DMARC dla Office 365: Konfiguracja krok po kroku i najlepsze praktyki

Microsoft wspiera i zachęca DMARC dla użytkowników Office 365, co pozwala im na przyjęcie protokołów uwierzytelniania poczty e-mail jednomyślnie we wszystkich zarejestrowanych domenach. W tym blogu wyjaśniamy procesy konfigurowania DMARC dla Office 365 w celu sprawdzania poprawności wszystkich wiadomości e-mail Office 365:

1. Routing adresów e-mail online z Microsoft 
2. Domeny niestandardowe dodane w centrum administracyjnym
3. Zaparkowane lub nieaktywne, ale zarejestrowane domeny 

W drugim kwartale 2023 r. Microsoft został uznany przez różne źródła za najczęściej podszywaną markę w oszustwach phishingowych. Protokoły takie jak DMARC są niezbędne do wzmocnienia mechanizmu obronnego.

Dowiedzmy się, jak DMARC w Office 365 pomaga zapobiegać zaawansowanym zagrożeniom e-mail.

Co to jest DMARC?

DMARC, czyli Domain-based Message Authentication, Reporting, and Conformance, to protokół uwierzytelniania wiadomości e-mail zaprojektowany w celu ochrony domeny przed spoofingiem wiadomości e-mail i atakami phishingowymi. Opiera się on na dwóch istniejących standardach: 

• SPF (Sender Policy Framework)
• DKIM (DomainKeys Identified Mail)

Daje to właścicielom domen większą kontrolę nad tym, w jaki sposób nieuwierzytelnione wiadomości e-mail twierdzące, że pochodzą z ich domeny, są obsługiwane przez odbierające serwery pocztowe. 

Kiedy wdrażasz DMARC dla Office 365, publikujesz politykę DMARC jako rekord DNS TXT powiązany z Twoją domeną. Polityka ta instruuje odbiorców poczty e-mail, czy mają akceptować, poddawać kwarantannie lub odrzucać wiadomości, które nie przeszły pomyślnie kontroli SPF i DKIM, znacznie zmniejszając szanse złośliwych aktorów na pomyślne podszycie się pod Twoją domenę.

DMARC zapewnia również cenną widoczność poprzez mechanizmy raportowania, umożliwiając właścicielom domen otrzymywanie szczegółowych informacji zwrotnych na temat wyników uwierzytelniania poczty elektronicznej. Raporty te pomagają zidentyfikować nieautoryzowane źródła poczty elektronicznej i poprawić ogólny stan bezpieczeństwa poczty elektronicznej.

Uprość DMARC dla Office 365 dzięki PowerDMARC!

Rzeczy do rozważenia przed rozpoczęciem

Według Dokumenty Microsoftu:

• Jeśli używasz MOERA (Microsoft Online Email Routing Address), który powinien kończyć się na onmicrosoft.com, SPF i DKIM będą już dla niego skonfigurowane. Konieczne będzie jednak utworzenie rekordów DMARC za pomocą centrum administracyjnego Microsoft 365. 

• Jeśli używasz niestandardowej domeny (domen), takiej jak example.com, będziesz musiał ręcznie skonfigurować SPF, DKIM i DMARC dla swojej domeny. 

• W przypadku zaparkowanych domen (nieaktywnych domen) Microsoft zaleca, aby upewnić się, że wyraźnie określono, że żadne wiadomości e-mail nie powinny być z nich wysyłane. W przeciwnym razie domeny te mogą być wykorzystywane do ataków typu spoofing i phishing.

• W przypadku wiadomości przekazywanych lub modyfikowanych w tranzycie konieczne jest skonfigurowanie ARC. Pomaga to zachować oryginalne nagłówki uwierzytelniania wiadomości e-mail pomimo modyfikacji, w celu dokładnego uwierzytelnienia.

Jak skonfigurować DMARC dla Office 365

Postępuj zgodnie z tymi instrukcjami krok po kroku, aby skonfigurować DMARC dla Office 365 z pewnością i przejrzystością:

Krok 1: Zidentyfikuj prawidłowe źródła wiadomości e-mail dla swojej domeny

Będą to źródłowe adresy IP (w tym stron trzecich), którym chcesz zezwolić na wysyłanie wiadomości e-mail w Twoim imieniu. 

Krok 2: Skonfiguruj SPF dla swojej domeny

Teraz należy skonfigurować SPF do weryfikacji nadawcy. Aby to zrobić, należy utworzyć rekord SPF TXT, który będzie zawierał wszystkie ważne źródła wysyłania, w tym zewnętrznych dostawców poczty elektronicznej. Możesz zarejestrować się w PowerDMARC za darmo i użyć naszego narzędzia do generowania rekordów SPF, aby utworzyć swój rekord.

Krok 3: Skonfiguruj DKIM dla Office 365 w swojej domenie

Aby włączyć DMARC Office 365, musisz skonfigurować SPF lub DKIM dla swojej domeny. Zalecamy skonfigurowanie DKIM i DMARC na Office 365 w celu zapewnienia dodatkowej warstwy bezpieczeństwa dla wiadomości e-mail Twojej domeny. Możesz zarejestrować się w PowerDMARC za darmo i użyć naszego narzędzia do generowania rekordów D KIM, aby utworzyć swój rekord.

Krok 4: Utwórz rekord DMARC TXT

Możesz użyć darmowego generatora rekordów PowerDMARC Generator rekordów DMARC na tym etapie. Wygeneruj rekord natychmiast z poprawną składnią, aby opublikować go w DNS i skonfigurować DMARC dla swojej domeny!

Należy zauważyć, że tylko polityka egzekwowania odrzuć może skutecznie zapobiegać atakom podszywania się. Zalecamy rozpoczęcie od ustawienia brak i regularnie monitorować ruch e-mail. Należy to robić przez jakiś czas, zanim w końcu przejdzie się do egzekwowania. Odrzucenia DMARC nie należy lekceważyć, ponieważ może to prowadzić do utraty legalnych wiadomości e-mail, jeśli źródła wysyłania nie są odpowiednio skonfigurowane lub monitorowane.

Dla rekordu DMARC zdefiniuj tryb polityki (brak/kwarantanna/odrzucenie) oraz adres e-mail w polu "rua", jeśli chcesz otrzymywać zbiorcze raporty DMARC.

Składnia rekordu DMARC może wyglądać następująco: 

v=DMARC1; p=reject; rua=mailto:[email protected];

Ten rekord ma wymuszoną politykę "odrzuć" i ma włączone raportowanie zbiorcze DMARC dla domeny. 

Jak dodać rekord DMARC usługi Office 365 za pomocą Centrum administracyjnego Microsoft

Aby dodać rekord DMARC Office 365 dla MOERA (domeny *onmicrosoft.com), należy wykonać następujące kroki:

1. Zaloguj się do centrum administracyjnego Microsoft 

2. Przejdź do Pokaż wszystko > Ustawienia > Domeny

3. Wybierz domenę *onmicrosoft.com z listy domen na stronie Domains, aby otworzyć stronę Domain details.

4. Kliknij zakładkę Rekordy DNS na tej stronie i wybierz + Dodaj rekord 

5. Pojawi się pole tekstowe umożliwiające dodanie nowego rekordu DMARC z różnymi polami. Poniżej podano wartości, które należy wypełnić dla poszczególnych pól: 

Typ: TXT

Nazwa: _dmarc

TTL: 1 godzina

Wartość: (wklej wartość utworzonego rekordu DMARC)

6. Kliknij przycisk Zapisz 

Dodawanie rekordu DMARC usługi Office 365 dla domeny niestandardowej

Jeśli masz niestandardową domenę, taką jak example.com, przygotowaliśmy szczegółowy przewodnik na temat jak skonfigurować DMARC. Możesz wykonać kroki z naszego przewodnika, aby łatwo skonfigurować protokół. Microsoft podaje kilka cennych zaleceń podczas konfigurowania DMARC dla domen niestandardowych. Zgadzamy się z tymi wskazówkami i sugerujemy je również naszym klientom! Przyjrzyjmy się, czym one są:

• Konfigurując DMARC, należy zacząć od polityki braku 
• Powolne przejście do kwarantanny, a następnie odrzucenie. 
• Możesz także zachować niską wartość procentową (pct) dla wpływu polityki, zaczynając od 10 i powoli zwiększając ją do 100
• Upewnij się, że masz włączone raportowanie DMARC, aby regularnie monitorować swoje kanały e-mail. 

Dodawanie rekordu DMARC Office 365 dla nieaktywnych domen

Na stronie zamieściliśmy szczegółowy przewodnik na temat zabezpieczania nieaktywnych/zaparkowanych domen za pomocą SPF, DKIM i DMARC. Możesz tam przejść przez szczegółowe kroki, ale dla szybkiego przeglądu, nawet Twoje nieaktywne domeny muszą mieć skonfigurowany DMARC.

Wystarczy opublikować rekord DMARC, uzyskując dostęp do konsoli zarządzania DNS dla nieaktywnej domeny. Jeśli nie masz dostępu do DNS, skontaktuj się z dostawcą DNS już dziś. Rekord ten można skonfigurować tak, aby odrzucał wszystkie wiadomości pochodzące z nieaktywnych domen, które nie spełniają wymogów DMARC: 

v=DMARC1; p=reject;

Skonfiguruj DMARC dla Office 365 we właściwy sposób dzięki PowerDMARC!

Dlaczego warto skonfigurować DMARC dla Office 365? 

Office 365 jest wyposażony w rozwiązania antyspamowe i zabezpieczenia poczty e-mail zintegrowane z pakietem zabezpieczeń. Dlaczego więc miałbyś potrzebować polityki DMARC w Office 365 do uwierzytelniania? Dzieje się tak dlatego, że rozwiązania te chronią przede wszystkim przed przychodzącymi phishingowymi wiadomościami e-mail wysyłanymi do Twojej domeny. Protokół uwierzytelniania DMARC jest rozwiązaniem zapobiegającym phishingowi wychodzącemu. Pozwala on właścicielom domen określić odbierającym serwerom pocztowym, w jaki sposób mają odpowiadać na wiadomości e-mail wysyłane z domeny, które nie przejdą uwierzytelnienia. DMARC zmniejsza również ryzyko, że legalne wiadomości wylądują w folderze spamu. Ważne jest, aby pamiętać, że DMARC chroni przede wszystkim przed spoofingiem domen bezpośrednich (przy użyciu dokładnej nazwy domeny) i nie chroni przed spoofingiem domen podobnych (przy użyciu wizualnie podobnych nazw domen).

DMARC wykorzystuje dwie standardowe praktyki uwierzytelniania, a mianowicie SPF i DKIM. Weryfikują one autentyczność wiadomości e-mail. Polityka DMARC w usłudze Office 365 może zapewnić lepszą ochronę przed atakami podszywania się i spoofingu.

Konfiguracja DMARC dla biznesowych wiadomości e-mail jest ważniejsza niż kiedykolwiek w obecnym scenariuszu, ponieważ: 

1. Agencje federalne wydały ostrzeżenia przed hakerami wykorzystującymi nieobecne lub słabe zasady DMARC
2. Zgodność z DMARC jest obowiązkowa dla nadawców masowych Yahoo i Google
3. IBM podaje, że średni koszt naruszenia, gdy atakujący używają naruszonych danych uwierzytelniających, wynosi 4,8 mln USD.

Rzeczywisty przykład wpływu DMARC pochodzi od HCITdostawcy usług zarządzanych(MSP), który stanął w obliczu rosnących wyzwań związanych z phishingiem i spoofingiem poczty elektronicznej skierowanym do swoich klientów. Wdrażając DMARC z PowerDMARC, HCIT z powodzeniem chronił wiele domen, zmniejszył ryzyko podszywania się i poprawił dostarczalność poczty elektronicznej, pokazując, jak właściwe rozwiązanie może chronić firmy i ich klientów przed kosztownymi atakami.

Najczęstsze pułapki i sposoby ich unikania

Podczas gdy konfiguracja DMARC dla Office 365 znacząco wzmacnia bezpieczeństwo poczty elektronicznej domeny, błędy w konfiguracji mogą osłabić jej skuteczność. Oto niektóre z najczęstszych pułapek, na jakie napotykają firmy i jak można ich proaktywnie uniknąć:

Zapominanie o zasadach dotyczących subdomen

Polityki DMARC stosowane w domenie głównej (np, website.com) nie rozciągają się automatycznie na subdomeny, takie jak mail.website.com lub news.website.com chyba że wyraźnie określisz to za pomocą atrybutu sp w rekordzie DMARC.

To niedopatrzenie tworzy lukę, którą atakujący uwielbiają wykorzystywać. Cyberprzestępcy często wybierają niezabezpieczone subdomeny do wysyłania fałszywych wiadomości e-mail, omijając egzekwowanie DMARC przez domenę główną.

Rozwiązanie: Dodaj sp=reject; (lub kwarantannę) do polityki DMARC, aby rozszerzyć ochronę na wszystkie subdomeny. Regularnie przeprowadzaj audyt swoich subdomen i stosuj surowe zasady wobec domen, które nie powinny w ogóle wysyłać wiadomości e-mail.

Błędnie skonfigurowany SPF/DKIM łamiący DMARC

DMARC działa tylko wtedy, gdy kontrole SPF lub DKIM przejdą pomyślnie i są prawidłowo dopasowane do domeny w nagłówku "From". Nie wystarczy, aby te protokoły po prostu istniały. Muszą one uwierzytelniać się w imieniu dokładnej domeny używanej do wysyłania poczty.

Kilka typowych problemów:

• SPF zawiera adres IP nadawcy zewnętrznego, ale jego domena koperta-od nie jest zgodna.
• DKIM podpisuje się inną domeną niż ta, która pojawia się w adresie "Od"
• Rekordy w systemie DNS są niepoprawne składniowo lub niekompletne.

Rozwiązanie: Używaj narzędzi specyficznych dla domeny do testowania konfiguracji SPF, DKIM i DMARC. Zawsze sprawdzaj wyrównanie - nie tylko status pass/fail. Narzędzia takie jak analizator PowerDMARC pomagają wizualizować i weryfikować poprawność konfiguracji, minimalizując ryzyko związane z nieprawidłowym uwierzytelnianiem.

Zewnętrzni nadawcy nie dostosowują się

Usługi takie jak Mailchimp, SendGridlub Salesforce mogą obsługiwać SPF i DKIM, ale jeśli nie są poprawnie skonfigurowane w celu dostosowania do domeny, DMARC zawiedzie, nawet jeśli rekordy DNS wyglądają poprawnie.

Niezgodność z tymi platformami może spowodować oflagowanie lub zablokowanie wiadomości e-mail, co może wpłynąć na dostarczalność i zaufanie do marki.

Rozwiązanie:

• Upewnij się, że usługi e-mail innych firm obsługują podpisywanie DKIM przy użyciu Twojej domeny i umożliwiają wyrównanie SPF poprzez dostosowanie koperty.
• Zawsze weryfikuj dokumentację i konfiguracje testowe każdej platformy.
• Utrzymuj centralną listę wszystkich zewnętrznych nadawców używanych przez Twoją organizację i okresowo sprawdzaj ich pod kątem zgodności z DMARC.

Brak adresu raportowania lub nieczytelne raporty

Funkcja raportowania DMARC jest jedną z jego najpotężniejszych funkcji, ale tylko wtedy, gdy jest prawidłowo włączona. Jeśli pominiesz znaczniki rua (raporty zbiorcze) lub ruf (raporty kryminalistyczne) w swoim rekordzie DMARC, stracisz wszelki wgląd w nieautoryzowane próby wysyłania.

Co gorsza, jeśli otrzymujesz raporty, ale kierujesz je do osobistej skrzynki odbiorczej, ich objętość i nieprzetworzony format XML mogą szybko stać się przytłaczające i bezużyteczne.

Rozwiązanie: Zawsze określaj tagi rua i ruf w rekordzie DMARC, aby aktywować raportowanie. Dodatkowo, użyj dedykowanego adresu e-mail lub zewnętrznego analizatora raportów DMARC, który może analizować i wizualizować dane w przystępnym formacie.

Czy naprawdę potrzebujesz DMARC podczas korzystania z Office 365?

Wśród firm panuje powszechne błędne przekonanie: uważają, że Office 365 zapewnia bezpieczeństwo przed spamem i fałszywymi wiadomościami e-mail. Jednak w maju 2020 r. miała miejsce seria ataków phishingowych przeprowadzono na kilka firm ubezpieczeniowych z Bliskiego Wschodu. Atakujący wykorzystali Office 365, powodując znaczną utratę danych i naruszenia bezpieczeństwa. Oto, czego się z tego dowiedzieliśmy:

Powód 1: Rozwiązanie bezpieczeństwa Microsoftu nie jest niezawodne 

Dlatego właśnie poleganie na zintegrowanych rozwiązaniach bezpieczeństwa Microsoftu nie jest wystarczające. Podjęcie zewnętrznych wysiłków w celu ochrony domeny może być ogromnym błędem. 

Powód 2: Należy skonfigurować DMARC dla Office 365 w celu ochrony przed atakami wychodzącymi.

Podczas gdy zintegrowane rozwiązania bezpieczeństwa Office 365 mogą oferować ochronę przed przychodzącymi zagrożeniami e-mail i próbami phishingu, nadal musisz upewnić się, że wiadomości wychodzące wysyłane z Twojej własnej domeny są skutecznie uwierzytelniane, zanim wylądują w skrzynkach odbiorczych Twoich klientów i partnerów. W tym miejscu wkracza DMARC dla Office 365.

Powód 3: DMARC pomoże Ci monitorować Twoje kanały emailowe 

DMARC nie tylko chroni domenę przed bezpośrednim spoofingiem domeny i atakami phishingowymi. Pomaga również monitorować kanały e-mail. Niezależnie od tego, czy korzystasz z wymuszonej polityki, takiej jak "odrzuć/kwarantanna", czy z bardziej łagodnej polityki, takiej jak "brak", możesz śledzić wyniki uwierzytelniania za pomocą Raporty DMARC. Raporty te są wysyłane na Twój adres e-mail lub do Analizator raportów DMARC narzędzie. Monitorowanie zapewnia, że legalne wiadomości e-mail są pomyślnie dostarczane.

Raportowanie i monitorowanie DMARC za pomocą PowerDMARC

PowerDMARC płynnie integruje się z Office 365, aby zapewnić właścicielom domen zaawansowane rozwiązania uwierzytelniające, które chronią przed zaawansowanymi atakami socjotechnicznymi, takimi jak BEC i bezpośrednie fałszowanie domen. 

Rejestrując się w PowerDMARC, rejestrujesz się na platformie SaaS typu multi-tenant, która nie tylko łączy w sobie wszystkie najlepsze praktyki uwierzytelniania poczty elektronicznej (SPF, DKIM, DMARC, MTA-STS, TLS-RPT i BIMI), ale także zapewnia rozbudowany i dogłębny mechanizm raportowania DMARC, który oferuje pełny wgląd w ekosystem poczty elektronicznej. Raporty DMARC na pulpicie nawigacyjnym PowerDMARC są generowane w dwóch formatach:

• Raporty zbiorcze (RUA)
• Raporty kryminalistyczne (RUF - jeśli są włączone i obsługiwane przez reportera)

Dążymy do tego, aby uwierzytelnianie było dla Ciebie lepszym doświadczeniem, rozwiązując różne problemy branżowe. Zapewniamy szyfrowanie raportów kryminalistycznych DMARC, a także wyświetlanie zagregowanych raportów w 7 różnych widokach w celu zwiększenia komfortu użytkowania i przejrzystości. 

PowerDMARC pomaga monitorować przepływ wiadomości e-mail i błędy uwierzytelniania oraz czarną listę złośliwych adresów IP z całego świata. Nasz Analizator DMARC pomaga w prawidłowej konfiguracji DMARC dla Twojej domeny i błyskawicznym przejściu od monitorowania do egzekwowania. Może to pomóc we włączeniu DMARC office 365 bez martwienia się o związane z tym zawiłości.

Najczęściej zadawane pytania

Jak działa DMARC w O365?

W usłudze Office 365 DMARC chroni pocztę e-mail na dwa sposoby:

• W przypadku poczty przychodzącejOffice 365 sprawdza zasady DMARC nadawcy. Następnie poddaje kwarantannie (wysyła do śmieci) lub odrzuca wiadomości, które nie przeszły uwierzytelnienia SPF i DKIM.
• Dla poczty wychodzącejpublikujesz rekord DMARC dla swojej domeny. Office 365 automatycznie zajmie się wtedy wymaganym podpisywaniem SPF i DKIM. Gwarantuje to, że wiadomości e-mail są odpowiednio uwierzytelnione i zaufane przez serwery odbierające.

Czy DMARC jest wymagany dla RODO lub innych ram zgodności?

DMARC nie jest wyraźnie wymagany przez RODO lub większość standardów zgodności, ale wspiera ochronę danych poprzez zapobieganie spoofingowi i nieautoryzowanemu użyciu poczty elektronicznej, pomagając spełnić szersze oczekiwania w zakresie bezpieczeństwa.

Czy DMARC działa z adresami e-mail Gmail i Yahoo?

DMARC chroni domenę użytkownika, a nie dostawcę skrzynki odbiorczej. Jednak główni dostawcy, tacy jak Gmail i Yahoo, wymuszają DMARC na poczcie przychodzącej, co sprawia, że nadawcy muszą przejść uwierzytelnianie.

Czy DMARC może poprawić wskaźnik otwieralności e-maili?

Pośrednio tak. Uwierzytelnione wiadomości e-mail są rzadziej oznaczane jako spam lub odrzucane, co oznacza lepszą pozycję w skrzynce odbiorczej i większe szanse na otwarcie.

Czy wdrożenie DMARC wiąże się z kosztami?

Konfiguracja DMARC jest bezpłatna, jeśli zarządzasz własnym DNS. Możesz jednak wybrać płatne narzędzia lub usługi, aby uprościć monitorowanie, analizę raportów i bieżące zarządzanie.

Przegląd treści i proces weryfikacji faktów

Informacje na temat procesu konfiguracji Office 365 DMARC pochodzą głównie z oficjalnej dokumentacji Microsoft i praktycznego doświadczenia. Dokumentacja ta może być aktualizowana przez Microsoft. Zalecenia wymienione w artykule, w tym stosowanie reguł transportu i stopniowe wdrażanie polityki, opierają się na najlepszych praktykach branżowych i rzeczywistych doświadczeniach klientów.

"`

• O
• Latest Posts

Yunes Tarada

Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC

Yunes jest liderem zespołu operacyjnego w PowerDMARC z wiedzą ekspercką w zakresie uwierzytelniania i bezpieczeństwa poczty elektronicznej. Yunes jest certyfikowanym przez Microsoft Azure Administrator Associate z certyfikatami CompTIA A+ i wieloma innymi.

Najnowsze posty autorstwa Yunes Tarada (zobacz wszystkie)

• Wartość wygaśnięcia SOA poza zalecanym zakresem: Co to oznacza i jak to naprawić - 29 października 2025 r.
• Przewodnik po konfiguracji SPF, DKIM i DMARC w Loops.so - 20 października 2025 r.
• fTLD DMARC: Najlepsze praktyki bezpieczeństwa poczty elektronicznej dla instytucji finansowych - 15 października 2025 r.