Firma Microsoft wprowadziła ostatnio zaufane pieczęcie ARC do autoryzacji legalnych pośrednich przepływów poczty elektronicznej i prawdę mówiąc, jest to doskonały krok. Dlaczego? Oto dlaczego:
- Protokoły uwierzytelniania poczty zszywanej (DMARC, SPForaz DKIM) nie sprawdzają się, jeśli chodzi o uwierzytelnianie wiadomości e-mail wysyłanych pośrednio
- Może to spowodować, że legalne wiadomości e-mail nie będą uwierzytelniane.
- W konsekwencji prowadzi to do problemów z dostarczaniem wiadomości e-mail
Właśnie wtedy z pomocą przychodzi zaufana pieczęć ARC firmy Microsoft. Dzięki dodaniu podpisów ARC do wiadomości wychodzących można łatwo zidentyfikować i autoryzować źródło wiadomości e-mail podczas weryfikacji nadawcy, nawet jeśli nagłówek i treść zostały zmienione przez zaufaną stronę pośredniczącą.
Dokument firmy Microsoft można obejrzeć tutaj.
Jakiej kategorii użytkowników dotyczy certyfikat Microsoft Trusted ARC Seal?
Ta zaufana pieczęć ARC może być używana przez użytkowników zalogowanych w następujących usługach firmy Microsoft:
- Ochrona programu Exchange Online
- Microsoft Defender dla usługi Office 365 plan 1 i plan 2
- Microsoft 365 Defender
Co to jest bezpośredni przepływ wiadomości e-mail?
Dzieje się tak, gdy wiadomość e-mail wysłana z domeny źródłowej dociera bezpośrednio do serwera pocztowego odbiorcy. O ile komunikacja nie zostanie przechwycona przez złośliwą stronę trzecią, wiadomość e-mail pozostaje nietknięta, a nagłówki wiadomości są zachowane, przechodząc tym samym kontrole uwierzytelniania DMARC.
Czym są pośrednie przepływy poczty?
Dzieje się tak, gdy wiadomość e-mail wysłana z domeny źródłowej jest kierowana przez jeden lub więcej serwerów pośredniczących (jak w przypadku przekazywania poczty). Pośrednicy ci mogą zmienić wiadomość, modyfikując informacje w nagłówku i treści, przez co wiadomość e-mail nie spełnia wymogów DMARC.
Dlaczego znak jakości Trusted ARC jest niezbędny?
Błędy uwierzytelniania w pośrednich przepływach poczty elektronicznej
Przedsiębiorstwa często zlecają prowadzenie kampanii email marketingowych podmiotom zewnętrznym, które kierują wiadomości z domeny właściciela do odbiorców za pośrednictwem serwera pośredniczącego (serwerów pośredniczących). Jest to zauważalne głównie podczas przekazywania wiadomości e-mail lub korzystania z list mailingowych.
Informacje w nagłówkach tych e-maili ulegają zmianie w tym procesie, ponieważ pobierają one informacje w nagłówkach odpowiedniego pośrednika. Powoduje to niespójność w nagłówkach Mail from: i return-path, przez co SPF nie działa. Pośrednicy mogą również zmieniać treść w treści maila, dodając stopki, co dodatkowo łamie DKIM.
Chociaż ta ostatnia sytuacja jest rzadka, to jednak się zdarza. Gdy zarówno SPF, jak i DKIM zawiodą dla wiadomości, DMARC nieuchronnie zawodzi, a wiadomość (mimo że legalna) jest postrzegana jako fałszywa. Jeśli nadawca ma ustawioną opcję p=reject, te legalne wiadomości nigdy nie zostaną dostarczone!
Określanie zaufanych pośredników za pomocą zaufanej pieczęci ARC firmy Microsoft
Administratorzy zalogowani w portalu obrońcy Microsoft 365 mogą dodawać zaufanych pośredników w portalu administratora. Podczas weryfikacji nadawcy firma Microsoft zweryfikuje DMARC ARC wiadomości e-mail, które są wysyłane z tych zaufanych pośredników ARC, i pomoże im przejść kontrole uwierzytelniania i bezpiecznie je dostarczyć.
Dotyczy to sposobu, w jaki ARC zachowuje oryginalne informacje uwierzytelniające dla wiadomości przed wprowadzeniem zmian przez pośrednika, co może być zweryfikowane przez serwery odbierające.
Ważne punkty, o których należy pamiętać podczas korzystania z Trusted ARC Seal
Pieczęć ARC musi być skonfigurowana przez zaufanych pośredników administratora
Jeśli jako administrator domeny posiadasz listę zaufanych pośredników, przez których chcesz kierować swoje emaile, musisz się z nimi skontaktować już dziś! Przeprowadź z nimi otwartą dyskusję, prosząc o skonfigurowanie ARC dla odpowiednich domen pośredniczących.
Załaduj tę listę zaufanych uszczelniaczy ARC do swojego portalu obrońcy.
Następnym krokiem powinno być zalogowanie się do portalu Microsoft Defender i przesłanie listy zaufanych pieczętowarek ARC. W tym miejscu można dodać nazwy domen tych zaufanych pośredników, którzy włączyli ARC na żądanie użytkownika. Można to zrobić, przechodząc do stronę ustawień uwierzytelniania poczty elektronicznej na pulpicie nawigacyjnym portalu i klikając przycisk "Dodaj".
Alternatywnie,
Listę zaufanych ARC sealerów można również dodać poprzez Exchange Online Powershell, uruchamiając poniższy skrypt Powershell, o którym wspomina Microsoft:
Set-ArcConfig -Identity default -ArcTrustedSealers {następnie nazwy domen pośredników oddzielone przecinkami}.
Jak znaleźć nazwę domeny Zaufanego Uszczelniacza ARC
Aby znaleźć nazwę domeny zaufanych nadawców ARC w skrzynce pocztowej programu Outlook, wykonaj poniższe kroki:
- Otwórz wiadomość e-mail, klikając ją dwukrotnie
- Przejdź do plik > Właściwości
- Zostanie wyświetlone okno właściwości. W polu Nagłówki internetowe można wyświetlić informacje o nagłówkach wiadomości
- W tym miejscu znajduje się nazwa domeny wymieniona w znaczniku "d=" w podpisie ARC wiadomości e-mail. Jest to domena zaufanego programu ARC sealer.
Można również użyć informacji zawartych w nagłówku wiadomości e-mail do potwierdzić swoją zaufaną pieczęć ARC wyszukując "pass" w wynikach uwierzytelniania ARC.
Czy ARC może zastąpić DMARC?
Krótko mówiąc: nie, nie jest. Aby uzyskać najlepsze rezultaty, ARC należy stosować w połączeniu z DMARC, SPF i DKIM. ARC jest dodatkowym środkiem bezpieczeństwa, który pomaga zapobiegać sytuacjom, w których legalne wiadomości e-mail nie przechodzą uwierzytelnienia, gdy przechodzą przez serwer pośredniczący, który dokonuje modyfikacji nagłówka i treści.
Aby zacząć korzystać z certyfikatu Trusted ARC firmy Microsoft, już dziś skonfiguruj DMARC w swojej organizacji. Skorzystaj z bezpłatnej test DMARC z PowerDMARC.
Powiązane artykuły
- Instrukcja konfiguracji DMARC office365
- Konfiguracja Microsoft Office 365 DKIM
- Konfiguracja SPF dla Microsoft Office 365
- Jak skonfigurować DMARC w Office 365? Przewodnik krok po kroku - 6 maja 2024 r.
- Wyjaśnienie kodów błędów SMTP Yahoo - 1 maja 2024 r.
- SPF Softfail vs Hardfail: Jaka jest różnica? - 26 kwietnia 2024 r.