Microsoft zaleca użytkownikom poczty e-mail odpowiednią ochronę wszystkich domen powiązanych z usługą Office 365. Jeśli nie zabezpieczasz swoich domen onmicrosoft.com, aktorzy zagrożeń mogą z łatwością wykorzystać je w atakach typu spoofing. Na szczęście, jeśli korzystasz z subdomeny onmicrosoft.com, SPF powinien być już dla niej włączony. Jednak sam SPF nie jest w stanie zapobiec atakom spoofingowym. Do tego potrzebny jest DMARC! Dowiedzmy się więc, jak zaimplementować DKIM i DMARC dla swoich domen onmicrosoft.com, aby poprawić bezpieczeństwo poczty elektronicznej.
Co to jest domena onmicrosoft.com lub MOERA?
onmicrosoft.com domains are your Microsoft Online Email Routing Address domain, also known as MOERA for short. Your MOERA domain is formatted as <domain>.onmicrosoft.com and is a default address given to every Microsoft tenant during onboarding. It is typically assigned during the initial setup phase. When you sign up for Microsoft 365, you are required to provide a unique domain name. Microsoft then creates a domain in the format yourcompany.onmicrosoft.com.
Adresy MOERA są używane wewnętrznie w systemach Microsoft do kierowania wiadomości e-mail. Na przykład, nawet jeśli podstawowy adres e-mail użytkownika to [email protected], może on nadal mieć adres MOERA, taki jak [email protected], który jest używany za kulisami.
Dlaczego uwierzytelnianie jest ważne dla wszystkich domen?
Microsoft od lat znajduje się pod ostrzałem jako magnes dla ataków phishingowych! W rzeczywistości w 2024 roku Microsoft został uznany za najczęściej podszywaną globalną markę, a następnie Google, przez różnych badaczy bezpieczeństwa i źródła.
W ataku polegającym na podszywaniu się pod znaną markę wysyłane są złośliwe, fałszywe wiadomości e-mail z jej domeny. Oznacza to, że atakujący mogą podszyć się pod domenę onmicrosoft.com, aby wysyłać wiadomości phishingowe do klientów, którzy mogą je kliknąć i zostać oszukani. Konsekwencją tego ataku będą negatywne opinie klientów, utrata zaufania i nadszarpnięta reputacja.
Właśnie dlatego konieczne jest zabezpieczenie wszystkich domen! Oto kilka protokołów uwierzytelniania poczty e-mail, których możesz użyć, aby to osiągnąć:
- SPF: Sender Policy Framework (SPF) umożliwia autoryzację źródeł wysyłania domeny. Domyślnie domena onmicrosoft.com ma włączoną funkcję SPF. Dlatego serwery odbierające będą rozpoznawać tę domenę jako autentycznego nadawcę wiadomości e-mail.
- DKIM: DomainKeys Identified Mail (DKIM) pomaga dołączać podpisy cyfrowe do wiadomości e-mail. Podpisy te są weryfikowane przez odbiorcę podczas uwierzytelniania. Pomaga to ustalić, czy wiadomość e-mail pozostała autentyczna i niezmieniona podczas transmisji. Należy ręcznie skonfigurować tę funkcję dla domeny onmicrosoft.com.
- DMARC: Domain-based Message Authentication Reporting and Conformance (DMARC) umożliwia podejmowanie działań opartych na polityce wobec nieautoryzowanych wiadomości e-mail. Jeśli Twoje e-maile nie przejdą kontroli SPF i/lub DKIM, możesz zająć stanowisko! Użyj DMARC do odrzucania, poddawania kwarantannie lub dostarczania wiadomości e-mail poprzez włączenie polityki politykę DMARC.
Kroki dodawania DKIM dla domeny onmicrosoft.com
Aby dodać DKIM dla domeny onmicrosoft.com, wykonaj poniższe kroki:
1. Zaloguj się do portalu Microsoft Defender
2. Przejdź do E-mail i współpraca > Zasady i reguły > Zasady dotyczące zagrożeń.
3. Przewiń w dół do sekcji "Reguły" i kliknij Ustawienia uwierzytelniania e-mail.
4. Wybierz zakładkę DKIM dla domeny onmicrosoft.com i kliknij, aby ją włączyć.
5. Kliknij Rotate DKIM keys, aby dodać drugi rekord DKIM z innym selektorem do swoich rekordów DNS.
Aktywacja DKIM dla domeny przez portal może potrwać od kilku minut do godziny. Po zakończeniu propagacji DNS firma Microsoft zaleca dodanie drugiego selektora do konfiguracji DKIM. Ten krok zapewnia dodatkowe bezpieczeństwo, umożliwiając okresową rotację kluczy DKIM.
Kroki dodawania DMARC dla domeny onmicrosoft.com
1. Zaloguj się do centrum administracyjnego Microsoft Office 365
2. Przejdź do Ustawienia > Domeny i wybierz domenę onmicrosoft.com.
3. Po wybraniu kliknij Rekordy DNS > Dodaj rekord
4. W wyskakującym okienku "Dodaj niestandardowy rekord DNS" skonfiguruj następujące ustawienia:
Typ: TXT
Nazwa TXT: _dmarc
Wartość TXTv=DMARC1; p=reject;
TTL: 1 godzina
Po wybraniu preferowanej polityki politykę DMARC (p=) zalecamy rozpoczęcie od polityki DMARC "brak", która nie zapewnia żadnej ochrony, ale jest przydatna do monitorowania domeny. Następnie należy powoli przejść do "kwarantanny" i wreszcie do "odrzucania", aby aktywnie zapobiegać cyberatakom.
Kliknij "Zapisz" i poczekaj od kilku minut do godziny, aby zapisać zmiany w rekordzie.
Kroki weryfikacji konfiguracji onmicrosoft.com DKIM i DMARC
Po zapisaniu ustawień DMARC i DKIM należy je zweryfikować w centrum administracyjnym.
- W centrum administracyjnym Microsoft Office 365 przejdź do Ustawienia > Domeny i wybierz domenę onmicrosoft.com.
- Kliknij na rekordy DNS i przewiń w dół do "Rekordy niestandardowe". Tutaj powinieneś być w stanie zobaczyć swój nowo dodany rekord DMARC
- Przewiń w dół do " Dodatkowe rekordy Microsoft Office 365 " i w tej sekcji powinieneś być w stanie zobaczyć 2 nowe rekordy DKIM skonfigurowane dla Twojej domeny
Po wykryciu tych rekordów oznacza to, że wszystko jest gotowe!
Słowa końcowe
Włączenie DKIM i DMARC dla domen onmicrosoft.com jest kluczowym krokiem w kierunku zwiększenia bezpieczeństwa poczty e-mail. Może to pomóc chronić reputację Twojej marki przed spoofingiem i podszywaniem się. Postępując zgodnie z krokami opisanymi przez Microsoft, jak wspomniano w naszym przewodniku, możesz włączyć niezbędne protokoły, aby zabezpieczyć swoją domenę.
PowerDMARC upraszcza ten proces, zapewniając intuicyjną platformę, która pomaga bez wysiłku wdrażać i monitorować te protokoły. Dzięki PowerDMARC otrzymujesz kompleksowy wgląd i alerty w czasie rzeczywistym, zapewniając, że Twoja domena pozostaje bezpieczna i zgodna z przepisami. Przejmij kontrolę nad bezpieczeństwem poczty elektronicznej już dziś dzięki PowerDMARC i ciesz się spokojem ducha, wiedząc, że Twoja komunikacja jest chroniona. Rozpocznij bezpłatny okres próbny już dziś!
- Yahoo Japan zaleca użytkownikom przyjęcie DMARC w 2025 roku - 17 stycznia 2025 r.
- Botnet MikroTik wykorzystuje błędne konfiguracje SPF do rozprzestrzeniania złośliwego oprogramowania - 17 stycznia 2025 r.
- Nieuwierzytelniona poczta DMARC jest zabroniona [ROZWIĄZANE] - 14 stycznia 2025 r.