Firma Microsoft wprowadziła ostatnio zaufane pieczęcie ARC do autoryzacji legalnych pośrednich przepływów poczty elektronicznej i prawdę mówiąc, jest to doskonały krok. Dlaczego? Oto dlaczego:
- Protokoły uwierzytelniania poczty zszywanej (DMARC, SPForaz DKIM) nie sprawdzają się, jeśli chodzi o uwierzytelnianie wiadomości e-mail wysyłanych pośrednio
- Może to spowodować, że legalne wiadomości e-mail nie będą uwierzytelniane.
- W konsekwencji prowadzi to do problemów z dostarczaniem wiadomości e-mail
Właśnie wtedy z pomocą przychodzi zaufana pieczęć ARC firmy Microsoft. Dzięki dodaniu podpisów ARC do wiadomości wychodzących można łatwo zidentyfikować i autoryzować źródło wiadomości e-mail podczas weryfikacji nadawcy, nawet jeśli nagłówek i treść zostały zmienione przez zaufaną stronę pośredniczącą.
Dokument firmy Microsoft można obejrzeć tutaj.
Jakiej kategorii użytkowników dotyczy certyfikat Microsoft Trusted ARC Seal?
Ta zaufana pieczęć ARC może być używana przez użytkowników zalogowanych w następujących usługach firmy Microsoft:
- Ochrona programu Exchange Online
- Microsoft Defender dla usługi Office 365 plan 1 i plan 2
- Microsoft 365 Defender
Co to jest bezpośredni przepływ wiadomości e-mail?
Dzieje się tak, gdy wiadomość e-mail wysłana z domeny źródłowej dociera bezpośrednio do serwera pocztowego odbiorcy. O ile komunikacja nie zostanie przechwycona przez złośliwą stronę trzecią, wiadomość e-mail pozostaje nietknięta, a nagłówki wiadomości są zachowane, przechodząc tym samym kontrole uwierzytelniania DMARC.
Czym są pośrednie przepływy poczty?
Dzieje się tak, gdy wiadomość e-mail wysłana z domeny źródłowej jest kierowana przez jeden lub więcej serwerów pośredniczących (jak w przypadku przekazywania poczty). Pośrednicy ci mogą zmienić wiadomość, modyfikując informacje w nagłówku i treści, przez co wiadomość e-mail nie spełnia wymogów DMARC.
Dlaczego znak jakości Trusted ARC jest niezbędny?
Błędy uwierzytelniania w pośrednich przepływach poczty elektronicznej
Przedsiębiorstwa często zlecają prowadzenie kampanii email marketingowych podmiotom zewnętrznym, które kierują wiadomości z domeny właściciela do odbiorców za pośrednictwem serwera pośredniczącego (serwerów pośredniczących). Jest to zauważalne głównie podczas przekazywania wiadomości e-mail lub korzystania z list mailingowych.
Informacje w nagłówkach tych e-maili ulegają zmianie w tym procesie, ponieważ pobierają one informacje w nagłówkach odpowiedniego pośrednika. Powoduje to niespójność w nagłówkach Mail from: i return-path, przez co SPF nie działa. Pośrednicy mogą również zmieniać treść w treści maila, dodając stopki, co dodatkowo łamie DKIM.
Chociaż to ostatnie jest rzadkim zjawiskiem, to jednak się zdarza. Gdy zarówno SPF, jak i DKIM zaw odzą dla wiadomości, DMARC nieuchronnie zawodzi i wiadomość (choć legalna) jest postrzegana jako fałszywa. Jeśli nadawca używa polityki DMARC p=reject, te legalne wiadomości nigdy nie zostaną dostarczone!
Określanie zaufanych pośredników za pomocą zaufanej pieczęci ARC firmy Microsoft
Administratorzy zalogowani w portalu obrońcy Microsoft 365 mogą dodawać zaufanych pośredników w portalu administratora. Podczas weryfikacji nadawcy firma Microsoft zweryfikuje DMARC ARC wiadomości e-mail, które są wysyłane z tych zaufanych pośredników ARC, i pomoże im przejść kontrole uwierzytelniania i bezpiecznie je dostarczyć.
Dotyczy to sposobu, w jaki ARC zachowuje oryginalne informacje uwierzytelniające dla wiadomości przed wprowadzeniem zmian przez pośrednika, co może być zweryfikowane przez serwery odbierające.
Ważne punkty, o których należy pamiętać podczas korzystania z Trusted ARC Seal
Pieczęć ARC musi być skonfigurowana przez zaufanych pośredników administratora
Jeśli jako administrator domeny posiadasz listę zaufanych pośredników, przez których chcesz kierować swoje emaile, musisz się z nimi skontaktować już dziś! Przeprowadź z nimi otwartą dyskusję, prosząc o skonfigurowanie ARC dla odpowiednich domen pośredniczących.
Załaduj tę listę zaufanych uszczelniaczy ARC do swojego portalu obrońcy.
Następnym krokiem powinno być zalogowanie się do portalu Microsoft Defender i przesłanie listy zaufanych pieczętowarek ARC. W tym miejscu można dodać nazwy domen tych zaufanych pośredników, którzy włączyli ARC na żądanie użytkownika. Można to zrobić, przechodząc do stronę ustawień uwierzytelniania poczty elektronicznej na pulpicie nawigacyjnym portalu i klikając przycisk "Dodaj".
Alternatywnie,
Listę zaufanych ARC sealerów można również dodać poprzez Exchange Online Powershell, uruchamiając poniższy skrypt Powershell, o którym wspomina Microsoft:
Set-ArcConfig -Identity default -ArcTrustedSealers {następnie nazwy domen pośredników oddzielone przecinkami}.
Jak znaleźć nazwę domeny Zaufanego Uszczelniacza ARC
Aby znaleźć nazwę domeny zaufanych nadawców ARC w skrzynce pocztowej programu Outlook, wykonaj poniższe kroki:
- Otwórz wiadomość e-mail, klikając ją dwukrotnie
- Przejdź do plik > Właściwości
- Zostanie wyświetlone okno właściwości. W polu Nagłówki internetowe można wyświetlić informacje o nagłówkach wiadomości
- W tym miejscu znajduje się nazwa domeny wymieniona w znaczniku "d=" w podpisie ARC wiadomości e-mail. Jest to domena zaufanego programu ARC sealer.
Można również użyć informacji zawartych w nagłówku wiadomości e-mail do potwierdzić swoją zaufaną pieczęć ARC wyszukując "pass" w wynikach uwierzytelniania ARC.
Czy ARC może zastąpić DMARC?
Krótko mówiąc: nie, nie jest. Aby uzyskać najlepsze rezultaty, ARC należy stosować w połączeniu z DMARC, SPF i DKIM. ARC jest dodatkowym środkiem bezpieczeństwa, który pomaga zapobiegać sytuacjom, w których legalne wiadomości e-mail nie przechodzą uwierzytelnienia, gdy przechodzą przez serwer pośredniczący, który dokonuje modyfikacji nagłówka i treści.
Aby zacząć korzystać z pieczęci Trusted ARC firmy Microsoft, skonfiguruj DMARC w swojej organizacji już dziś. Skorzystaj z bezpłatnego wersję próbną DMARC z PowerDMARC.
Powiązane artykuły
- Instrukcja konfiguracji DMARC office365
- Konfiguracja Microsoft Office 365 DKIM
- Konfiguracja SPF dla Microsoft Office 365
- Yahoo Japan wymusza przyjęcie DMARC dla użytkowników w 2025 roku - 17 stycznia 2025 r.
- Botnet MikroTik wykorzystuje błędne konfiguracje SPF do rozprzestrzeniania złośliwego oprogramowania - 17 stycznia 2025 r.
- Nieuwierzytelniona poczta DMARC jest zabroniona [ROZWIĄZANE] - 14 stycznia 2025 r.