A Microsoft apoia e incentiva o DMARC para os utilizadores do Office 365, o que lhes permite adotar protocolos de autenticação de correio eletrónico por unanimidade em todos os seus domínios registados. Neste blogue, explicamos os processos para configurar o DMARC para o Office 365 para validar quaisquer e-mails do Office 365 que tenham:
- Endereços de encaminhamento de correio eletrónico online com a Microsoft
- Domínios personalizados adicionados no centro de administração
- Domínios estacionados ou inactivos, mas registados
No segundo trimestre de 2023, a Microsoft foi apelidada por várias fontes como a marca mais personificada em esquemas de phishing. Protocolos como o DMARC são imperativos para aumentar o seu mecanismo de defesa.
Vamos descobrir como o DMARC no Office 365 ajuda a evitar ameaças sofisticadas de correio eletrónico.
Como configurar o DMARC para o Office 365
DMARC ou Domain-based Message Authentication, Reporting, and Conformance existe como um registo TXT no DNS do seu domínio. O DMARC actua como uma defesa primária contra as ameaças transmitidas por correio eletrónico com origem no seu próprio domínio. Antes de configurar o DMARC, o seu domínio deve conter registos SPF ou DKIM ou, melhor ainda, ambos, para uma proteção avançada.
Se estiver a utilizar um domínio personalizado, são apresentados abaixo os passos para criar o seu registo DMARC. Note que não é obrigatório configurar o SPF e o DKIM para configurar o DMARC. No entanto, recomenda-se a adição de uma camada adicional de proteção.
Coisas a considerar antes de começar
De acordo com documentos da Microsoft:
- Se utilizar o MOERA (Endereço de Encaminhamento de Email Online da Microsoft), que deve terminar com onmicrosoft.com, o SPF e o DKIM já estarão configurados para ele. No entanto, terá de criar os seus registos DMARC utilizando o centro de administração do Microsoft 365.
- Se utilizar um domínio personalizado como example.com, terá de configurar manualmente o SPF, DKIM e DMARC para o seu domínio.
- Para os seus domínios estacionados (domínios inactivos), a Microsoft recomenda que se certifique de que está a especificar explicitamente que não devem ser enviados emails a partir deles. Caso contrário, estes domínios podem ser utilizados em ataques de spoofing e phishing.
- Para mensagens reencaminhadas ou modificadas em trânsito, é essencial que configure o ARC. Isto ajuda a preservar os cabeçalhos de autenticação de correio eletrónico originais, apesar das modificações, para uma autenticação precisa.
Passo 1: Identificar fontes de correio electrónico válidas para o seu domínio
Estes seriam os endereços IP de origem (incluindo terceiros) que pretende autorizar a enviar mensagens de correio eletrónico em seu nome.
Etapa 2: Prepare um SPF para o seu domínio
Agora é necessário configurar o SPF para verificação do remetente. Para o fazer, crie um registo SPF TXT que inclua todas as suas fontes de envio válidas, incluindo fornecedores externos de correio eletrónico. Pode inscrever-se gratuitamente no PowerDMARC e utilizar a nossa ferramenta geradora de registos SPF para criar o seu registo.
Passo 3: Configurar o DKIM para o Office 365 no seu domínio
Para ativar o DMARC Office 365, é necessário ter o SPF ou o DKIM configurado para o seu domínio. Recomendamos que configure o DKIM e DMARC no Office 365 para obter uma camada adicional de segurança para os emails do seu domínio. Pode inscrever-se gratuitamente no PowerDMARC e utilizar a nossa ferramenta geradora de registos DKIM para criar o seu registo.
Passo 4: Criar um registo DMARC TXT
Pode utilizar o gerador de registos gerador de registos DMARC gratuito do PowerDMARC para esta etapa. Gere instantaneamente um registo com a sintaxe correcta para publicar no seu DNS e configurar o DMARC para o seu domínio!
Note-se que apenas uma política de execução de rejeitar pode impedir eficazmente os ataques de falsificação de identidade. Recomendamos que comece com uma política nenhum e monitorize regularmente o seu tráfego de correio eletrónico. Faça isto durante algum tempo antes de passar finalmente à aplicação.
Para o seu registo DMARC, defina o seu modo de política (nenhum/quarentena/rejeitar) e um endereço de correio eletrónico no campo "rua" se pretender receber relatórios DMARC.
Política DMARC | Tipo de apólice | Sintaxe | Ação |
---|---|---|---|
nenhum | relaxado/sem ação/permissivo | p=nenhum; | Não tomar qualquer medida contra mensagens que falhem a autenticação, ou seja, entregá-las. |
quarentena | aplicadas | p=quarentena; | Mensagens de quarentena que falham no DMARC |
rejeitar | aplicadas | p=rejeitar; | Descartar mensagens que falham no DMARC |
A sintaxe do seu registo DMARC pode ter o seguinte aspeto:
v=DMARC1; p=reject; rua=mailto:[email protected];
Este registo tem uma política imposta de "rejeitar" e tem o relatório agregado DMARC ativado para o domínio.
Passos para adicionar o registo DMARC do Office 365 utilizando o Microsoft Admin Center
Para adicionar o seu registo DMARC do Office 365 para domínios MOERA (domínios *onmicrosoft.com)estas são as etapas:
1. Inicie sessão no seu centro de administração da Microsoft
2. Aceda a Mostrar tudo > Definições > Domínios
3. Seleccione o seu domínio *onmicrosoft.com na lista de domínios na página Domínios para abrir a página Detalhes do domínio
4. Clique no separador Registos DNS nesta página e seleccione + Adicionar registo
5. Aparecerá uma caixa de texto para adicionar um novo registo DMARC, com vários campos. Em seguida, são apresentados os valores que deve preencher para os campos específicos:
Tipo: TXT
Nome: _dmarc
TTL: 1 hora
Valor: (colar o valor do registo DMARC que criou)
6. Clique em Guardar
Adicionar registro DMARC do Office 365 para seu domínio personalizado
Se tiver um domínio personalizado, como example.com, abordámos um guia detalhado sobre como configurar o DMARC. Pode seguir os passos do nosso guia para configurar facilmente o protocolo. A Microsoft faz algumas recomendações valiosas ao configurar o DMARC para domínios personalizados. Concordamos com essas dicas e as sugerimos aos nossos clientes também! Vamos explorar quais são elas:
- Ao configurar o DMARC, comece com uma política "nenhum
- Transição lenta para quarentena e depois rejeição
- Também pode manter um valor percentual baixo (pct) para o impacto da política, começando com 10 e aumentando lentamente até 100
- Certifique-se de que tem os relatórios DMARC activados para monitorizar regularmente os seus canais de correio eletrónico
Adicionar um registro DMARC do Office 365 para domínios inativos
Abordámos um guia pormenorizado sobre proteger os seus domínios inactivos/parqueados com SPF, DKIM e DMARC. Pode seguir os passos detalhados, mas para uma visão geral rápida, mesmo os seus domínios inactivos precisam de ter o DMARC configurado.
Basta publicar um registo DMARC acedendo à sua consola de gestão de DNS para o domínio inativo. Se não tiver acesso ao seu DNS, contacte o seu fornecedor de DNS hoje mesmo. Este registo pode ser configurado para rejeitar todas as mensagens provenientes de domínios inactivos que falhem o DMARC:
v=DMARC1; p=rejeitar;
Configure o DMARC para o Office 365 da maneira certa com o PowerDMARC!
Porquê configurar o DMARC para o Office 365?
O Office 365 é fornecido com soluções anti-spam e segurança de correio eletrónico já integradas no seu conjunto de segurança. Então, porque é que é necessária uma política DMARC no Office 365 para autenticação? Isto deve-se ao facto de estas soluções apenas protegerem contra e-mails de phishing enviados para o seu domínio. O protocolo de autenticação DMARC é a sua solução de prevenção de phishing de saída. Permite que os proprietários de domínios especifiquem aos servidores de correio recetores como responder a emails enviados do seu domínio que falhem a autenticação. O DMARC também reduz o risco de mensagens legítimas caírem na pasta de spam.
O DMARC utiliza duas práticas de autenticação padrão, nomeadamente SPF e DKIM. Estas práticas validam a autenticidade dos emails. A sua política DMARC do Office 365 na aplicação pode oferecer uma proteção melhorada contra ataques de personificação e falsificação.
A configuração do DMARC para e-mails comerciais é mais importante do que nunca no cenário atual porque:
- As agências federais emitiram avisos contra hackers que exploram políticas DMARC ausentes ou políticas DMARC fracas
- A conformidade com DMARC é obrigatória para Remetentes em massa do Yahoo e do Google
- O relatório relatório IC3 do FBI aponta os EUA como o país mais afetado por ataques de phishing
- A IBM refere que uma em cada cinco empresas é afetada por violações de dados devido à perda ou roubo de credenciais
Precisa mesmo de DMARC quando utiliza o Office 365?
Há um equívoco comum entre as empresas: acham que o Office 365 garante a segurança contra spam e e-mails fraudulentos. No entanto, em maio de 2020, uma série de ataques de phishing foram realizados em várias empresas de seguros do Médio Oriente. Os atacantes utilizaram o Office 365, causando perdas significativas de dados e violações de segurança. Eis o que aprendemos com isto:
Razão 1: a solução de segurança da Microsoft não é infalível
É por isso que confiar simplesmente nas soluções de segurança integradas da Microsoft não é suficiente. É necessário fazer esforços externos para proteger o seu domínio, o que pode ser um grande erro.
Razão 2: É necessário configurar o DMARC para o Office 365 para proteção contra ataques de saída
Embora as soluções de segurança integradas do Office 365 possam oferecer proteção contra ameaças de correio eletrónico de entrada e tentativas de phishing, continua a ser necessário garantir que as mensagens de saída enviadas a partir do seu próprio domínio são autenticadas eficazmente antes de chegarem às caixas de entrada dos seus clientes e parceiros. É aqui que entra em ação o DMARC para o Office 365.
Razão 3: DMARC irá ajudá-lo a monitorizar os seus canais de correio electrónico
O DMARC não só protege o seu domínio contra ataques directos de falsificação de domínio e de phishing. Também o ajuda a monitorizar os seus canais de correio eletrónico. Quer esteja a aplicar uma política obrigatória, como "rejeitar/quarentena", ou uma política mais branda, como "nenhum", pode acompanhar os resultados da autenticação com Relatórios DMARC. Estes relatórios são enviados para o seu endereço de correio eletrónico ou para um analisador de relatórios DMARC de análise de relatórios DMARC. A monitorização garante que os seus e-mails legítimos são entregues com êxito.
Como é que o DMARC funciona no Office 365?
Para implementar o DMARC no Office 365, os proprietários de domínios precisam de publicar registos DMARC nas suas definições de DNS. Eles podem especificar sua política preferida (nenhuma, quarentena ou rejeição). Podem até configurar os seus e-mails falsificados do Office 365 para serem rejeitados pelos servidores recetores.
Os administradores do Office 365 podem gerir as definições DMARC através do centro de administração do Exchange ou de comandos do PowerShell.
Também pode configurar o DMARC no Office 365 para solicitar relatórios sobre a forma como o correio eletrónico do seu domínio está a ser tratado por terceiros.
O que acontece se a política DMARC não estiver activada no Office 365?
Se não ativar o DMARC para o Office 365, corre o risco de ter o seu domínio falsificado.
DMARC foi concebido para ajudar a proteger o seu domínio de ser falsificado por remetentes de correio electrónico que queiram ter acesso aos seus sistemas de correio electrónico e utilizá-los para fraude ou phishing.
Sem uma política definida, o seu registo é tão bom como estar inativo. Se não ativar uma política DMARC para emails do Office 365, isso significa que qualquer pessoa pode enviar emails em nome do seu domínio, mesmo que não tenha permissão para o fazer. Isso também torna impossível determinar quem enviou a mensagem e se ela veio ou não de uma fonte autorizada.
Como proprietário de um domínio, tem de estar sempre atento aos agentes de ameaças que lançam ataques de falsificação de domínio e ataques de phishing para utilizar o seu domínio ou nome de marca para realizar actividades maliciosas. Independentemente da solução de troca de correio eletrónico que utilizar, é imperativo proteger o seu domínio contra falsificação e imitação para garantir a credibilidade da marca e manter a confiança entre a sua estimada base de clientes.
Por que usar o PowerDMARC com o Office 365?
O Microsoft Office 365 fornece aos utilizadores uma série de serviços e soluções baseados na nuvem, juntamente com filtros anti-spam integrados. No entanto, apesar das várias vantagens, estas são as desvantagens que pode enfrentar ao utilizá-lo numa perspetiva de segurança:
- Nenhuma solução para validar as mensagens enviadas a partir do seu domínio
- Nenhum mecanismo de comunicação para e-mails que não tenham sido verificados por autenticação
- Sem visibilidade no seu ecossistema de correio electrónico
- Nenhum painel de controlo para gerir e monitorizar o fluxo de correio de entrada e de saída
- Nenhum mecanismo para garantir que o seu registo SPF está sempre abaixo do limite de 10 pesquisas
DMARC Relatórios e Monitorização com PowerDMARC
O PowerDMARC integra-se perfeitamente com o Office 365 para capacitar os proprietários de domínios com soluções de autenticação avançadas que protegem contra ataques sofisticados de engenharia social, como BEC e falsificação de domínio direto.
Quando se inscreve no PowerDMARC, está a inscrever-se numa plataforma SaaS multi-tenant que não só reúne todas as melhores práticas de autenticação de correio eletrónico (SPF, DKIM, DMARC, MTA-STSTLS-RPT e BIMI), mas também fornece um mecanismo de relatório dmarc extenso e aprofundado, que oferece visibilidade completa do seu ecossistema de e-mail. Relatórios DMARC no painel do PowerDMARC são gerados em dois formatos:
- Relatórios Agregados
- Relatórios forenses
Esforçamo-nos por melhorar a experiência de autenticação, resolvendo vários problemas do sector. Asseguramos a encriptação dos seus relatórios forenses DMARC, bem como a apresentação de relatórios agregados em 7 vistas diferentes para uma melhor experiência e clareza do utilizador.
O PowerDMARC ajuda-o a monitorizar o fluxo de correio eletrónico e as falhas de autenticação, e lista negra endereços IP maliciosos de todo o mundo. Nosso analisador DMARC ajuda-o a configurar corretamente o DMARC para o seu domínio e a passar da monitorização para a aplicação num instante. Isto pode ajudá-lo a ativar o DMARC office 365 sem se preocupar com as complexidades envolvidas.
DMARC para Office 365 FAQs
Revisão de conteúdos e processo de verificação de factos
As informações sobre o processo de configuração do DMARC do Office 365 foram retiradas da documentação oficial da Microsoft. O documento pode ser atualizado no futuro, dependendo das alterações feitas pelos programadores no portal da Microsoft. As recomendações mencionadas no artigo baseiam-se no que tem funcionado para os nossos clientes em tempo real e podem ajudá-lo também.
- Yahoo Japan recomenda a adoção de DMARC para os utilizadores em 2025 - 17 de janeiro de 2025
- Botnet MikroTik explora erros de configuração de SPF para espalhar malware - 17 de janeiro de 2025
- DMARC Correio Não Autenticado é Proibido [SOLVED] - January 14, 2025