amministratori di Office 365 possono gestire le impostazioni DMARC attraverso il centro di amministrazione di Exchange o i comandi di PowerShell.
È inoltre possibile impostare il DMARC in Office 365 per richiedere rapporti su come le e-mail del proprio dominio vengono gestite da terzi.
Cosa succede se il criterio DMARC non è abilitato in Office 365?
Se non si attiva il DMARC per Office 365, si rischia di subire lo spoofing del proprio dominio.
Il DMARC è stato progettato per proteggere il vostro dominio dallo spoofing da parte di mittenti di e-mail che vogliono accedere ai vostri sistemi di posta elettronica e utilizzarli per frodi o phishing.
Senza un criterio definito, il vostro record è come se fosse inattivo. Se non si abilita un criterio DMARC per le e-mail di Office 365, significa che chiunque può inviare e-mail a nome del vostro dominio, anche se non è autorizzato a farlo. Inoltre, non è possibile determinare chi abbia inviato il messaggio e se provenga o meno da una fonte autorizzata.
In qualità di proprietari di domini, dovete sempre prestare attenzione alle minacce che lanciano attacchi di spoofing di domini e attacchi di phishing per utilizzare il vostro dominio o il nome del vostro marchio per svolgere attività dannose. Indipendentemente dalla soluzione di scambio di e-mail utilizzata, proteggere il vostro dominio da spoofing e impersonificazione è imperativo per garantire la credibilità del marchio e mantenere la fiducia della vostra stimata base di clienti.
Perché utilizzare PowerDMARC con Office 365?
Microsoft Office 365 offre agli utenti una serie di servizi e soluzioni basati sul cloud e filtri anti-spam integrati. Tuttavia, nonostante i vari vantaggi, questi sono gli svantaggi che si possono incontrare durante l'utilizzo dal punto di vista della sicurezza:
- Nessuna soluzione per convalidare i messaggi in uscita inviati dal tuo dominio
- Nessun meccanismo di segnalazione per le email che falliscono i controlli di autenticazione
- Nessuna visibilità sul tuo ecosistema di email
- Nessuna dashboard per gestire e monitorare la posta in entrata e il flusso di email in uscita
- Nessun meccanismo per garantire che il record SPF sia sempre al di sotto del limite di 10 ricerche.
Segnalazione e monitoraggio DMARC con PowerDMARC
PowerDMARC si integra perfettamente con Office 365 per offrire ai proprietari di domini soluzioni di autenticazione avanzate che proteggono da attacchi sofisticati di social engineering come BEC e spoofing diretto del dominio.
Quando ci si iscrive a PowerDMARC si sottoscrive una piattaforma SaaS multi-tenant che non solo riunisce tutte le best practice di autenticazione delle email (SPF, DKIM, DMARC, MTA-STS, TLS-RPT e BIMI), ma fornisce anche un meccanismo di reporting dmarc ampio e approfondito, che offre una visibilità completa del vostro ecosistema e-mail. I rapporti DMARC sulla dashboard di PowerDMARC sono generati in due formati:
- Rapporti aggregati
- Rapporti forensi
Abbiamo cercato di migliorare l'esperienza di autenticazione risolvendo diversi problemi del settore. Garantiamo la crittografia dei vostri rapporti forensi DMARC e visualizziamo i rapporti aggregati in 7 diverse visualizzazioni per migliorare l'esperienza e la chiarezza dell'utente.
PowerDMARC vi aiuta a monitorare il flusso di e-mail e i fallimenti di autenticazione, e a creare una lista nera indirizzi IP dannosi da tutto il mondo. Il nostro analizzatore DMARC vi aiuta a configurare correttamente il DMARC per il vostro dominio e a passare dal monitoraggio all'applicazione in pochissimo tempo. Questo vi aiuterà ad attivare il DMARC di Office 365 senza preoccuparvi delle complessità che esso comporta.
Domande frequenti su DMARC per Office 365
Processo di revisione dei contenuti e di verifica dei fatti
Le informazioni sul processo di configurazione di Office 365 DMARC sono state tratte dalla documentazione ufficiale di Microsoft. Il documento potrebbe essere aggiornato in futuro in base alle modifiche apportate dagli sviluppatori sul portale Microsoft. Le raccomandazioni riportate nell'articolo si basano su ciò che ha funzionato per i nostri clienti in tempo reale e possono essere utili anche a voi.
Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC
Yunes è un Operations Team Lead di PowerDMARC, esperto di autenticazione e sicurezza delle e-mail. Yunes è un Azure Administrator Associate certificato da Microsoft con certificazioni in CompTIA A+ e molte altre.
Ultimi messaggi di Yunes Tarada (vedi tutti)
- Attacchi di salting via e-mail: Come il testo nascosto aggira la sicurezza - 26 febbraio 2025
- Appiattimento della SPF: Cos'è e perché ne avete bisogno? - 26 febbraio 2025
- DMARC vs DKIM: differenze chiave e funzionamento comune - 16 febbraio 2025
