DMARC dla Office 365: Konfiguracja krok po kroku i najlepsze praktyki
Ostatnia aktualizacja:
11 czas czytania: 11 minut
Kluczowe wnioski
- DMARC ma zasadnicze znaczenie dla zwiększenia bezpieczeństwa poczty elektronicznej przed fałszowaniem domen i phishingiem.
- Konfiguracja DMARC wymaga istniejących rekordów SPF lub DKIM do uwierzytelniania wiadomości e-mail.
- Microsoft 365 inaczej traktuje błędy przychodzących wiadomości DMARC; w celu ścisłego egzekwowania zasad (kwarantanna/odrzucenie) należy używać reguł transportu.
- Stopniowo zwiększaj restrykcyjność polityki DMARC (od braku do odrzucenia) podczas monitorowania raportów, aby uniknąć blokowania legalnej poczty.
- Skonfiguruj DMARC nawet dla nieaktywnych domen, aby zapobiec ich nieautoryzowanemu użyciu.
Microsoft wspiera i zachęca DMARC dla użytkowników Office 365, co pozwala im na przyjęcie protokołów uwierzytelniania poczty e-mail jednomyślnie we wszystkich zarejestrowanych domenach. W tym blogu wyjaśniamy procesy konfigurowania DMARC dla Office 365 w celu sprawdzania poprawności wszystkich wiadomości e-mail Office 365:
- Routing adresów e-mail online z Microsoft
- Domeny niestandardowe dodane w centrum administracyjnym
- Zaparkowane lub nieaktywne, ale zarejestrowane domeny
W drugim kwartale 2023 r. Microsoft został uznany przez różne źródła za najczęściej podszywaną markę w oszustwach phishingowych. Protokoły takie jak DMARC są niezbędne do wzmocnienia mechanizmu obronnego.
Dowiedzmy się, jak DMARC w Office 365 pomaga zapobiegać zaawansowanym zagrożeniom e-mail.
Co to jest DMARC?
DMARC, czyli Domain-based Message Authentication, Reporting, and Conformance, to protokół uwierzytelniania wiadomości e-mail zaprojektowany w celu ochrony domeny przed spoofingiem wiadomości e-mail i atakami phishingowymi. Opiera się on na dwóch istniejących standardach:
- SPF (Sender Policy Framework)
- DKIM (DomainKeys Identified Mail)
Daje to właścicielom domen większą kontrolę nad tym, w jaki sposób nieuwierzytelnione wiadomości e-mail twierdzące, że pochodzą z ich domeny, są obsługiwane przez odbierające serwery pocztowe.
Kiedy wdrażasz DMARC dla Office 365, publikujesz politykę DMARC jako rekord DNS TXT powiązany z Twoją domeną. Polityka ta instruuje odbiorców poczty e-mail, czy mają akceptować, poddawać kwarantannie lub odrzucać wiadomości, które nie przeszły pomyślnie kontroli SPF i DKIM, znacznie zmniejszając szanse złośliwych aktorów na pomyślne podszycie się pod Twoją domenę.
DMARC zapewnia również cenną widoczność poprzez mechanizmy raportowania, umożliwiając właścicielom domen otrzymywanie szczegółowych informacji zwrotnych na temat wyników uwierzytelniania poczty elektronicznej. Raporty te pomagają zidentyfikować nieautoryzowane źródła poczty elektronicznej i poprawić ogólny stan bezpieczeństwa poczty elektronicznej.
Uprość DMARC dla Office 365 dzięki PowerDMARC!
Rzeczy do rozważenia przed rozpoczęciem
Według Dokumenty Microsoftu:
- Jeśli używasz MOERA (Microsoft Online Email Routing Address), który powinien kończyć się na onmicrosoft.com, SPF i DKIM będą już dla niego skonfigurowane. Konieczne będzie jednak utworzenie rekordów DMARC za pomocą centrum administracyjnego Microsoft 365.
- Jeśli używasz niestandardowej domeny (domen), takiej jak example.com, będziesz musiał ręcznie skonfigurować SPF, DKIM i DMARC dla swojej domeny.
- W przypadku zaparkowanych domen (nieaktywnych domen) Microsoft zaleca, aby upewnić się, że wyraźnie określono, że żadne wiadomości e-mail nie powinny być z nich wysyłane. W przeciwnym razie domeny te mogą być wykorzystywane do ataków typu spoofing i phishing.
- W przypadku wiadomości przekazywanych lub modyfikowanych w tranzycie konieczne jest skonfigurowanie ARC. Pomaga to zachować oryginalne nagłówki uwierzytelniania wiadomości e-mail pomimo modyfikacji, w celu dokładnego uwierzytelnienia.
Jak skonfigurować DMARC dla Office 365
Postępuj zgodnie z tymi instrukcjami krok po kroku, aby skonfigurować DMARC dla Office 365 z pewnością i przejrzystością:
Krok 1: Zidentyfikuj prawidłowe źródła wiadomości e-mail dla swojej domeny
Będą to źródłowe adresy IP (w tym stron trzecich), którym chcesz zezwolić na wysyłanie wiadomości e-mail w Twoim imieniu.
Krok 2: Skonfiguruj SPF dla swojej domeny
Teraz należy skonfigurować SPF do weryfikacji nadawcy. Aby to zrobić, należy utworzyć rekord SPF TXT, który będzie zawierał wszystkie ważne źródła wysyłania, w tym zewnętrznych dostawców poczty elektronicznej. Możesz zarejestrować się w PowerDMARC za darmo i użyć naszego narzędzia do generowania rekordów SPF, aby utworzyć swój rekord.
Krok 3: Skonfiguruj DKIM dla Office 365 w swojej domenie
Aby włączyć DMARC Office 365, musisz skonfigurować dla swojej domeny protokół SPF lub DKIM. Zalecamy skonfigurowanie DKIM i DMARC w Office 365, aby zapewnić dodatkową warstwę bezpieczeństwa dla wiadomości e-mail w Twojej domenie. Możesz zarejestrować się w PowerDMARC za darmo i skorzystać z naszego narzędzia do generowania rekordów DKIM, aby utworzyć swój rekord.
Krok 4: Utwórz rekord DMARC TXT
Możesz użyć darmowego generatora rekordów PowerDMARC Generator rekordów DMARC na tym etapie. Wygeneruj rekord natychmiast z poprawną składnią, aby opublikować go w DNS i skonfigurować DMARC dla swojej domeny!
Należy zauważyć, że tylko polityka egzekwowania odrzuć może skutecznie zapobiegać atakom podszywania się. Zalecamy rozpoczęcie od ustawienia brak i regularnie monitorować ruch e-mail. Należy to robić przez jakiś czas, zanim w końcu przejdzie się do egzekwowania. Odrzucenia DMARC nie należy lekceważyć, ponieważ może to prowadzić do utraty legalnych wiadomości e-mail, jeśli źródła wysyłania nie są odpowiednio skonfigurowane lub monitorowane.
W rekordzie DMARC należy zdefiniować tryb polityki (brak/kwarantanna/odrzucenie) oraz adres e-mail w polu „rua”, jeśli chcesz otrzymywać zbiorcze raporty DMARC.
| Polityka DMARC | Rodzaj polityki | Składnia | Działanie |
|---|---|---|---|
| brak | zrelaksowany/bez działania/pozwalający | p=brak; | Nie podejmuj żadnych działań wobec wiadomości, które nie przejdą uwierzytelnienia, tj. dostarcz je. |
| kwarantanna | wymuszony | p=kwarantanna; | Kwarantanna wiadomości, które nie przeszły DMARC |
| odrzucenie | wymuszony | p=odrzuć; | Odrzucanie wiadomości, które nie przeszły DMARC |
Składnia rekordu DMARC może wyglądać następująco:
v=DMARC1; p=reject; rua=mailto:[email protected];
Ten rekord ma wymuszoną politykę "odrzuć" i ma włączone raportowanie zbiorcze DMARC dla domeny.
Jak dodać rekord DMARC usługi Office 365 za pomocą Centrum administracyjnego Microsoft
Aby dodać rekord DMARC Office 365 dla MOERA (domeny *onmicrosoft.com), należy wykonać następujące kroki:
1. Zaloguj się do centrum administracyjnego Microsoft
2. Przejdź do Pokaż wszystko > Ustawienia > Domeny
3. Wybierz domenę *onmicrosoft.com z listy domen na stronie Domains, aby otworzyć stronę Domain details.
4. Kliknij zakładkę Rekordy DNS na tej stronie i wybierz + Dodaj rekord
5. Pojawi się pole tekstowe umożliwiające dodanie nowego rekordu DMARC z różnymi polami. Poniżej podano wartości, które należy wypełnić dla poszczególnych pól:
Typ: TXT
Nazwa: _dmarc
TTL: 1 godzina
Wartość: (wklej wartość utworzonego rekordu DMARC)
6. Kliknij przycisk Zapisz
Dodawanie rekordu DMARC usługi Office 365 dla domeny niestandardowej
Jeśli posiadasz własną domenę, np. example.com, przygotowaliśmy szczegółowy przewodnik dotyczący jak skonfigurować DMARC. Możesz postępować zgodnie z instrukcjami zawartymi w naszym przewodniku, aby łatwo skonfigurować protokół. Firma Microsoft przedstawia kilka cennych zaleceń dotyczących konfiguracji DMARC dla domen niestandardowych. Zgadzamy się z tymi wskazówkami i sugerujemy je również naszym klientom! Przyjrzyjmy się, jakie to są wskazówki:
- Konfigurując DMARC, należy zacząć od polityki braku
- Powolne przejście do kwarantanny, a następnie odrzucenie.
- Możesz także zachować niską wartość procentową (pct) dla wpływu polityki, zaczynając od 10 i powoli zwiększając ją do 100
- Upewnij się, że masz włączone raportowanie DMARC, aby regularnie monitorować swoje kanały e-mail.
Dodawanie rekordu DMARC Office 365 dla nieaktywnych domen
Na stronie zamieściliśmy szczegółowy przewodnik na temat zabezpieczania nieaktywnych/zaparkowanych domen za pomocą SPF, DKIM i DMARC. Możesz tam przejść przez szczegółowe kroki, ale dla szybkiego przeglądu, nawet Twoje nieaktywne domeny muszą mieć skonfigurowany DMARC.
Wystarczy opublikować rekord DMARC, uzyskując dostęp do konsoli zarządzania DNS dla nieaktywnej domeny. Jeśli nie masz dostępu do DNS, skontaktuj się z dostawcą DNS już dziś. Rekord ten można skonfigurować tak, aby odrzucał wszystkie wiadomości pochodzące z nieaktywnych domen, które nie spełniają wymogów DMARC:
v=DMARC1; p=reject;
Skonfiguruj DMARC dla Office 365 we właściwy sposób dzięki PowerDMARC!
Dlaczego warto skonfigurować DMARC dla Office 365?
Office 365 jest wyposażony w rozwiązania antyspamowe i zabezpieczenia poczty e-mail zintegrowane z pakietem zabezpieczeń. Dlaczego więc miałbyś potrzebować polityki DMARC w Office 365 do uwierzytelniania? Dzieje się tak dlatego, że rozwiązania te chronią przede wszystkim przed przychodzącymi phishingowymi wiadomościami e-mail wysyłanymi do Twojej domeny. Protokół uwierzytelniania DMARC jest rozwiązaniem zapobiegającym phishingowi wychodzącemu. Pozwala on właścicielom domen określić odbierającym serwerom pocztowym, w jaki sposób mają odpowiadać na wiadomości e-mail wysyłane z domeny, które nie przejdą uwierzytelnienia. DMARC zmniejsza również ryzyko, że legalne wiadomości wylądują w folderze spamu. Ważne jest, aby pamiętać, że DMARC chroni przede wszystkim przed spoofingiem domen bezpośrednich (przy użyciu dokładnej nazwy domeny) i nie chroni przed spoofingiem domen podobnych (przy użyciu wizualnie podobnych nazw domen).
DMARC wykorzystuje dwie standardowe praktyki uwierzytelniania, a mianowicie SPF i DKIM. Weryfikują one autentyczność wiadomości e-mail. Polityka DMARC w usłudze Office 365 może zapewnić lepszą ochronę przed atakami podszywania się i spoofingu.
Konfiguracja DMARC dla biznesowych wiadomości e-mail jest ważniejsza niż kiedykolwiek w obecnym scenariuszu, ponieważ:
- Agencje federalne wydały ostrzeżenia przed hakerami wykorzystującymi nieobecne lub słabe zasady DMARC
- Zgodność z DMARC jest obowiązkowa dla Yahoo i Google
- IBM podaje, że średni koszt naruszenia, gdy atakujący używają naruszonych danych uwierzytelniających, wynosi 4,8 mln USD.
Praktyczny przykład wpływu DMARC pochodzi z HCIT, dostawcy usług zarządzanych (MSP), który borykał się z rosnącymi wyzwaniami związanymi z phishingiem i spoofingiem wiadomości e-mail skierowanym do swoich klientów. Dzięki wdrożeniu DMARC z PowerDMARC firma HCIT skutecznie chroniła wiele domen, zmniejszyła ryzyko podszywania się pod inne osoby i poprawiła dostarczalność wiadomości e-mail, pokazując, jak odpowiednie rozwiązanie może chronić firmy i ich klientów przed kosztownymi atakami.
Najczęstsze pułapki i sposoby ich unikania
Podczas gdy konfiguracja DMARC dla Office 365 znacząco wzmacnia bezpieczeństwo poczty elektronicznej domeny, błędy w konfiguracji mogą osłabić jej skuteczność. Oto niektóre z najczęstszych pułapek, na jakie napotykają firmy i jak można ich proaktywnie uniknąć:
Zapominanie o zasadach dotyczących subdomen
Polityki DMARC stosowane w domenie głównej (np, website.com) nie rozciągają się automatycznie na subdomeny, takie jak mail.website.com lub news.website.com chyba że wyraźnie określisz to za pomocą atrybutu sp w rekordzie DMARC.
To przeoczenie tworzy lukę, którą atakujący chętnie wykorzystują. Cyberprzestępcy często atakują niezabezpieczone subdomeny, aby wysyłać fałszywe wiadomości e-mail, omijając zabezpieczenia DMARC głównej domeny.
Rozwiązanie: Dodaj sp=reject; (lub kwarantannę) do polityki DMARC, aby rozszerzyć ochronę na wszystkie subdomeny. Regularnie przeprowadzaj audyt swoich subdomen i stosuj surowe zasady wobec domen, które nie powinny w ogóle wysyłać wiadomości e-mail.
Błędnie skonfigurowany SPF/DKIM łamiący DMARC
DMARC działa tylko wtedy, gdy kontrole SPF lub DKIM przejdą pomyślnie i są prawidłowo dopasowane do domeny w nagłówku "From". Nie wystarczy, aby te protokoły po prostu istniały. Muszą one uwierzytelniać się w imieniu dokładnej domeny używanej do wysyłania poczty.
Kilka typowych problemów:
- SPF zawiera adres IP nadawcy zewnętrznego, ale jego domena koperta-od nie jest zgodna.
- DKIM podpisuje się inną domeną niż ta, która pojawia się w adresie "Od"
- Rekordy w systemie DNS są niepoprawne składniowo lub niekompletne.
Rozwiązanie: Używaj narzędzi specyficznych dla domeny do testowania konfiguracji SPF, DKIM i DMARC. Zawsze sprawdzaj wyrównanie - nie tylko status pass/fail. Narzędzia takie jak analizator PowerDMARC pomagają wizualizować i weryfikować poprawność konfiguracji, minimalizując ryzyko związane z nieprawidłowym uwierzytelnianiem.
Zewnętrzni nadawcy nie dostosowują się
Usługi takie jak Mailchimp, SendGridlub Salesforce mogą obsługiwać SPF i DKIM, ale jeśli nie są poprawnie skonfigurowane w celu dostosowania do domeny, DMARC zawiedzie, nawet jeśli rekordy DNS wyglądają poprawnie.
Niezgodność z tymi platformami może spowodować oflagowanie lub zablokowanie wiadomości e-mail, co może wpłynąć na dostarczalność i zaufanie do marki.
Rozwiązanie:
- Upewnij się, że usługi e-mail innych firm obsługują podpisywanie DKIM przy użyciu Twojej domeny i umożliwiają wyrównanie SPF poprzez dostosowanie koperty.
- Zawsze weryfikuj dokumentację i konfiguracje testowe każdej platformy.
- Utrzymuj centralną listę wszystkich zewnętrznych nadawców używanych przez Twoją organizację i okresowo sprawdzaj ich pod kątem zgodności z DMARC.
Brak adresu raportowania lub nieczytelne raporty
Funkcja raportowania DMARC jest jedną z jego najpotężniejszych funkcji, ale tylko wtedy, gdy jest prawidłowo włączona. Jeśli pominiesz znaczniki rua (raporty zbiorcze) lub ruf (raporty kryminalistyczne) w swoim rekordzie DMARC, stracisz wszelki wgląd w nieautoryzowane próby wysyłania.
Co gorsza, jeśli otrzymujesz raporty, ale kierujesz je do osobistej skrzynki odbiorczej, ich objętość i nieprzetworzony format XML mogą szybko stać się przytłaczające i bezużyteczne.
Rozwiązanie: Zawsze określaj tagi rua i ruf w rekordzie DMARC, aby aktywować raportowanie. Dodatkowo, użyj dedykowanego adresu e-mail lub zewnętrznego analizatora raportów DMARC, który może analizować i wizualizować dane w przystępnym formacie.
Czy naprawdę potrzebujesz DMARC podczas korzystania z Office 365?
Wśród firm panuje powszechne błędne przekonanie: uważają, że Office 365 zapewnia bezpieczeństwo przed spamem i fałszywymi wiadomościami e-mail. Jednak w maju 2020 r. miała miejsce seria ataków phishingowych przeprowadzono na kilka firm ubezpieczeniowych z Bliskiego Wschodu. Atakujący wykorzystali Office 365, powodując znaczną utratę danych i naruszenia bezpieczeństwa. Oto, czego się z tego dowiedzieliśmy:
Powód 1: Rozwiązanie bezpieczeństwa Microsoftu nie jest niezawodne
Dlatego właśnie poleganie na zintegrowanych rozwiązaniach bezpieczeństwa Microsoftu nie jest wystarczające. Podjęcie zewnętrznych wysiłków w celu ochrony domeny może być ogromnym błędem.
Powód 2: Należy skonfigurować DMARC dla Office 365 w celu ochrony przed atakami wychodzącymi.
Podczas gdy zintegrowane rozwiązania bezpieczeństwa Office 365 mogą oferować ochronę przed przychodzącymi zagrożeniami e-mail i próbami phishingu, nadal musisz upewnić się, że wiadomości wychodzące wysyłane z Twojej własnej domeny są skutecznie uwierzytelniane, zanim wylądują w skrzynkach odbiorczych Twoich klientów i partnerów. W tym miejscu wkracza DMARC dla Office 365.
Powód 3: DMARC pomoże Ci monitorować Twoje kanały emailowe
DMARC nie tylko chroni domenę przed bezpośrednim spoofingiem domeny i atakami phishingowymi. Pomaga również monitorować kanały e-mail. Niezależnie od tego, czy korzystasz z wymuszonej polityki, takiej jak "odrzuć/kwarantanna", czy z bardziej łagodnej polityki, takiej jak "brak", możesz śledzić wyniki uwierzytelniania za pomocą Raporty DMARC. Raporty te są wysyłane na Twój adres e-mail lub do Analizator raportów DMARC narzędzie. Monitorowanie zapewnia, że legalne wiadomości e-mail są pomyślnie dostarczane.
Raportowanie i monitorowanie DMARC za pomocą PowerDMARC
PowerDMARC płynnie integruje się z Office 365, aby zapewnić właścicielom domen zaawansowane rozwiązania uwierzytelniające, które chronią przed zaawansowanymi atakami socjotechnicznymi, takimi jak BEC i bezpośrednie fałszowanie domen.
Rejestrując się w PowerDMARC, rejestrujesz się na platformie SaaS typu multi-tenant, która nie tylko gromadzi wszystkie najlepsze praktyki w zakresie uwierzytelniania wiadomości e-mail (SPF, DKIM, DMARC, MTA-STS, TLS-RPT i BIMI), ale także zapewnia rozbudowany i szczegółowy mechanizm raportowania dmarc, który oferuje pełną widoczność ekosystemu poczty elektronicznej. Raporty DMARC na pulpicie nawigacyjnym PowerDMARC są generowane w dwóch formatach:
- Raporty zbiorcze (RUA)
- Raporty kryminalistyczne (RUF - jeśli są włączone i obsługiwane przez reportera)
Dążymy do tego, aby uwierzytelnianie było dla Ciebie lepszym doświadczeniem, rozwiązując różne problemy branżowe. Zapewniamy szyfrowanie raportów kryminalistycznych DMARC, a także wyświetlanie zagregowanych raportów w 7 różnych widokach w celu zwiększenia komfortu użytkowania i przejrzystości.
PowerDMARC pomaga monitorować przepływ wiadomości e-mail i błędy uwierzytelniania oraz czarną listę złośliwych adresów IP z całego świata. Nasz Analizator DMARC pomaga w prawidłowej konfiguracji DMARC dla Twojej domeny i błyskawicznym przejściu od monitorowania do egzekwowania. Może to pomóc we włączeniu DMARC office 365 bez martwienia się o związane z tym zawiłości.
Najczęściej zadawane pytania
Jak działa DMARC w O365?
W usłudze Office 365 DMARC chroni pocztę e-mail na dwa sposoby:
- W przypadku poczty przychodzącejOffice 365 sprawdza zasady DMARC nadawcy. Następnie poddaje kwarantannie (wysyła do śmieci) lub odrzuca wiadomości, które nie przeszły uwierzytelnienia SPF i DKIM.
- W przypadku poczty wychodzącej publikujesz rekord DMARC dla swojej domeny. Office 365 automatycznie zajmuje się wymaganym podpisywaniem SPF i DKIM. Dzięki temu Twoje wiadomości e-mail są odpowiednio uwierzytelniane i uznawane za wiarygodne przez serwery odbiorcze.
Czy DMARC jest wymagany dla RODO lub innych ram zgodności?
DMARC nie jest wyraźnie wymagany przez RODO lub większość standardów zgodności, ale wspiera ochronę danych poprzez zapobieganie spoofingowi i nieautoryzowanemu użyciu poczty elektronicznej, pomagając spełnić szersze oczekiwania w zakresie bezpieczeństwa.
Czy DMARC działa z adresami e-mail Gmail i Yahoo?
DMARC chroni domenę użytkownika, a nie dostawcę skrzynki odbiorczej. Jednak główni dostawcy, tacy jak Gmail i Yahoo, wymuszają DMARC na poczcie przychodzącej, co sprawia, że nadawcy muszą przejść uwierzytelnianie.
Czy DMARC może poprawić wskaźnik otwieralności e-maili?
Pośrednio tak. Uwierzytelnione wiadomości e-mail są rzadziej oznaczane jako spam lub odrzucane, co oznacza lepszą pozycję w skrzynce odbiorczej i większe szanse na otwarcie.
Czy wdrożenie DMARC wiąże się z kosztami?
Konfiguracja DMARC jest bezpłatna, jeśli zarządzasz własnym DNS. Możesz jednak wybrać płatne narzędzia lub usługi, aby uprościć monitorowanie, analizę raportów i bieżące zarządzanie.
Przegląd treści i proces weryfikacji faktów
Informacje na temat procesu konfiguracji Office 365 DMARC pochodzą głównie z oficjalnej dokumentacji Microsoft i praktycznego doświadczenia. Dokumentacja ta może być aktualizowana przez Microsoft. Zalecenia wymienione w artykule, w tym stosowanie reguł transportu i stopniowe wdrażanie polityki, opierają się na najlepszych praktykach branżowych i rzeczywistych doświadczeniach klientów.
"`
Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC
Yunes jest liderem zespołu operacyjnego w PowerDMARC z wiedzą ekspercką w zakresie uwierzytelniania i bezpieczeństwa poczty elektronicznej. Yunes jest certyfikowanym przez Microsoft Azure Administrator Associate z certyfikatami CompTIA A+ i wieloma innymi.
Najnowsze posty autorstwa Yunes Tarada (zobacz wszystkie)
- Kompresja SPF: Ogranicz liczbę wyszukiwań DNS w ramach SPF i zoptymalizuj swój rekord SPF - 25 marca 2026 r.
- Certyfikat znaku zweryfikowanego a certyfikat znaku powszechnego: wybór odpowiedniego rozwiązania – 10 marca 2026 r.
- Poziom pewności spamu (SCL) -1 Bypass: co to oznacza i jak sobie z tym radzić – 4 marca 2026 r.
