wat is Trusted ARC Seal? | Microsoft Vertrouwde ARC Afzenders

Microsoft heeft onlangs vertrouwde ARC-zegels uitgerold om legitieme indirecte e-mailstromen te autoriseren en om eerlijk te zijn, is dat een uitstekende stap. Waarom? Hier is waarom: 

  • Uw nietje e-mail authenticatie protocollen (DMARC, SPFen DKIM) schieten tekort als het gaat om de authenticatie van indirect verzonden e-mails
  • Dit kan ervoor zorgen dat uw legitieme e-mails de authenticatie niet halen 
  • Dit leidt vervolgens tot problemen met de aflevering van e-mail 

Dit is het moment waarop het vertrouwde ARC-zegel van Microsoft te hulp schiet om de dag te redden. Door ARC-handtekeningen toe te voegen aan uitgaande berichten, kan de e-mailbron gemakkelijk worden geïdentificeerd en geautoriseerd tijdens de verificatie van de afzender, zelfs als de header en inhoud zijn gewijzigd door een vertrouwde tussenpersoon.

Bekijk het document van Microsoft hier.

Op welke categorie gebruikers is het Microsoft Trusted ARC Seal van toepassing?

Dit vertrouwde ARC-zegel kan worden gebruikt door gebruikers die zijn aangemeld voor de volgende Microsoft-diensten: 

  • Exchange Online bescherming
  • Microsoft Defender voor Office 365 plan 1 en plan 2
  • Microsoft 365 Defender

Wat is een directe e-mailstroom? 

Dit is het geval wanneer een e-mail die van een brondomein afkomstig is, rechtstreeks op de e-mailserver van de ontvanger aankomt. Tenzij de communicatie wordt onderschept door een kwaadwillende derde partij, blijft de e-mail onaangeroerd en blijven de berichtkoppen behouden, waardoor de DMARC-authenticatiecontroles worden doorstaan. 

Wat zijn indirecte mailflows?

Dit is het geval wanneer een e-mail verzonden vanaf het bron domein door een of meer tussenliggende servers wordt geleid (zoals in het geval van e-mail forwarding). Deze tussenpersonen kunnen het bericht wijzigen door wijzigingen aan te brengen in de header informatie en de body, waardoor de e-mail DMARC niet doorstaat.  

Waarom is het Trusted ARC Seal nodig?

Authenticatie mislukkingen in indirecte e-mail stromen

Ondernemingen besteden hun e-mailmarketingcampagnes vaak uit via een derde partij die de berichten van het domein van de eigenaar via een of meer tussenservers naar de ontvangers stuurt. Dit is vooral merkbaar bij het doorsturen van e-mail of het gebruik van mailinglijsten. 

De header-informatie voor deze e-mails wordt tijdens het proces gewijzigd omdat de header-informatie van de betreffende tussenpersoon wordt overgenomen. Dit veroorzaakt een inconsistentie in de Mail from: en return-path headers waardoor SPF faalt. Tussenpersonen kunnen ook de inhoud van de mail wijzigen door footers toe te voegen, waardoor DKIM nog verder onderuit gaat. 

Hoewel dit laatste zelden voorkomt, komt het wel voor. Wanneer zowel SPF als DKIM falen voor de berichten, faalt DMARC onvermijdelijk en wordt het bericht (hoewel legitiem) gezien als frauduleus. Als de afzender op p=reject staat, zouden deze legitieme berichten nooit worden afgeleverd! 

Opgeven van vertrouwde tussenpersonen via het vertrouwde ARC-zegel van Microsoft

Beheerders die zijn aangemeld bij het Microsoft 365-verdedigersportaal kunnen vertrouwde tussenpersonen toevoegen op het beheerdersportaal. Tijdens de verificatie van de afzender, zal Microsoft de DMARC ARC handtekeningen van e-mails die vanaf deze vertrouwde ARC-afzenders worden verzonden en helpt hen de verificatiecontroles te doorstaan en veilig te worden afgeleverd.

Dit wordt gedaan met betrekking tot de wijze waarop ARC de oorspronkelijke authenticatie-informatie voor berichten bewaart voordat er wijzigingen worden aangebracht door een tussenpersoon, die door ontvangende servers kunnen worden geverifieerd.  

Belangrijke punten om te onthouden bij het gebruik van de Trusted ARC Seal

Het ARC zegel moet geconfigureerd worden door de admin-vertrouwde tussenpersonen

Als u als domein admin een lijst van vertrouwde tussenpersonen heeft waar u uw emails doorheen wilt sturen, moet u vandaag nog met hen in contact komen! Voer een open discussie met hen, en vraag hen om ARC te configureren voor de respectievelijke tussenliggende domeinen. 

Upload deze lijst van vertrouwde ARC sealers naar uw verdedigersportaal

Uw volgende stap moet zijn om in te loggen op uw Microsoft defender portal en de lijst van vertrouwde ARC sealers te uploaden. Hier kunt u de domeinnamen van deze vertrouwde tussenpersonen die ARC op uw verzoek hebben ingeschakeld. U kunt dit doen door naar uw e-mailverificatie-instellingenpagina op uw portaal dashboard en te klikken op de "Toevoegen" knop.

Een andere mogelijkheid, 

U kunt ook uw lijst van vertrouwde ARC sealers toevoegen via Exchange Online Powershell door het volgende Powershell script uit te voeren dat door Microsoft wordt genoemd: 

Set-ArcConfig -Identity default -ArcTrustedSealers {gevolgd door de domeinnamen van uw tussenpersonen, gescheiden door komma's}

Hoe vind je de domeinnaam van je Trusted ARC Sealers

Om de domeinnaam van uw vertrouwde ARC-afzenders in uw Outlook-mailbox te vinden, volgt u de onderstaande stappen: 

  • Open de e-mail door erop te dubbelklikken 
  • Ga naar bestand > Eigenschappen
  • Het venster met de eigenschappen verschijnt. U kunt de koptekstinformatie van uw bericht bekijken in het vak Internet Headers
  • Hier vindt u de domeinnaam die vermeld staat in de "d=" tag in de ARC-handtekening van de e-mail. Dit is het domein van uw vertrouwde ARC sealer.

U kunt ook de header-informatie van uw e-mail gebruiken om uw vertrouwde ARC zegel te valideren door te vissen op "pass" in uw ARC verificatie resultaten.

Is ARC een vervanging voor DMARC? 

Lang verhaal kort: Nee, dat is het niet. Voor de beste resultaten moet ARC worden gebruikt in combinatie met DMARC, SPF, en DKIM. ARC is een extra beveiligingsmaatregel waarmee u kunt voorkomen dat uw legitieme e-mails de verificatie niet doorstaan wanneer de e-mail via een tussenliggende server gaat die wijzigingen aanbrengt in de header en inhoud. 

Om te profiteren van Microsofts Trusted ARC-zegel, configureert u DMARC vandaag nog in uw organisatie. Neem een gratis DMARC uitproberen met PowerDMARC.

Verwante Artikelen