Wat is een Trusted ARC Seal?
door
Laatst bijgewerkt: 4 leestijd: 4 minuten
Microsoft heeft onlangs vertrouwde ARC-zegels geïntroduceerd om legitieme indirecte e-mailstromen te autoriseren en eerlijk gezegd is dat een uitstekende stap. Waarom?
- Uw nietjesprotocollen voor e-mailverificatie (DMARC, SPFen DKIM) schieten tekort als het gaat om het verifiëren van e-mails die indirect zijn verzonden
- Hierdoor kan de verificatie van je legitieme e-mails mislukken
- Dit leidt vervolgens tot problemen met de bezorging van e-mail
Op dat moment komt het vertrouwde ARC-zegel van Microsoft in actie om de zaak te redden. Door ARC-handtekeningen aan uitgaande berichten toe te voegen, kan de e-mailbron eenvoudig worden geïdentificeerd en geautoriseerd tijdens verificatie van de afzender, zelfs als de header en inhoud zijn gewijzigd door een vertrouwde tussenpartij.
Bekijk het document van Microsoft hier.
Belangrijkste Conclusies
- Het vertrouwde ARC-zegel helpt bij het verifiëren van e-mails die indirect zijn verzonden, waarbij de beperkingen van traditionele protocollen zoals DMARC, SPF en DKIM worden omzeild.
- Indirecte e-mailstromen kunnen ervoor zorgen dat de verificatie van legitieme e-mails mislukt door wijzigingen die zijn aangebracht door tussenliggende servers.
- Met het vertrouwde ARC-zegel van Microsoft kunnen beheerders vertrouwde tussenpersonen opgeven, zodat e-mails ondanks wijzigingen door de afzenderverificatie komen.
- Het instellen en configureren van ARC met vertrouwde tussenpersonen vereist samenwerking met domeinbeheerders en het gebruik van de Microsoft defender portal.
- ARC is geen vervanging voor DMARC, maar een extra beveiligingsmaatregel om e-mailverificatie te verbeteren in combinatie met bestaande protocollen.
Op welke categorie gebruikers is het Microsoft Trusted ARC Seal van toepassing?
Dit vertrouwde ARC-zegel kan worden gebruikt door gebruikers die zijn aangemeld voor de volgende Microsoft-services:
- Exchange Online bescherming
- Microsoft Defender voor Office 365 plan 1 en plan 2
- Microsoft 365 Defender
Wat is een directe e-mailstroom?
Dit is wanneer een e-mail die vanaf een brondomein is verzonden, rechtstreeks de e-mailserver van de ontvanger bereikt. Tenzij de communicatie wordt onderschept door een kwaadwillende derde partij, blijft de e-mail onaangeroerd en blijven de berichtkoppen behouden, waardoor de DMARC-verificatiecontroles worden doorstaan.
Wat zijn indirecte mailflows?
Hiervan is sprake als een e-mail die vanaf het brondomein wordt verzonden, door een of meer tussenliggende servers wordt geleid (zoals bij het doorsturen van e-mail). Deze tussenpersonen kunnen het bericht wijzigen door de header-informatie en de body aan te passen, waardoor de e-mail niet voldoet aan DMARC.
Waarom is het Trusted ARC Seal nodig?
Authenticatiefouten in indirecte e-mailstromen
Ondernemingen kunnen hun e-mailmarketingcampagnes vaak uitbesteden via een derde partij die berichten van het domein van de eigenaar naar de ontvangers routeert via een of meer tussenliggende servers. Dit is vooral merkbaar bij het doorsturen van e-mail of het gebruik van mailinglijsten.
De header-informatie voor deze e-mails wordt tijdens het proces gewijzigd omdat de header-informatie van de respectievelijke tussenpersoon wordt overgenomen. Dit veroorzaakt een inconsistentie in de Mail from: en return-path headers, waardoor SPF faalt. Tussenpersonen kunnen ook de inhoud van de mail wijzigen door voetteksten toe te voegen, waardoor DKIM verder wordt doorbroken.
Hoewel dit laatste zelden voorkomt, gebeurt het wel. Wanneer zowel SPF als DKIM falen voor de berichten, faalt DMARC onvermijdelijk en wordt het bericht (hoewel legitiem) gezien als frauduleus. Als de afzender een DMARC policy p=reject gebruikt, zouden deze legitieme berichten nooit worden afgeleverd!
Vertrouwde tussenpersonen opgeven via het vertrouwde ARC-zegel van Microsoft
Beheerders die zijn aangemeld bij de Microsoft 365 verdedigersportal kunnen vertrouwde tussenpersonen toevoegen op de beheerdersportal. Tijdens de verificatie van de afzender verifieert Microsoft de DMARC ARC handtekeningen van e-mails die zijn verzonden vanaf deze vertrouwde ARC-verzegelaars en helpen ze de verificatiecontroles te doorstaan en veilig te worden afgeleverd.
Dit wordt gedaan met betrekking tot de manier waarop ARC de originele authenticatie-informatie voor berichten bewaart voordat wijzigingen worden aangebracht door een tussenpersoon, wat kan worden geverifieerd door ontvangende servers.
Belangrijke punten bij het gebruik van Trusted ARC Seal
Het ARC-zegel moet worden geconfigureerd door de admin-trusted tussenpersonen
Als jij als domeinbeheerder een lijst met vertrouwde tussenpersonen hebt via wie je je e-mails wilt routeren, moet je vandaag nog contact met hen opnemen! Ga een open discussie met ze aan en vraag ze om ARC te configureren voor de betreffende tussenliggende domeinen.
Upload deze lijst met vertrouwde ARC-verzegelaars naar je verdedigersportaal
De volgende stap is inloggen op je Microsoft verdedigersportaal en de lijst met vertrouwde ARC-verzegelaars uploaden. Hier kunt u de domeinnamen van deze vertrouwde tussenpersonen die ARC op uw verzoek hebben ingeschakeld. Je kunt dit doen door naar je instellingenpagina voor e-mailverificatie op je portaaldashboard en op de knop "Toevoegen" te klikken.
Alternatief,
Je kunt je lijst met vertrouwde ARC sealers ook toevoegen via Exchange Online Powershell door het volgende Powershell script uit te voeren dat door Microsoft wordt genoemd:
Set-ArcConfig -Identity default -ArcTrustedSealers {gevolgd door de domeinnamen van je tussenpersonen, gescheiden door komma's}
Hoe vind je de domeinnaam van je Trusted ARC Sealers?
Volg de onderstaande stappen om de domeinnaam van je vertrouwde ARC-afzenders in je Outlook-mailbox te vinden:
- Open de e-mail door erop te dubbelklikken
- Ga naar bestand > Eigenschappen
- Het eigenschappenvenster verschijnt. U kunt de headerinformatie van uw bericht bekijken in het vak Internet Headers
- Hier staat de domeinnaam die vermeld staat in de "d=" tag in de ARC-handtekening van de e-mail. Dit is het domein van je vertrouwde ARC-verzegelaar.
U kunt ook de header-informatie van uw e-mail gebruiken om je vertrouwde ARC-zegel te valideren door te zoeken naar "pass" in uw ARC-verificatie resultaten.
Is ARC een vervanging voor DMARC?
Om een lang verhaal kort te maken: Nee, dat is het niet. Voor de beste resultaten moet ARC worden gebruikt in combinatie met DMARC, SPF en DKIM. ARC is een extra beveiligingsmaatregel die helpt voorkomen dat de verificatie van je legitieme e-mails mislukt wanneer de e-mail langs een tussenliggende server gaat die wijzigingen aanbrengt in de header en de inhoud.
Configureer vandaag nog DMARC in uw organisatie om te profiteren van Microsofts Trusted ARC-zegel. Neem een gratis DMARC proefversie met PowerDMARC.
Verwante artikelen
- DMARC office365 installatiegids
- Microsoft Office 365 DKIM instellen
- Microsoft Office 365 SPF instellen
Expert domein- en e-mailbeveiliging bij PowerDMARC
Yunes is teamleider Operations bij PowerDMARC en heeft expertise in e-mailauthenticatie en -beveiliging. Hij is een door Microsoft gecertificeerde Azure Administrator Associate en beschikt over certificeringen zoals CompTIA A+ en vele andere.
Laatste berichten van Yunes Tarada (Bekijk alle berichten)
