Microsoft ondersteunt en stimuleert Office 365-gebruikers om e-mailverificatieprotocollen zoals DMARC unaniem toe te passen op al hun geregistreerde domeinen. In deze blog leggen we uit hoe u DMARC kunt instellen om uw Office 365 e-mails te valideren:
- Online e-mailadressen doorsturen met Microsoft
- Aangepaste domeinen toegevoegd in het beheercentrum
- Geparkeerde of inactieve, maar geregistreerde domeinen
Vanaf december 2023, rapporten suggereren dat het aantal actieve Office 365-gebruikers wereldwijd 9 lakhs per dag overtrof, met 345 miljoen betaalde leden. In het tweede kwartaal van 2023 werd Microsoft door verschillende bronnen het meest geïmiteerde merk in phishing scams genoemd. Cybercriminelen plegen e-mailfraude door de geïntegreerde beveiligingsoplossingen van Microsoft te slim af te zijn, die in hun eentje niet sterk genoeg zijn om alle aanvallen te voorkomen. Daarom zijn aanvullende protocollen zoals DMARC noodzakelijk om je verdedigingsmechanisme te versterken.
Laten we eens kijken hoe je DMARC Office 365 instelt om geavanceerde e-mailbedreigingen te voorkomen.
Waarom Office 365 DMARC instellen?
Office 365 wordt geleverd met antispamoplossingen en e-mailbeveiliging gateways al geïntegreerd in de beveiligingssuite. Dus waarom zou je DMARC Office 365 nodig hebben voor authenticatie? Dit komt omdat deze oplossingen alleen beschermen tegen inkomende phishing e-mails die naar uw domein worden verzonden. Het DMARC-authenticatieprotocol is uw oplossing voor uitgaande phishingpreventie. Hiermee kunnen domeineigenaren aan ontvangende mailservers opgeven hoe ze moeten reageren op e-mails die vanaf uw domein zijn verzonden en geen verificatie hebben. DMARC vermindert ook het risico dat legitieme berichten in de spammap terechtkomen.
DMARC maakt gebruik van twee standaardverificatiepraktijken, namelijk SPF en DKIM. Deze valideren e-mails op echtheid. Uw Office 365 DMARC-beleid bij handhaving kan verbeterde bescherming bieden tegen imitatieaanvallen en spoofing.
Het instellen van DMARC voor Office 365 e-mails is in het huidige scenario belangrijker dan ooit omdat:
- Federale instanties hebben waarschuwingen uitgegeven tegen hackers die misbruik maken van afwezig of zwak DMARC-beleid
- DMARC-naleving is verplicht voor Yahoo en Google bulkverzenders
- De IC3-rapport van de FBI noemt de VS het meest getroffen land bij phishing-aanvallen
- IBM meldt dat één op de vijf bedrijven wordt getroffen door een datalek als gevolg van verloren of gestolen referenties
Heb je DMARC echt nodig als je Office 365 gebruikt?
Er is een veelvoorkomende misvatting onder bedrijven: ze denken dat Office 365 zorgt voor veiligheid tegen spam en frauduleuze e-mails. In mei 2020 werd echter een reeks phishingaanvallen uitgevoerd op verschillende verzekeringsmaatschappijen in het Midden-Oosten. De aanvallers gebruikten Office 365 en veroorzaakten aanzienlijk gegevensverlies en beveiligingslekken. Dit is wat we hiervan hebben geleerd:
Reden 1: Microsofts beveiligingsoplossing is niet waterdicht
Daarom is simpelweg vertrouwen op de geïntegreerde beveiligingsoplossingen van Microsoft niet genoeg. Externe inspanningen leveren om je domein te beschermen kan een grote fout zijn.
Reden 2: U moet DMARC Office 365 instellen voor bescherming tegen uitgaande aanvallen
Hoewel de geïntegreerde beveiligingsoplossingen van Office 365 bescherming kunnen bieden tegen inkomende e-mailbedreigingen en phishingpogingen, moet u er nog steeds voor zorgen dat uitgaande berichten die vanuit uw eigen domein worden verzonden, effectief worden geverifieerd voordat ze in de inbox van uw klanten en partners belanden. Dit is waar DMARC voor Office 365 van pas komt.
Reden 3: DMARC helpt u uw e-mailkanalen te bewaken
DMARC beschermt niet alleen je domein tegen direct domain spoofing en phishing-aanvallen. Het helpt je ook om je e-mailkanalen te bewaken. Of je nu een afgedwongen beleid hebt zoals "weigeren/quarantaine", of een milder beleid zoals "geen", je kunt je verificatieresultaten bijhouden met DMARC-rapporten. Deze rapporten worden naar je e-mailadres gestuurd of naar een DMARC-rapportanalyser tool. Monitoring zorgt ervoor dat je legitieme e-mails succesvol worden afgeleverd.
Hoe werkt DMARC in Office 365?
Om DMARC in Office 365 te implementeren, moeten domeineigenaren DMARC-records publiceren in hun DNS-instellingen. Ze kunnen hun voorkeursbeleid opgeven (geen, quarantaine of afwijzen). Ze kunnen zelfs configureren dat hun gespoofde Office 365 e-mails worden geweigerd door ontvangende servers.
Office 365-beheerders kunnen DMARC-instellingen beheren via het Exchange admin center of via PowerShell-opdrachten.
U kunt DMARC Office 365 ook configureren om rapporten op te vragen over hoe de e-mail van uw domein wordt afgehandeld door derden.
Laten we nu eens kijken hoe je DMARC Office 365 implementeert:
Dingen om over na te denken voordat je begint
Volgens Microsoft documenten:
- Als je MOERA (Microsoft Online Email Routing Address) gebruikt, wat moet eindigen op onmicrosoft.com, dan zijn SPF en DKIM hier al voor geconfigureerd. Je moet echter je DMARC-records maken met het Microsoft 365 admin center.
- Als je een of meer aangepaste domeinen gebruikt, zoals example.com, moet je SPF, DKIM en DMARC handmatig configureren voor je domein.
- Microsoft raadt u aan om voor uw geparkeerde domeinen (inactieve domeinen) expliciet aan te geven dat er geen e-mails vanaf mogen worden verzonden. Anders kunnen deze domeinen worden gebruikt in spoofing- en phishingaanvallen.
- Voor doorgestuurde of gewijzigde berichten die onderweg zijn, is het essentieel dat je ARC. Hierdoor blijven de oorspronkelijke e-mailverificatieheaders behouden, ondanks wijzigingen, voor nauwkeurige verificatie.
Hoe DMARC instellen voor Office 365?
DMARC of Domain-based Message Authentication, Reporting, and Conformance bestaat als een TXT-record in het DNS van je domein. DMARC fungeert als een primaire verdediging tegen e-mailbedreigingen die afkomstig zijn van je eigen domein. Voordat je DMARC configureert, moet je domein records bevatten voor SPF of DKIM, of beter nog, beide, voor geavanceerde bescherming.
Als je een aangepast domein gebruikt, vind je hieronder de stappen om je DMARC record aan te maken. Merk op dat het niet verplicht is om zowel SPF als DKIM te configureren om DMARC in te stellen. Het wordt echter wel aanbevolen om een extra beschermingslaag toe te voegen.
Stap 1: Identificeer geldige e-mailbronnen voor uw domein
Dit zijn bron-IP-adressen (inclusief derden) die je wilt toestaan om namens jou e-mails te versturen.
Stap 2: SPF instellen voor uw domein
Nu moet je SPF voor afzenderverificatie. Om dit te doen, maak je een SPF TXT-record aan dat al je geldige verzendbronnen bevat, inclusief externe e-mailleveranciers. Je kunt je gratis aanmelden bij PowerDMARC en onze SPF record generator tool gebruiken om je record aan te maken.
Stap 3: DKIM instellen voor uw domein
U moet SPF of DKIM configureren voor uw domein om DMARC Office 365 in te schakelen. We raden aan om DKIM in te stellen voor een extra beveiligingslaag voor de e-mails van uw domein. Je kunt je gratis aanmelden bij PowerDMARC en onze SPF record generator tool gebruiken om je record aan te maken.
Stap 4: Een DMARC TXT-record maken
Je kunt de gratis DMARC record generator gebruiken voor deze stap. Genereer direct een record met de juiste syntaxis om in je DNS te publiceren en DMARC voor je domein te configureren!
Merk op dat alleen een handhavingsbeleid van weigeren effectief impersonatie aanvallen voorkomen. We raden aan om te beginnen met een geen beleid en regelmatig het e-mailverkeer te controleren. Doe dit enige tijd voordat je uiteindelijk overgaat op handhaving.
Definieer voor uw DMARC-record uw beleidsmodus (geen/quarantaine/afwijzen) en een e-mailadres in het veld "rua" als u DMARC-rapporten wilt ontvangen.
e-mailadres in het veld "rua" als je DMARC-rapporten wilt ontvangen.
| DMARC-beleid | Beleidstype | Syntax | Actie |
|---|---|---|---|
| geen | ontspannen/niet-actie/permissief | p=geen; | Onderneem geen actie tegen berichten die de authenticatie niet doorstaan, d.w.z. lever ze af. |
| quarantaine | afgedwongen | p=quarantaine; | Quarantaine van berichten die niet voldoen aan DMARC |
| weiger | afgedwongen | p=afwijzen; | Berichten negeren die niet voldoen aan DMARC |
De syntaxis van je DMARC-record kan er als volgt uitzien:
v=DMARC1; p=reject; rua=mailto:reporting@example.com;
Dit record heeft een afgedwongen beleid van "weigeren" en heeft DMARC geaggregeerde rapportage ingeschakeld voor het domein.
Stappen om Office 365 DMARC-record toe te voegen met Microsoft Admin Center
Zo voegt u uw Office 365 DMARC-record toe voor MOERA domeinen (*onmicrosoft.com domeinen)zijn dit de stappen:
1. Log in op uw Microsoft beheercentrum
2. Ga naar Alles weergeven > Instellingen > Domeinen
3. Selecteer uw *onmicrosoft.com domein in de lijst met domeinen op de pagina Domeinen om de pagina Domeindetails te openen.
4. Klik op het tabblad DNS-records op deze pagina en selecteer + Record toevoegen
5. Er verschijnt een tekstvak om een nieuw DMARC record toe te voegen, met verschillende velden. Hieronder staan de waarden die je moet invullen voor de specifieke velden:
Type: TXT
Naam: _dmarc
TTL: 1 uur
Waarde: (plak de waarde van het DMARC record dat je hebt gemaakt)
6. Klik op Opslaan
Office 365 DMARC-record toevoegen voor uw aangepaste domein
Als je een aangepast domein hebt zoals example.com, hebben we een gedetailleerde handleiding geschreven over hoe DMARC in te stellen. Je kunt de stappen in onze handleiding volgen om het protocol eenvoudig te configureren. Microsoft geeft een aantal waardevolle aanbevelingen voor het configureren van DMARC voor aangepaste domeinen. Wij zijn het eens met deze tips en raden ze onze klanten ook aan! Laten we eens kijken wat ze zijn:
- Begin bij het configureren van DMARC met een geen-beleid
- Langzaam overgaan naar quarantaine en dan verwerpen
- Je kunt ook een lage percentagewaarde (pct) voor beleidsimpact aanhouden door te beginnen bij 10 en dit langzaam te verhogen naar 100
- Zorg ervoor dat DMARC-rapportage is ingeschakeld om je e-mailkanalen regelmatig te controleren
Office 365 DMARC-record toevoegen voor inactieve domeinen
We hebben een gedetailleerde handleiding over het beveiligen van uw inactieve/geparkeerde domeinen met SPF, DKIM en DMARC. Je kunt daar de gedetailleerde stappen doorlopen, maar voor een kort overzicht: zelfs je inactieve domeinen moeten DMARC geconfigureerd hebben.
Publiceer gewoon een DMARC-record door naar je DNS-beheerconsole voor het inactieve domein te gaan. Als je geen toegang hebt tot je DNS, neem dan vandaag nog contact op met je DNS-provider. Dit record kan worden geconfigureerd om alle berichten te weigeren die afkomstig zijn van inactieve domeinen die niet voldoen aan DMARC:
v=DMARC1; p=afgewezen;
Wat gebeurt er als het DMARC-beleid niet is ingeschakeld in Office 365?
Als u het DMARC-beleid van Office 365 niet inschakelt, loopt u het risico dat uw domein wordt gespoofed.
DMARC is ontworpen om uw domein te helpen beschermen tegen spoofing door e-mailverzenders die toegang willen krijgen tot uw e-mailsystemen en deze willen gebruiken voor fraude of phishing.
Zonder beleid is je record zo goed als inactief. Als je geen DMARC beleid inschakelt voor Office 365 e-mails, betekent dit dat iedereen e-mails kan versturen namens jouw domein, zelfs als ze daar geen toestemming voor hebben. Het maakt het ook onmogelijk voor u om te bepalen wie het bericht heeft verzonden en of het afkomstig was van een geautoriseerde bron.
Als domeineigenaar moet u altijd uitkijken voor bedreigers die domein-spoofingaanvallen en phishingaanvallen lanceren om uw domein of merknaam te gebruiken voor kwaadaardige activiteiten. Welke oplossing voor e-mailuitwisseling u ook gebruikt, het beschermen van uw domein tegen spoofing en imitatie is noodzakelijk om de geloofwaardigheid van uw merk te waarborgen en het vertrouwen van uw gewaardeerde klanten te behouden.
5 redenen waarom u PowerDMARC nodig hebt als u Microsoft Office 365 gebruikt
Microsoft Office 365 biedt gebruikers een groot aantal cloudgebaseerde diensten en oplossingen, samen met geïntegreerde antispamfilters. Maar ondanks de verschillende voordelen, zijn dit de nadelen waarmee u te maken kunt krijgen als u het vanuit beveiligingsoogpunt gebruikt:
- Geen oplossing voor het valideren van uitgaande berichten die vanuit uw domein worden verzonden
- Geen rapportagemechanisme voor e-mails die de verificatiecontroles niet doorstaan
- Geen zicht op uw e-mail ecosysteem
- Geen dashboard om je inkomende en uitgaande e-mailstroom te beheren en te controleren
- Geen mechanisme om ervoor te zorgen dat je SPF record altijd onder de 10-zoekopdrachten limiet blijft
DMARC rapportage en monitoring met PowerDMARC
PowerDMARC integreert naadloos met Office 365 om domeineigenaren te voorzien van geavanceerde verificatieoplossingen die bescherming bieden tegen geavanceerde social engineering-aanvallen zoals BEC en direct-domain spoofing.
Als je je aanmeldt bij PowerDMARC, dan teken je voor een multi-tenant SaaS-platform dat niet alleen alle best practices voor e-mailverificatie (SPF, DKIM, DMARC, MTA-STSTLS-RPT en BIMI), maar ook een uitgebreid en diepgaand DMARC-rapportagemechanisme biedt, dat volledig inzicht biedt in uw e-mailecosysteem. DMARC-rapporten op het PowerDMARC dashboard worden in twee formaten gegenereerd:
- Geaggregeerde rapporten
- Forensische rapporten
We hebben ernaar gestreefd om de authenticatie-ervaring voor jou beter te maken door verschillende problemen in de branche op te lossen. We zorgen voor de versleuteling van je DMARC forensische rapporten en geven geaggregeerde rapporten weer in 7 verschillende weergaven voor een verbeterde gebruikerservaring en duidelijkheid.
PowerDMARC helpt je bij het bewaken van e-mailstroom en verificatiestoringen, en zwarte lijst schadelijke IP-adressen van over de hele wereld. Onze DMARC-analysator helpt je om DMARC correct te configureren voor je domein en in een mum van tijd over te schakelen van monitoring naar handhaving. Dit kan je helpen om DMARC office 365 in te schakelen zonder je zorgen te maken over de complexiteit ervan.
Vaak gestelde vragen
1. We gebruiken al een e-mailbeveiligingsplatform zoals Microsoft Defender voor Office 365. Waarom hebben we PowerDMARC nodig?
Terwijl Microsoft Defender voor Office 365 effectief is voor algemene e-mailbeveiliging, biedt PowerDMARC gespecialiseerde functies die specifiek gericht zijn op e-mailverificatieprotocollen zoals DMARC. Het biedt geavanceerde rapportage-, bewakings- en waarschuwingsfuncties op maat voor de bestrijding van e-mailspoofing, phishing en andere frauduleuze activiteiten.
De integratie van PowerDMARC in Office 365 verbetert uw e-mailbeveiligingshouding en biedt uitgebreid inzicht in uw e-mailecosysteem, waardoor uiteindelijk de reputatie van uw merk wordt beschermd en het risico op aanvallen via e-mail wordt verkleind.
Met PowerDMARC kun je:
- Nauwkeurig en direct uw DMARC-records genereren
- Vereenvoudigde DMARC Office 365-rapporten bekijken
- Controleer uw e-mailverkeer en -gedrag
- Schakelen tussen DMARC-beleidsmodi zonder toegang tot uw DNS
2. Wat is het verschil tussen Office365 DMARC en wat PowerDMARC biedt?
De DMARC-mogelijkheden van Office 365 bieden basisfunctionaliteit voor e-mailverificatie, zoals de mogelijkheid om DMARC-records te publiceren en samengestelde rapporten te ontvangen. PowerDMARC gaat echter verder dan deze basisfuncties en biedt geavanceerde mogelijkheden voor rapportage, monitoring en waarschuwingen.
Wij bieden gedetailleerde analyses en forensische rapporten, uitgebreid inzicht in uw e-mailverkeer en proactieve maatregelen om uw domeinreputatie te beschermen.
Daarnaast vereenvoudigt PowerDMARC de implementatie en het beheer van DMARC-beleid door middel van automatiseringstools en ondersteuning door experts.
3. Is DMARC niet gratis?
Ja, DMARC zelf is een vrije en open standaard. DMARC effectief implementeren en beheren kan echter veel tijd, middelen en expertise vereisen.
Hoewel je DMARC-records kunt publiceren en gratis basisrapporten kunt ontvangen, bieden geavanceerde DMARC-beheerplatforms zoals PowerDMARC extra functies en services, zoals gedetailleerde analyses, monitoring, waarschuwingen en deskundige ondersteuning, tegen een zeer betaalbaar abonnementstarief.
Hoewel DMARC gratis is, kan het gebruik van een platform als PowerDMARC het implementatieproces stroomlijnen, uw e-mailbeveiligingshouding verbeteren en waardevolle inzichten bieden in uw e-mailecosysteem. Dit zal dienen als een game-changer bij het beschermen van uw merkreputatie en het verminderen van het risico op aanvallen via e-mail.
Proces voor inhoudelijke beoordeling en feitencontrole
De informatie over het Office 365 DMARC-installatieproces is afkomstig uit de officiële documentatie van Microsoft. Het document kan in de toekomst worden bijgewerkt, afhankelijk van wijzigingen die door ontwikkelaars worden aangebracht op het Microsoft-portaal. De aanbevelingen in het artikel zijn gebaseerd op wat onze klanten in de praktijk hebben gedaan en kunnen ook jou helpen.
- Hoe DMARC instellen in Office 365? Stap voor stap handleiding - 6 mei 2024
- SMTP Yahoo foutcodes uitgelegd - 1 mei 2024
- SPF Softfail Vs Hardfail: Wat is het verschil? - 26 april 2024