Microsoft wspiera i zachęca DMARC dla użytkowników Office 365, co pozwala im na przyjęcie protokołów uwierzytelniania poczty e-mail jednomyślnie we wszystkich zarejestrowanych domenach. W tym blogu wyjaśniamy procesy konfiguracji DMARC dla Office 365 w celu walidacji wszystkich wiadomości e-mail Office 365, które mają:
- Routing adresów e-mail online z Microsoft
- Domeny niestandardowe dodane w centrum administracyjnym
- Zaparkowane lub nieaktywne, ale zarejestrowane domeny
W drugim kwartale 2023 r. Microsoft został uznany przez różne źródła za najczęściej podszywaną markę w oszustwach phishingowych. Protokoły takie jak DMARC są niezbędne do wzmocnienia mechanizmu obronnego.
Dowiedzmy się, jak DMARC w Office 365 pomaga zapobiegać zaawansowanym zagrożeniom e-mail.
Jak skonfigurować DMARC dla Office 365
DMARC lub Domain-based Message Authentication, Reporting, and Conformance istnieje jako rekord TXT w DNS domeny. DMARC działa jako podstawowa ochrona przed zagrożeniami przenoszonymi przez pocztę elektroniczną pochodzącą z własnej domeny. Przed skonfigurowaniem DMARC, domena musi zawierać rekordy SPF lub DKIM lub jeszcze lepiej, oba, dla zaawansowanej ochrony.
Jeśli używasz domeny niestandardowej, poniżej podano kroki tworzenia rekordu DMARC. Należy pamiętać, że nie jest obowiązkowe konfigurowanie zarówno SPF, jak i DKIM w celu skonfigurowania DMARC. Zaleca się jednak dodanie dodatkowej warstwy ochrony.
Rzeczy do rozważenia przed rozpoczęciem
Według Dokumenty Microsoftu:
- Jeśli używasz MOERA (Microsoft Online Email Routing Address), który powinien kończyć się na onmicrosoft.com, SPF i DKIM będą już dla niego skonfigurowane. Konieczne będzie jednak utworzenie rekordów DMARC za pomocą centrum administracyjnego Microsoft 365.
- Jeśli używasz niestandardowej domeny (domen), takiej jak example.com, będziesz musiał ręcznie skonfigurować SPF, DKIM i DMARC dla swojej domeny.
- W przypadku zaparkowanych domen (nieaktywnych domen) Microsoft zaleca, aby upewnić się, że wyraźnie określono, że żadne wiadomości e-mail nie powinny być z nich wysyłane. W przeciwnym razie domeny te mogą być wykorzystywane do ataków typu spoofing i phishing.
- W przypadku wiadomości przekazywanych lub modyfikowanych w tranzycie konieczne jest skonfigurowanie funkcji ARC. Pomaga to zachować oryginalne nagłówki uwierzytelniania wiadomości e-mail pomimo modyfikacji, w celu dokładnego uwierzytelnienia.
Krok 1: Zidentyfikuj prawidłowe źródła wiadomości e-mail dla swojej domeny
Będą to źródłowe adresy IP (w tym stron trzecich), którym chcesz zezwolić na wysyłanie wiadomości e-mail w Twoim imieniu.
Krok 2: Skonfiguruj SPF dla swojej domeny
Teraz należy skonfigurować SPF do weryfikacji nadawcy. Aby to zrobić, należy utworzyć rekord SPF TXT, który będzie zawierał wszystkie ważne źródła wysyłania, w tym zewnętrznych dostawców poczty elektronicznej. Możesz zarejestrować się w PowerDMARC za darmo i użyć naszego narzędzia do generowania rekordów SPF, aby utworzyć swój rekord.
Krok 3: Skonfiguruj DKIM dla Office 365 w swojej domenie
Aby włączyć DMARC Office 365, musisz skonfigurować SPF lub DKIM dla swojej domeny. Zalecamy skonfigurowanie DKIM i DMARC na Office 365 w celu zapewnienia dodatkowej warstwy bezpieczeństwa dla wiadomości e-mail Twojej domeny. Możesz zarejestrować się w PowerDMARC za darmo i użyć naszego narzędzia do generowania rekordów D KIM, aby utworzyć swój rekord.
Krok 4: Utwórz rekord DMARC TXT
Możesz użyć darmowego generatora rekordów PowerDMARC Generator rekordów DMARC na tym etapie. Wygeneruj rekord natychmiast z poprawną składnią, aby opublikować go w DNS i skonfigurować DMARC dla swojej domeny!
Należy zauważyć, że tylko polityka egzekwowania odrzuć może skutecznie zapobiegać atakom podszywania się. Zalecamy rozpoczęcie od ustawienia brak i regularnie monitorować ruch e-mail. Zrób to przez jakiś czas, zanim ostatecznie przejdziesz do egzekwowania.
Dla rekordu DMARC zdefiniuj tryb polityki (brak/kwarantanna/odrzucenie) oraz adres e-mail w polu "rua", jeśli chcesz otrzymywać raporty DMARC.
Polityka DMARC | Rodzaj polityki | Składnia | Działanie |
---|---|---|---|
brak | zrelaksowany/bez działania/pozwalający | p=brak; | Nie podejmuj żadnych działań wobec wiadomości, które nie przejdą uwierzytelnienia, tj. dostarcz je. |
kwarantanna | wymuszony | p=kwarantanna; | Kwarantanna wiadomości, które nie przeszły DMARC |
odrzucenie | wymuszony | p=odrzuć; | Odrzucanie wiadomości, które nie przeszły DMARC |
Składnia rekordu DMARC może wyglądać następująco:
v=DMARC1; p=reject; rua=mailto:[email protected];
Ten rekord ma wymuszoną politykę "odrzuć" i ma włączone raportowanie zbiorcze DMARC dla domeny.
Kroki dodawania rekordu DMARC usługi Office 365 przy użyciu Centrum administracyjnego Microsoft
Aby dodać rekord DMARC Office 365 dla MOERA (domeny *onmicrosoft.com), należy wykonać następujące kroki:
1. Zaloguj się do centrum administracyjnego Microsoft
2. Przejdź do Pokaż wszystko > Ustawienia > Domeny
3. Wybierz domenę *onmicrosoft.com z listy domen na stronie Domains, aby otworzyć stronę Domain details.
4. Kliknij zakładkę Rekordy DNS na tej stronie i wybierz + Dodaj rekord
5. Pojawi się pole tekstowe umożliwiające dodanie nowego rekordu DMARC z różnymi polami. Poniżej podano wartości, które należy wypełnić dla poszczególnych pól:
Typ: TXT
Nazwa: _dmarc
TTL: 1 godzina
Wartość: (wklej wartość utworzonego rekordu DMARC)
6. Kliknij przycisk Zapisz
Dodawanie rekordu DMARC usługi Office 365 dla domeny niestandardowej
Jeśli masz niestandardową domenę, taką jak example.com, przygotowaliśmy szczegółowy przewodnik na temat jak skonfigurować DMARC. Możesz wykonać kroki z naszego przewodnika, aby łatwo skonfigurować protokół. Microsoft podaje kilka cennych zaleceń podczas konfigurowania DMARC dla domen niestandardowych. Zgadzamy się z tymi wskazówkami i sugerujemy je również naszym klientom! Przyjrzyjmy się, czym one są:
- Konfigurując DMARC, należy zacząć od polityki braku
- Powolne przejście do kwarantanny, a następnie odrzucenie.
- Możesz także zachować niską wartość procentową (pct) dla wpływu polityki, zaczynając od 10 i powoli zwiększając ją do 100
- Upewnij się, że masz włączone raportowanie DMARC, aby regularnie monitorować swoje kanały e-mail.
Dodawanie rekordu DMARC Office 365 dla nieaktywnych domen
Opracowaliśmy szczegółowy przewodnik na temat zabezpieczania nieaktywnych/zaparkowanych domen z SPF, DKIM i DMARC. Możesz tam przejść przez szczegółowe kroki, ale dla szybkiego przeglądu, nawet Twoje nieaktywne domeny muszą mieć skonfigurowany DMARC.
Wystarczy opublikować rekord DMARC, uzyskując dostęp do konsoli zarządzania DNS dla nieaktywnej domeny. Jeśli nie masz dostępu do DNS, skontaktuj się z dostawcą DNS już dziś. Rekord ten można skonfigurować tak, aby odrzucał wszystkie wiadomości pochodzące z nieaktywnych domen, które nie spełniają wymogów DMARC:
v=DMARC1; p=reject;
Skonfiguruj DMARC dla Office 365 we właściwy sposób dzięki PowerDMARC!
Dlaczego warto skonfigurować DMARC dla Office 365?
Office 365 jest wyposażony w rozwiązania antyspamowe i zabezpieczenia poczty e-mail zintegrowane z pakietem zabezpieczeń. Dlaczego więc miałbyś potrzebować polityki DMARC w Office 365 do uwierzytelniania? Dzieje się tak dlatego, że rozwiązania te chronią tylko przed przychodzącymi phishingowymi wiadomościami e-mail wysyłanymi do Twojej domeny. Protokół uwierzytelniania DMARC jest rozwiązaniem zapobiegającym phishingowi wychodzącemu. Pozwala on właścicielom domen określić odbierającym serwerom pocztowym, w jaki sposób mają odpowiadać na wiadomości e-mail wysyłane z domeny, które nie przejdą uwierzytelnienia. DMARC zmniejsza również ryzyko, że legalne wiadomości wylądują w folderze spamu.
DMARC wykorzystuje dwie standardowe praktyki uwierzytelniania, a mianowicie SPF i DKIM. Weryfikują one autentyczność wiadomości e-mail. Polityka DMARC w usłudze Office 365 może zapewnić lepszą ochronę przed atakami podszywania się i spoofingu.
Konfiguracja DMARC dla biznesowych wiadomości e-mail jest ważniejsza niż kiedykolwiek w obecnym scenariuszu, ponieważ:
- Agencje federalne wydały ostrzeżenia przed hakerami wykorzystującymi nieobecne lub słabe zasady DMARC
- Zgodność z DMARC jest obowiązkowa dla nadawców masowych Yahoo i Google
- Raport Raport IC3 FBI wyróżnia Stany Zjednoczone jako kraj najbardziej dotknięty atakami phishingowymi.
- IBM donosi że jedna na pięć firm jest dotknięta naruszeniem danych z powodu utraty lub kradzieży danych uwierzytelniających.
Czy naprawdę potrzebujesz DMARC podczas korzystania z Office 365?
Wśród firm panuje powszechne błędne przekonanie: uważają, że Office 365 zapewnia bezpieczeństwo przed spamem i fałszywymi wiadomościami e-mail. Jednak w maju 2020 r. miała miejsce seria ataków phishingowych przeprowadzono na kilka firm ubezpieczeniowych z Bliskiego Wschodu. Atakujący wykorzystali Office 365, powodując znaczną utratę danych i naruszenia bezpieczeństwa. Oto, czego się z tego dowiedzieliśmy:
Powód 1: Rozwiązanie bezpieczeństwa Microsoftu nie jest niezawodne
Dlatego właśnie poleganie na zintegrowanych rozwiązaniach bezpieczeństwa Microsoftu nie jest wystarczające. Podjęcie zewnętrznych wysiłków w celu ochrony domeny może być ogromnym błędem.
Powód 2: Należy skonfigurować DMARC dla Office 365 w celu ochrony przed atakami wychodzącymi.
Podczas gdy zintegrowane rozwiązania bezpieczeństwa Office 365 mogą oferować ochronę przed przychodzącymi zagrożeniami e-mail i próbami phishingu, nadal musisz upewnić się, że wiadomości wychodzące wysyłane z Twojej własnej domeny są skutecznie uwierzytelniane, zanim wylądują w skrzynkach odbiorczych Twoich klientów i partnerów. W tym miejscu wkracza DMARC dla Office 365.
Powód 3: DMARC pomoże Ci monitorować Twoje kanały emailowe
DMARC nie tylko chroni domenę przed bezpośrednim spoofingiem domeny i atakami phishingowymi. Pomaga również monitorować kanały e-mail. Niezależnie od tego, czy korzystasz z wymuszonej polityki, takiej jak "odrzuć/kwarantanna", czy z bardziej łagodnej polityki, takiej jak "brak", możesz śledzić wyniki uwierzytelniania za pomocą Raporty DMARC. Raporty te są wysyłane na Twój adres e-mail lub do Analizator raportów DMARC narzędzie. Monitorowanie zapewnia, że legalne wiadomości e-mail są pomyślnie dostarczane.
Jak działa DMARC w Office 365?
Aby wdrożyć DMARC w Office 365, właściciele domen muszą opublikować rekordy DMARC w swoich ustawieniach DNS. Mogą oni określić preferowaną politykę (brak, kwarantanna lub odrzucenie). Mogą nawet skonfigurować sfałszowane wiadomości e-mail Office 365 tak, aby były odrzucane przez serwery odbierające.
Administratorzy Office 365 mogą zarządzać ustawieniami DMARC za pośrednictwem centrum administracyjnego Exchange lub poleceń PowerShell.
Możesz także skonfigurować DMARC w Office 365, aby żądać raportów o tym, jak poczta e-mail Twojej domeny jest obsługiwana przez strony trzecie.
Co się stanie, jeśli zasady DMARC nie zostaną włączone w usłudze Office 365?
Jeśli nie włączysz DMARC dla Office 365, istnieje ryzyko, że Twoja domena zostanie sfałszowana.
DMARC został zaprojektowany, aby pomóc chronić Twoją domenę przed spoofingiem przez nadawców e-maili, którzy chcą uzyskać dostęp do Twoich systemów e-mail i wykorzystać je do oszustwa lub phishingu.
Bez zdefiniowanej polityki, Twój rekord jest równie dobry jak nieaktywny. Jeśli nie włączysz polityki DMARC dla wiadomości e-mail Office 365, oznacza to, że każdy może wysyłać wiadomości e-mail w imieniu Twojej domeny, nawet jeśli nie ma do tego uprawnień. Uniemożliwia to również ustalenie, kto wysłał wiadomość i czy pochodzi ona z autoryzowanego źródła.
Jako właściciel domeny, zawsze musisz uważać na zagrożenia przeprowadzające ataki typu spoofing domeny i ataki phishingowe w celu wykorzystania Twojej domeny lub nazwy marki do prowadzenia złośliwych działań. Niezależnie od używanego rozwiązania do wymiany poczty e-mail, ochrona domeny przed spoofingiem i podszywaniem się jest niezbędna do zapewnienia wiarygodności marki i utrzymania zaufania wśród cenionej bazy klientów.
Dlaczego warto używać PowerDMARC z Office 365?
Microsoft Office 365 zapewnia użytkownikom szereg usług i rozwiązań opartych na chmurze wraz ze zintegrowanymi filtrami antyspamowymi. Jednak pomimo różnych zalet, są to wady, które można napotkać podczas korzystania z niego z punktu widzenia bezpieczeństwa:
- Brak rozwiązania do walidacji wiadomości wychodzących wysyłanych z Twojej domeny
- Brak mechanizmu raportowania wiadomości e-mail, które nie przeszły pomyślnie testów uwierzytelniania
- Brak wglądu w ekosystem poczty elektronicznej
- Brak pulpitu nawigacyjnego do zarządzania i monitorowania poczty przychodzącej i wychodzącej.
- Brak mechanizmu zapewniającego, że rekord SPF jest zawsze poniżej limitu 10 wyszukiwań.
Raportowanie i monitorowanie DMARC za pomocą PowerDMARC
PowerDMARC płynnie integruje się z Office 365, aby zapewnić właścicielom domen zaawansowane rozwiązania uwierzytelniające, które chronią przed zaawansowanymi atakami socjotechnicznymi, takimi jak BEC i bezpośrednie fałszowanie domen.
Rejestrując się w PowerDMARC, rejestrujesz się na platformie SaaS typu multi-tenant, która nie tylko łączy w sobie wszystkie najlepsze praktyki uwierzytelniania poczty elektronicznej (SPF, DKIM, DMARC, MTA-STS, TLS-RPT i BIMI), ale także zapewnia rozbudowany i dogłębny mechanizm raportowania DMARC, który oferuje pełny wgląd w ekosystem poczty elektronicznej. Raporty DMARC na pulpicie nawigacyjnym PowerDMARC są generowane w dwóch formatach:
- Raporty zbiorcze
- Raporty kryminalistyczne
Dążymy do tego, aby uwierzytelnianie było dla Ciebie lepszym doświadczeniem, rozwiązując różne problemy branżowe. Zapewniamy szyfrowanie raportów kryminalistycznych DMARC, a także wyświetlanie zagregowanych raportów w 7 różnych widokach w celu zwiększenia komfortu użytkowania i przejrzystości.
PowerDMARC pomaga monitorować przepływ wiadomości e-mail i błędy uwierzytelniania oraz czarną listę złośliwych adresów IP z całego świata. Nasz Analizator DMARC pomaga w prawidłowej konfiguracji DMARC dla Twojej domeny i błyskawicznym przejściu od monitorowania do egzekwowania. Może to pomóc we włączeniu DMARC office 365 bez martwienia się o związane z tym zawiłości.
DMARC dla Office 365 - często zadawane pytania
Przegląd treści i proces weryfikacji faktów
Informacje na temat procesu konfiguracji Office 365 DMARC zostały zaczerpnięte z oficjalnej dokumentacji Microsoft. Dokument może zostać zaktualizowany w przyszłości w zależności od zmian wprowadzonych przez programistów na portalu Microsoft. Zalecenia wymienione w artykule są oparte na tym, co sprawdziło się u naszych klientów w czasie rzeczywistym i mogą pomóc również Tobie.
- Nieuwierzytelniona poczta DMARC jest zabroniona [ROZWIĄZANE] - 14 stycznia 2025 r.
- Jak naprawić błąd "Podpis DKIM jest nieprawidłowy"? - 14 stycznia 2025 r.
- 550-5.7.26 Błąd Gmaila: E-mail zablokowany, ponieważ nadawca jest nieuwierzytelniony - 13 stycznia 2025 r.