Microsoft ondersteunt en stimuleert DMARC voor Office 365-gebruikers, waardoor ze e-mailverificatieprotocollen kunnen gebruiken unaniem toe te passen op al hun geregistreerde domeinen. In deze blog leggen we uit hoe je DMARC voor Office 365 kunt instellen om Office 365 e-mails te valideren:
- Online e-mailadressen doorsturen met Microsoft
- Aangepaste domeinen toegevoegd in het beheercentrum
- Geparkeerde of inactieve, maar geregistreerde domeinen
In het tweede kwartaal van 2023 werd Microsoft door verschillende bronnen het meest geïmiteerde merk in phishing scams genoemd. Protocollen zoals DMARC zijn noodzakelijk om je verdedigingsmechanisme te versterken.
Laten we eens kijken hoe je DMARC instelt in Office 365 om geavanceerde e-mailbedreigingen te voorkomen.
DMARC instellen voor Office 365
DMARC of Domain-based Message Authentication, Reporting, and Conformance bestaat als een TXT-record in het DNS van je domein. DMARC fungeert als een primaire verdediging tegen e-mailbedreigingen die afkomstig zijn van je eigen domein. Voordat je DMARC configureert, moet je domein records bevatten voor SPF of DKIM, of beter nog, beide, voor geavanceerde bescherming.
Als je een aangepast domein gebruikt, vind je hieronder de stappen om je DMARC record aan te maken. Merk op dat het niet verplicht is om zowel SPF als DKIM te configureren om DMARC in te stellen. Het wordt echter wel aanbevolen om een extra beschermingslaag toe te voegen.
Dingen om over na te denken voordat je begint
Volgens Microsoft documenten:
- Als je MOERA (Microsoft Online Email Routing Address) gebruikt, wat moet eindigen op onmicrosoft.com, dan zijn SPF en DKIM hier al voor geconfigureerd. Je moet echter je DMARC-records maken met het Microsoft 365 admin center.
- Als je een of meer aangepaste domeinen gebruikt, zoals example.com, moet je SPF, DKIM en DMARC handmatig configureren voor je domein.
- Microsoft raadt u aan om voor uw geparkeerde domeinen (inactieve domeinen) expliciet aan te geven dat er geen e-mails vanaf mogen worden verzonden. Anders kunnen deze domeinen worden gebruikt in spoofing- en phishingaanvallen.
- Voor doorgestuurde of gewijzigde berichten die onderweg zijn, is het essentieel dat je ARC. Hierdoor blijven de oorspronkelijke e-mailverificatieheaders behouden, ondanks wijzigingen, voor nauwkeurige verificatie.
Stap 1: Identificeer geldige e-mailbronnen voor uw domein
Dit zijn bron-IP-adressen (inclusief derden) die je wilt toestaan om namens jou e-mails te versturen.
Stap 2: SPF instellen voor uw domein
Nu moet je SPF voor afzenderverificatie. Om dit te doen, maak je een SPF TXT-record aan dat al je geldige verzendbronnen bevat, inclusief externe e-mailleveranciers. Je kunt je gratis aanmelden bij PowerDMARC en onze SPF record generator tool gebruiken om je record aan te maken.
Stap 3: DKIM instellen voor Office 365 op uw domein
U moet SPF of DKIM configureren voor uw domein om DMARC Office 365 in te schakelen. We raden aan dat u DKIM en DMARC op Office 365 in te stellen voor een extra beveiligingslaag voor de e-mails van uw domein. U kunt zich gratis aanmelden bij PowerDMARC en onze DKIM record generator tool gebruiken om uw record aan te maken.
Stap 4: Een DMARC TXT-record maken
Je kunt de gratis DMARC record generator gebruiken voor deze stap. Genereer direct een record met de juiste syntaxis om in je DNS te publiceren en DMARC voor je domein te configureren!
Merk op dat alleen een handhavingsbeleid van weigeren effectief impersonatie aanvallen voorkomen. We raden aan om te beginnen met een geen beleid en regelmatig het e-mailverkeer te controleren. Doe dit enige tijd voordat je uiteindelijk overgaat op handhaving.
Definieer voor uw DMARC-record uw beleidsmodus (geen/quarantaine/afwijzen) en een e-mailadres in het veld "rua" als u DMARC-rapporten wilt ontvangen.
DMARC-beleid | Beleidstype | Syntax | Actie |
---|---|---|---|
geen | ontspannen/niet-actie/permissief | p=geen; | Onderneem geen actie tegen berichten die de authenticatie niet doorstaan, d.w.z. lever ze af. |
quarantaine | afgedwongen | p=quarantaine; | Quarantaine van berichten die niet voldoen aan DMARC |
weiger | afgedwongen | p=afwijzen; | Berichten negeren die niet voldoen aan DMARC |
De syntaxis van je DMARC-record kan er als volgt uitzien:
v=DMARC1; p=reject; rua=mailto:[email protected];
Dit record heeft een afgedwongen beleid van "weigeren" en heeft DMARC geaggregeerde rapportage ingeschakeld voor het domein.
Stappen om Office 365 DMARC-record toe te voegen met Microsoft Admin Center
Zo voegt u uw DMARC Office 365-record toe voor MOERA domeinen (*onmicrosoft.com domeinen)zijn dit de stappen:
1. Log in op uw Microsoft beheercentrum
2. Ga naar Alles weergeven > Instellingen > Domeinen
3. Selecteer uw *onmicrosoft.com domein in de lijst met domeinen op de pagina Domeinen om de pagina Domeindetails te openen.
4. Klik op het tabblad DNS-records op deze pagina en selecteer + Record toevoegen
5. Er verschijnt een tekstvak om een nieuw DMARC record toe te voegen, met verschillende velden. Hieronder staan de waarden die je moet invullen voor de specifieke velden:
Type: TXT
Naam: _dmarc
TTL: 1 uur
Waarde: (plak de waarde van het DMARC record dat je hebt gemaakt)
6. Klik op Opslaan
Office 365 DMARC-record toevoegen voor uw aangepaste domein
Als je een aangepast domein hebt zoals example.com, hebben we een gedetailleerde handleiding geschreven over hoe DMARC in te stellen. Je kunt de stappen in onze handleiding volgen om het protocol eenvoudig te configureren. Microsoft geeft een aantal waardevolle aanbevelingen voor het configureren van DMARC voor aangepaste domeinen. Wij zijn het eens met deze tips en raden ze onze klanten ook aan! Laten we eens kijken wat ze zijn:
- Begin bij het configureren van DMARC met een geen-beleid
- Langzaam overgaan naar quarantaine en dan verwerpen
- Je kunt ook een lage percentagewaarde (pct) voor beleidsimpact aanhouden door te beginnen bij 10 en dit langzaam te verhogen naar 100
- Zorg ervoor dat DMARC-rapportage is ingeschakeld om je e-mailkanalen regelmatig te controleren
Een DMARC Office 365 Record toevoegen voor inactieve domeinen
We hebben een gedetailleerde handleiding over het beveiligen van uw inactieve/geparkeerde domeinen met SPF, DKIM en DMARC. Je kunt daar de gedetailleerde stappen doorlopen, maar voor een kort overzicht: zelfs je inactieve domeinen moeten DMARC geconfigureerd hebben.
Publiceer gewoon een DMARC-record door naar je DNS-beheerconsole voor het inactieve domein te gaan. Als je geen toegang hebt tot je DNS, neem dan vandaag nog contact op met je DNS-provider. Dit record kan worden geconfigureerd om alle berichten te weigeren die afkomstig zijn van inactieve domeinen die niet voldoen aan DMARC:
v=DMARC1; p=afgewezen;
Stel DMARC voor Office 365 op de juiste manier in met PowerDMARC!
Waarom DMARC instellen voor Office 365?
Office 365 wordt geleverd met antispamoplossingen en e-mailbeveiliging gateways al geïntegreerd in de beveiligingssuite. Waarom zou je dan een DMARC-beleid in Office 365 nodig hebben voor authenticatie? Dit komt omdat deze oplossingen alleen beschermen tegen inkomende phishing e-mails die naar uw domein worden verzonden. Het DMARC-authenticatieprotocol is uw oplossing voor uitgaande phishingpreventie. Hiermee kunnen domeineigenaren aan ontvangende mailservers opgeven hoe ze moeten reageren op e-mails die vanaf uw domein zijn verzonden en geen verificatie hebben. DMARC vermindert ook het risico dat legitieme berichten in de spammap terechtkomen.
DMARC maakt gebruik van twee standaardverificatiepraktijken, namelijk SPF en DKIM. Deze valideren e-mails op echtheid. Uw Office 365 DMARC-beleid bij handhaving kan verbeterde bescherming bieden tegen imitatieaanvallen en spoofing.
Het instellen van DMARC voor zakelijke e-mails is in het huidige scenario belangrijker dan ooit omdat:
- Federale instanties hebben waarschuwingen uitgegeven tegen hackers die misbruik maken van afwezig of zwak DMARC-beleid
- DMARC-naleving is verplicht voor Yahoo en Google bulkverzenders
- De IC3-rapport van de FBI noemt de VS het meest getroffen land bij phishing-aanvallen
- IBM meldt dat één op de vijf bedrijven wordt getroffen door een datalek als gevolg van verloren of gestolen referenties
Heb je DMARC echt nodig als je Office 365 gebruikt?
Er is een veelvoorkomende misvatting onder bedrijven: ze denken dat Office 365 zorgt voor veiligheid tegen spam en frauduleuze e-mails. In mei 2020 werd echter een reeks phishingaanvallen uitgevoerd op verschillende verzekeringsmaatschappijen in het Midden-Oosten. De aanvallers gebruikten Office 365 en veroorzaakten aanzienlijk gegevensverlies en beveiligingslekken. Dit is wat we hiervan hebben geleerd:
Reden 1: Microsofts beveiligingsoplossing is niet waterdicht
Daarom is simpelweg vertrouwen op de geïntegreerde beveiligingsoplossingen van Microsoft niet genoeg. Externe inspanningen leveren om je domein te beschermen kan een grote fout zijn.
Reden 2: U moet DMARC instellen voor Office 365 voor bescherming tegen uitgaande aanvallen
Hoewel de geïntegreerde beveiligingsoplossingen van Office 365 bescherming kunnen bieden tegen inkomende e-mailbedreigingen en phishingpogingen, moet u er nog steeds voor zorgen dat uitgaande berichten die vanuit uw eigen domein worden verzonden, effectief worden geverifieerd voordat ze in de inbox van uw klanten en partners belanden. Dit is waar DMARC voor Office 365 van pas komt.
Reden 3: DMARC helpt u uw e-mailkanalen te bewaken
DMARC beschermt niet alleen je domein tegen direct domain spoofing en phishing-aanvallen. Het helpt je ook om je e-mailkanalen te bewaken. Of je nu een afgedwongen beleid hebt zoals "weigeren/quarantaine", of een milder beleid zoals "geen", je kunt je verificatieresultaten bijhouden met DMARC-rapporten. Deze rapporten worden naar je e-mailadres gestuurd of naar een DMARC-rapportanalyser tool. Monitoring zorgt ervoor dat je legitieme e-mails succesvol worden afgeleverd.
Hoe werkt DMARC in Office 365?
Om DMARC in Office 365 te implementeren, moeten domeineigenaren DMARC-records publiceren in hun DNS-instellingen. Ze kunnen hun voorkeursbeleid opgeven (geen, quarantaine of afwijzen). Ze kunnen zelfs configureren dat hun gespoofde Office 365 e-mails worden geweigerd door ontvangende servers.
Office 365-beheerders kunnen DMARC-instellingen beheren via het Exchange admin center of via PowerShell-opdrachten.
U kunt DMARC ook instellen in Office 365 om rapporten op te vragen over hoe de e-mail van uw domein wordt afgehandeld door derden.
Wat gebeurt er als het DMARC-beleid niet is ingeschakeld in Office 365?
Als je DMARC niet inschakelt voor Office 365, loop je het risico dat je domein wordt gespoofed.
DMARC is ontworpen om uw domein te helpen beschermen tegen spoofing door e-mailverzenders die toegang willen krijgen tot uw e-mailsystemen en deze willen gebruiken voor fraude of phishing.
Zonder beleid is je record zo goed als inactief. Als je geen DMARC beleid inschakelt voor Office 365 e-mails, betekent dit dat iedereen e-mails kan versturen namens jouw domein, zelfs als ze daar geen toestemming voor hebben. Het maakt het ook onmogelijk voor u om te bepalen wie het bericht heeft verzonden en of het afkomstig was van een geautoriseerde bron.
Als domeineigenaar moet u altijd uitkijken voor bedreigers die domein-spoofingaanvallen en phishingaanvallen lanceren om uw domein of merknaam te gebruiken voor kwaadaardige activiteiten. Welke oplossing voor e-mailuitwisseling u ook gebruikt, het beschermen van uw domein tegen spoofing en imitatie is noodzakelijk om de geloofwaardigheid van uw merk te waarborgen en het vertrouwen van uw gewaardeerde klanten te behouden.
5 redenen waarom u PowerDMARC nodig hebt als u Microsoft Office 365 gebruikt
Microsoft Office 365 biedt gebruikers een groot aantal cloudgebaseerde diensten en oplossingen, samen met geïntegreerde antispamfilters. Maar ondanks de verschillende voordelen, zijn dit de nadelen waarmee u te maken kunt krijgen als u het vanuit beveiligingsoogpunt gebruikt:
- Geen oplossing voor het valideren van uitgaande berichten die vanuit uw domein worden verzonden
- Geen rapportagemechanisme voor e-mails die de verificatiecontroles niet doorstaan
- Geen zicht op uw e-mail ecosysteem
- Geen dashboard om je inkomende en uitgaande e-mailstroom te beheren en te controleren
- Geen mechanisme om ervoor te zorgen dat je SPF record altijd onder de 10-zoekopdrachten limiet blijft
DMARC rapportage en monitoring met PowerDMARC
PowerDMARC integreert naadloos met Office 365 om domeineigenaren te voorzien van geavanceerde verificatieoplossingen die bescherming bieden tegen geavanceerde social engineering-aanvallen zoals BEC en direct-domain spoofing.
Als je je aanmeldt bij PowerDMARC, dan teken je voor een multi-tenant SaaS-platform dat niet alleen alle best practices voor e-mailverificatie (SPF, DKIM, DMARC, MTA-STSTLS-RPT en BIMI), maar ook een uitgebreid en diepgaand DMARC-rapportagemechanisme biedt, dat volledig inzicht biedt in uw e-mailecosysteem. DMARC-rapporten op het PowerDMARC dashboard worden in twee formaten gegenereerd:
- Geaggregeerde rapporten
- Forensische rapporten
We hebben ernaar gestreefd om de authenticatie-ervaring voor jou beter te maken door verschillende problemen in de branche op te lossen. We zorgen voor de versleuteling van je DMARC forensische rapporten en geven geaggregeerde rapporten weer in 7 verschillende weergaven voor een verbeterde gebruikerservaring en duidelijkheid.
PowerDMARC helpt je bij het bewaken van e-mailstroom en verificatiestoringen, en zwarte lijst schadelijke IP-adressen van over de hele wereld. Onze DMARC-analysator helpt je om DMARC correct te configureren voor je domein en in een mum van tijd over te schakelen van monitoring naar handhaving. Dit kan je helpen om DMARC office 365 in te schakelen zonder je zorgen te maken over de complexiteit ervan.
DMARC voor Office 365 FAQ's
Proces voor inhoudelijke beoordeling en feitencontrole
De informatie over het Office 365 DMARC-installatieproces is afkomstig uit de officiële documentatie van Microsoft. Het document kan in de toekomst worden bijgewerkt, afhankelijk van wijzigingen die door ontwikkelaars worden aangebracht op het Microsoft-portaal. De aanbevelingen in het artikel zijn gebaseerd op wat onze klanten in de praktijk hebben gedaan en kunnen ook jou helpen.
- Hoe Apple Branded Mail instellen met Apple Business Connect - 3 december 2024
- SPF-afvlakking: Wat is het en waarom heb je het nodig? - 26 november 2024
- Introductie van DKIM2: de toekomst van e-mailbeveiliging - 20 november 2024