Microsoft supporta e incoraggia gli utenti di Office 365 ad adottare protocolli di autenticazione delle e-mail come DMARC all'unanimità su tutti i loro domini registrati. In questo blog spieghiamo le procedure per impostare DMARC per convalidare le e-mail di Office 365 per coloro che hanno:
- Indirizzi di routing e-mail online con Microsoft
- Domini personalizzati aggiunti nel centro di amministrazione
- Domini parcheggiati o inattivi, ma registrati
A partire dal dicembre 2023, i rapporti suggeriscono che il numero di utenti attivi di Office 365 in tutto il mondo ha superato i 9 milioni al giorno, con 345 milioni di iscritti a pagamento. Nel secondo trimestre del 2023, Microsoft è stato definito da varie fonti il marchio più impersonato nelle truffe di phishing. I criminali informatici conducono frodi via e-mail superando in astuzia le soluzioni di sicurezza integrate di Microsoft, che da sole non sono abbastanza forti da prevenire tutti gli attacchi. Pertanto, protocolli aggiuntivi come DMARC sono indispensabili per potenziare il meccanismo di difesa.
Scopriamo come impostare il DMARC di Office 365 per prevenire minacce sofisticate alle e-mail.
Perché impostare Office 365 DMARC?
Office 365 è dotato di soluzioni anti-spam e sicurezza delle e-mail gateway di sicurezza e-mail già integrati nella sua suite di sicurezza. Quindi, perché si dovrebbe richiedere il DMARC di Office 365 per l'autenticazione? Perché queste soluzioni proteggono solo dalle email di e-mail di phishing inviate al vostro dominio. Il protocollo di autenticazione DMARC è la soluzione di prevenzione del phishing in uscita. Consente ai proprietari di domini di specificare ai server di posta elettronica riceventi come rispondere alle e-mail inviate dal vostro dominio che non superano l'autenticazione. Il DMARC riduce anche il rischio che i messaggi legittimi finiscano nella cartella dello spam.
Il DMARC si avvale di due pratiche di autenticazione standard, SPF e DKIM. Queste convalidano l'autenticità delle e-mail. I criteri DMARC di Office 365 possono offrire una maggiore protezione contro gli attacchi di impersonificazione e spoofing.
L'impostazione del DMARC per le e-mail di Office 365 è più importante che mai nello scenario attuale perché:
- Le agenzie federali hanno lanciato avvertimenti contro gli hacker che sfruttano politiche DMARC assenti o deboli. deboli politiche DMARC
- La conformità al DMARC è obbligatoria per Mittenti di Yahoo e Google
- Il rapporto IC3 dell'FBI indica gli Stati Uniti come il paese più colpito dagli attacchi di phishing.
- IBM riporta che un'azienda su cinque è colpita da violazioni di dati dovute alla perdita o al furto di credenziali.
È davvero necessario il DMARC quando si utilizza Office 365?
C'è un'idea sbagliata comune tra le aziende: pensano che Office 365 garantisca la sicurezza dallo spam e dalle e-mail fraudolente. Tuttavia, nel maggio 2020, una serie di attacchi di phishing sono stati condotti a diverse società assicurative del Medio Oriente. Gli aggressori hanno utilizzato Office 365, causando una significativa perdita di dati e violazioni della sicurezza. Ecco cosa abbiamo imparato da questa vicenda:
Motivo 1: la soluzione di sicurezza di Microsoft non è infallibile
Ecco perché affidarsi semplicemente alle soluzioni di sicurezza integrate di Microsoft non è sufficiente. È necessario compiere degli sforzi esterni per proteggere il proprio dominio, e questo può essere un grave errore.
Motivo 2: È necessario impostare il DMARC di Office 365 per proteggersi dagli attacchi in uscita.
Sebbene le soluzioni di sicurezza integrate di Office 365 possano offrire protezione contro le minacce alle e-mail in entrata e i tentativi di phishing, è comunque necessario garantire che i messaggi in uscita inviati dal proprio dominio siano autenticati in modo efficace prima di arrivare nelle caselle di posta di clienti e partner. È qui che interviene DMARC per Office 365.
Motivo 3: DMARC vi aiuterà a monitorare i vostri canali di posta elettronica
Il DMARC non solo protegge il vostro dominio dallo spoofing del dominio diretto e dagli attacchi di phishing. Vi aiuta anche a monitorare i vostri canali e-mail. Sia che si utilizzi un criterio imposto come "rifiuto/quarantena", sia che si utilizzi un criterio più indulgente come "nessuno", è possibile tenere traccia dei risultati dell'autenticazione con Rapporti DMARC. Questi rapporti vengono inviati al vostro indirizzo e-mail o a un analizzatore di rapporti DMARC. analizzatore di rapporti DMARC strumento di analisi dei rapporti DMARC. Il monitoraggio garantisce che le vostre e-mail legittime vengano consegnate correttamente.
Come funziona il DMARC in Office 365?
Per implementare il DMARC in Office 365, i proprietari dei domini devono pubblicare i record DMARC nelle loro impostazioni DNS. Possono specificare il loro criterio preferito (nessuno, quarantena o rifiuto). Possono anche configurare le e-mail di Office 365 con spoofing in modo che vengano rifiutate dai server di ricezione.
Gli amministratori di Office 365 possono gestire le impostazioni DMARC attraverso il centro di amministrazione di Exchange o i comandi di PowerShell.
È inoltre possibile configurare DMARC Office 365 per richiedere rapporti su come le e-mail del proprio dominio vengono gestite da terzi.
Ora vediamo come implementare il DMARC di Office 365:
Cose da considerare prima di iniziare
Secondo documenti di Microsoft:
- Se si utilizza MOERA (Microsoft Online Email Routing Address), che dovrebbe terminare con onmicrosoft.com, SPF e DKIM saranno già configurati. Tuttavia, dovrete creare i vostri record DMARC utilizzando il centro di amministrazione di Microsoft 365.
- Se si utilizza un dominio personalizzato, come example.com, è necessario configurare manualmente SPF, DKIM e DMARC per il proprio dominio.
- Per i domini parcheggiati (domini inattivi), Microsoft consiglia di assicurarsi di specificare esplicitamente che non devono essere inviati messaggi di posta elettronica da questi domini. In caso contrario, questi domini potrebbero essere utilizzati per attacchi di spoofing e phishing.
- Per i messaggi inoltrati o modificati in transito, è essenziale impostare ARC. Ciò consente di preservare le intestazioni di autenticazione delle e-mail originali nonostante le modifiche, per un'autenticazione accurata.
Come impostare il DMARC per Office 365?
DMARC o Domain-based Message Authentication, Reporting, and Conformance esiste come record TXT nel DNS del vostro dominio. Il DMARC funge da difesa primaria contro le minacce provenienti dal vostro dominio. Prima di configurare il DMARC, il vostro dominio deve contenere i record SPF o DKIM o, meglio ancora, entrambi, per una protezione avanzata.
Se si utilizza un dominio personalizzato, di seguito sono riportati i passaggi per creare il record DMARC. Si noti che non è obbligatorio configurare sia SPF che DKIM per impostare il DMARC. È tuttavia consigliabile aggiungere un ulteriore livello di protezione.
Passo 1: Identificare le fonti di posta elettronica valide per il proprio dominio
Si tratta di indirizzi IP di origine (comprese le terze parti) a cui si desidera consentire l'invio di e-mail per conto dell'utente.
Passo 2: Impostare l'SPF per il proprio dominio
Ora è necessario configurare SPF per la verifica del mittente. A tal fine, è necessario creare un record SPF TXT che includa tutte le fonti di invio valide, compresi i fornitori esterni di e-mail. Potete iscrivervi gratuitamente a PowerDMARC e utilizzare il nostro strumento di generazione di record SPF per creare il vostro record.
Passo 3: Impostare il DKIM per il proprio dominio
Per abilitare il DMARC di Office 365 è necessario che il dominio sia configurato con SPF o DKIM. Si consiglia di configurare DKIM per un ulteriore livello di sicurezza delle e-mail del vostro dominio. Potete iscrivervi gratuitamente a PowerDMARC e utilizzare il nostro strumento di generazione di record SPF per creare il vostro record.
Passo 4: Creare un record DMARC TXT
È possibile utilizzare il generatore di record DMARC gratuito di PowerDMARC generatore di record DMARC per questo passaggio. Generate immediatamente un record con la sintassi corretta da pubblicare nel vostro DNS e configurate il DMARC per il vostro dominio!
Si noti che solo una politica di applicazione di rifiutare può prevenire efficacemente gli attacchi di impersonificazione. Si consiglia di iniziare con un criterio nessuno e monitorare regolarmente il traffico e-mail. Fate questo per qualche tempo prima di passare definitivamente all'applicazione.
Per il vostro record DMARC, definite la modalità del criterio (nessuno/quarantena/rifiuto) e un indirizzo e-mail nel campo "rua" se desiderate ricevere i rapporti DMARC.
indirizzo e-mail nel campo "rua" se si desidera ricevere i rapporti DMARC.
| Politica DMARC | Tipo di politica | Sintassi | Azione |
|---|---|---|---|
| nessuno | rilassato/assenza di azione/permissivo | p=nessuno; | Non intervenire sui messaggi che non superano l'autenticazione, cioè consegnarli. |
| quarantena | forzato | p=quarantena; | Quarantena dei messaggi che non superano il DMARC |
| scarto | forzato | p=rifiuto; | Scartare i messaggi che non superano il DMARC |
La sintassi del record DMARC può essere simile a questa:
v=DMARC1; p=reject; rua=mailto:reporting@example.com;
Questo record ha un criterio di "rifiuto" ed è stato attivato il reporting aggregato DMARC per il dominio.
Passaggi per aggiungere un record DMARC di Office 365 utilizzando Microsoft Admin Center
Per aggiungere il record DMARC di Office 365 per domini MOERA (domini *onmicrosoft.com), questi sono i passi da seguire:
1. Accedere al centro di amministrazione Microsoft
2. Andare a Mostra tutto > Impostazioni > Domini
3. Selezionate il vostro dominio *onmicrosoft.com dall'elenco dei domini nella pagina Domini per aprire la pagina dei dettagli del dominio.
4. Fare clic sulla scheda Record DNS di questa pagina e selezionare + Aggiungi record
5. Verrà visualizzata una casella di testo per aggiungere un nuovo record DMARC, con vari campi. Di seguito sono riportati i valori da inserire per i campi specifici:
Tipo: TXT
Nome: _dmarc
TTL: 1 ora
Valore: (incollare il valore del record DMARC creato)
6. Fare clic su Salva
Aggiunta del record DMARC di Office 365 per il dominio personalizzato
Se si dispone di un dominio personalizzato, come example.com, abbiamo preparato una guida dettagliata su su come impostare il DMARC. Potete seguire i passaggi della nostra guida per configurare facilmente il protocollo. Microsoft fornisce alcune preziose raccomandazioni per la configurazione del DMARC per i domini personalizzati. Siamo d'accordo con questi consigli e li suggeriamo anche ai nostri clienti! Vediamo quali sono:
- Quando si configura il DMARC, si inizia con un criterio di tipo "nessuno".
- Passare lentamente alla quarantena e poi al rifiuto.
- Si può anche mantenere un valore percentuale basso (pct) per l'impatto della polizza, iniziando con 10 e aumentando lentamente fino a 100.
- Assicuratevi di aver abilitato il reporting DMARC per monitorare regolarmente i vostri canali e-mail.
Aggiunta del record DMARC di Office 365 per i domini inattivi
Abbiamo preparato una guida dettagliata su proteggere i vostri domini inattivi/parcheggiati con SPF, DKIM e DMARC. Potete seguire i passaggi dettagliati, ma per una rapida panoramica, anche i vostri domini inattivi devono avere il DMARC configurato.
È sufficiente pubblicare un record DMARC accedendo alla console di gestione DNS per il dominio inattivo. Se non avete accesso al vostro DNS, contattate subito il vostro provider DNS. Questo record può essere configurato per rifiutare tutti i messaggi provenienti da domini inattivi che non superano il DMARC:
v=DMARC1; p=rifiuto;
Cosa succede se il criterio DMARC non è abilitato in Office 365?
Se non si abilita il criterio DMARC di Office 365, si rischia di subire lo spoofing del proprio dominio.
Il DMARC è stato progettato per proteggere il vostro dominio dallo spoofing da parte di mittenti di e-mail che vogliono accedere ai vostri sistemi di posta elettronica e utilizzarli per frodi o phishing.
Senza un criterio definito, il vostro record è come se fosse inattivo. Se non si abilita un criterio DMARC per le e-mail di Office 365, significa che chiunque può inviare e-mail a nome del vostro dominio, anche se non è autorizzato a farlo. Inoltre, non è possibile determinare chi abbia inviato il messaggio e se provenga o meno da una fonte autorizzata.
In qualità di proprietari di domini, dovete sempre prestare attenzione alle minacce che lanciano attacchi di spoofing di domini e attacchi di phishing per utilizzare il vostro dominio o il nome del vostro marchio per svolgere attività dannose. Indipendentemente dalla soluzione di scambio di e-mail utilizzata, proteggere il vostro dominio da spoofing e impersonificazione è imperativo per garantire la credibilità del marchio e mantenere la fiducia della vostra stimata base di clienti.
5 motivi per cui è necessario PowerDMARC quando si utilizza Microsoft Office 365
Microsoft Office 365 offre agli utenti una serie di servizi e soluzioni basati sul cloud e filtri anti-spam integrati. Tuttavia, nonostante i vari vantaggi, questi sono gli svantaggi che si possono incontrare durante l'utilizzo dal punto di vista della sicurezza:
- Nessuna soluzione per convalidare i messaggi in uscita inviati dal tuo dominio
- Nessun meccanismo di segnalazione per le email che falliscono i controlli di autenticazione
- Nessuna visibilità sul tuo ecosistema di email
- Nessuna dashboard per gestire e monitorare la posta in entrata e il flusso di email in uscita
- Nessun meccanismo per garantire che il record SPF sia sempre al di sotto del limite di 10 ricerche.
Segnalazione e monitoraggio DMARC con PowerDMARC
PowerDMARC si integra perfettamente con Office 365 per offrire ai proprietari di domini soluzioni di autenticazione avanzate che proteggono da attacchi sofisticati di social engineering come BEC e spoofing diretto del dominio.
Quando ci si iscrive a PowerDMARC si sottoscrive una piattaforma SaaS multi-tenant che non solo riunisce tutte le best practice di autenticazione delle email (SPF, DKIM, DMARC, MTA-STS, TLS-RPT e BIMI), ma fornisce anche un meccanismo di reporting dmarc ampio e approfondito, che offre una visibilità completa del vostro ecosistema e-mail. I rapporti DMARC sulla dashboard di PowerDMARC sono generati in due formati:
- Rapporti aggregati
- Rapporti forensi
Abbiamo cercato di migliorare l'esperienza di autenticazione risolvendo diversi problemi del settore. Garantiamo la crittografia dei vostri rapporti forensi DMARC e visualizziamo i rapporti aggregati in 7 diverse visualizzazioni per migliorare l'esperienza e la chiarezza dell'utente.
PowerDMARC vi aiuta a monitorare il flusso di e-mail e i fallimenti di autenticazione, e a creare una lista nera indirizzi IP dannosi da tutto il mondo. Il nostro analizzatore DMARC vi aiuta a configurare correttamente il DMARC per il vostro dominio e a passare dal monitoraggio all'applicazione in pochissimo tempo. Questo vi aiuterà ad abilitare il DMARC di Office 365 senza preoccuparvi delle complessità che esso comporta.
Domande frequenti
1. Stiamo già utilizzando una piattaforma di sicurezza e-mail come Microsoft Defender per Office 365. Perché abbiamo bisogno di PowerDMARC?
Mentre Microsoft Defender per Office 365 è efficace per la sicurezza generale della posta elettronica, PowerDMARC offre funzionalità specializzate e mirate ai protocolli di autenticazione della posta elettronica come DMARC. Offre funzionalità avanzate di reportistica, monitoraggio e avviso per combattere spoofing, phishing e altre attività fraudolente.
L'integrazione di PowerDMARC con Office 365 migliora la postura di sicurezza delle e-mail e fornisce una visibilità completa dell'ecosistema e-mail, salvaguardando la reputazione del marchio e riducendo il rischio di attacchi basati sulle e-mail.
Con PowerDMARC è possibile:
- Generare i record DMARC in modo accurato e istantaneo
- Visualizzazione dei rapporti DMARC semplificati di Office 365
- Monitorare il traffico e il comportamento delle e-mail
- Passare da una modalità all'altra del criterio DMARC senza accedere al DNS
2. Qual è la differenza tra Office365 DMARC e ciò che offre PowerDMARC?
Le funzionalità DMARC native di Office 365 forniscono funzionalità di base per l'autenticazione delle e-mail, come la possibilità di pubblicare record DMARC e di ricevere report aggregati. Tuttavia, PowerDMARC va oltre queste funzioni di base, offrendo funzionalità avanzate di reporting, monitoraggio e avviso.
Forniamo analisi dettagliate e rapporti forensi, visibilità completa sul traffico e-mail e misure proattive per proteggere la reputazione del vostro dominio.
Inoltre, PowerDMARC semplifica l'implementazione e la gestione dei criteri DMARC grazie a strumenti di automazione e al supporto di esperti.
3. Il DMARC non è gratuito?
Sì, il DMARC è uno standard libero e aperto. Tuttavia, l'implementazione e la gestione efficace del DMARC possono richiedere tempo, risorse e competenze significative.
Mentre è possibile pubblicare record DMARC e ricevere report aggregati di base a costo zero, le piattaforme avanzate di gestione DMARC come PowerDMARC offrono funzionalità e servizi aggiuntivi, come analisi dettagliate, monitoraggio, avvisi e supporto di esperti, che vengono forniti con un costo di abbonamento molto conveniente.
Sebbene il DMARC sia gratuito, l'utilizzo di una piattaforma come PowerDMARC può semplificare il processo di implementazione, migliorare la sicurezza delle e-mail e fornire preziose informazioni sul vostro ecosistema e-mail. Questo cambierà le carte in tavola per proteggere la reputazione del vostro marchio e ridurre il rischio di attacchi basati sulle e-mail.
Processo di revisione dei contenuti e di verifica dei fatti
Le informazioni sul processo di configurazione di Office 365 DMARC sono state tratte dalla documentazione ufficiale di Microsoft. Il documento potrebbe essere aggiornato in futuro in base alle modifiche apportate dagli sviluppatori sul portale Microsoft. Le raccomandazioni riportate nell'articolo si basano su ciò che ha funzionato per i nostri clienti in tempo reale e possono essere utili anche a voi.
- Come impostare il DMARC in Office 365? Guida passo-passo - 6 maggio 2024
- Codici di errore SMTP Yahoo spiegati - 1 maggio 2024
- SPF Softfail Vs Hardfail: Qual è la differenza? - 26 aprile 2024