A Microsoft apoia e incentiva os utilizadores do Office 365 a adoptarem protocolos de autenticação de correio eletrónico como DMARC por unanimidade em todos os seus domínios registados. Neste blogue, explicamos os processos de configuração do DMARC para validar os seus emails do Office 365 para aqueles que têm:
- Endereços de encaminhamento de correio eletrónico online com a Microsoft
- Domínios personalizados adicionados no centro de administração
- Domínios estacionados ou inactivos, mas registados
A partir de dezembro de 2023, relatórios sugerem que o número de utilizadores activos do Office 365 em todo o mundo ultrapassou os 9 lakhs por dia, com 345 milhões de membros pagos. No segundo trimestre de 2023, a Microsoft foi apelidada de marca mais personificada em esquemas de phishing por várias fontes. Os cibercriminosos realizam fraudes por correio eletrónico ultrapassando as soluções de segurança integradas da Microsoft, que, por si só, não são suficientemente fortes para impedir todos os ataques. Assim, protocolos adicionais como o DMARC são imperativos para aumentar o seu mecanismo de defesa.
Vamos descobrir como configurar o DMARC Office 365 para evitar ameaças sofisticadas de correio eletrónico.
Porquê o Setup Office 365 DMARC?
O Office 365 é fornecido com soluções anti-spam e segurança de correio eletrónico já integrados na sua suite de segurança. Então, porque é que o Office 365 precisa de DMARC para autenticação? Isto deve-se ao facto de estas soluções apenas protegerem contra a entrada de e-mails de phishing enviados para o seu domínio. O protocolo de autenticação DMARC é a sua solução de prevenção de phishing de saída. Permite que os proprietários de domínios especifiquem aos servidores de correio eletrónico receptores como responder a emails enviados do seu domínio que falhem a autenticação. O DMARC também reduz o risco de mensagens legítimas caírem na pasta de spam.
O DMARC utiliza duas práticas de autenticação padrão, nomeadamente SPF e DKIM. Estas validam a autenticidade dos emails. A sua política DMARC do Office 365 na aplicação pode oferecer uma proteção melhorada contra ataques de personificação e falsificação.
A configuração do DMARC para e-mails do Office 365 é mais importante do que nunca no cenário atual porque:
- As agências federais emitiram avisos contra hackers que exploram políticas DMARC ausentes ou políticas DMARC fracas
- A conformidade com DMARC é obrigatória para Remetentes em massa do Yahoo e do Google
- O relatório relatório IC3 do FBI aponta os EUA como o país mais afetado por ataques de phishing
- A IBM refere que uma em cada cinco empresas é afetada por violações de dados devido à perda ou roubo de credenciais
Precisa mesmo de DMARC quando utiliza o Office 365?
Há um equívoco comum entre as empresas: acham que o Office 365 garante a segurança contra spam e e-mails fraudulentos. No entanto, em maio de 2020, uma série de ataques de phishing foram realizados em várias empresas de seguros do Médio Oriente. Os atacantes utilizaram o Office 365, causando perdas significativas de dados e violações de segurança. Eis o que aprendemos com isto:
Razão 1: a solução de segurança da Microsoft não é infalível
É por isso que confiar simplesmente nas soluções de segurança integradas da Microsoft não é suficiente. É necessário fazer esforços externos para proteger o seu domínio, o que pode ser um grande erro.
Razão 2: É necessário definir o DMARC Office 365 para proteção contra ataques de saída
Embora as soluções de segurança integradas do Office 365 possam oferecer proteção contra ameaças de correio eletrónico de entrada e tentativas de phishing, continua a ser necessário garantir que as mensagens de saída enviadas a partir do seu próprio domínio são autenticadas eficazmente antes de chegarem às caixas de entrada dos seus clientes e parceiros. É aqui que entra em ação o DMARC para o Office 365.
Razão 3: DMARC irá ajudá-lo a monitorizar os seus canais de correio electrónico
O DMARC não só protege o seu domínio contra ataques directos de falsificação de domínio e de phishing. Também o ajuda a monitorizar os seus canais de correio eletrónico. Quer esteja a aplicar uma política obrigatória, como "rejeitar/quarentena", ou uma política mais branda, como "nenhum", pode acompanhar os resultados da autenticação com Relatórios DMARC. Estes relatórios são enviados para o seu endereço de correio eletrónico ou para um analisador de relatórios DMARC de análise de relatórios DMARC. A monitorização garante que os seus e-mails legítimos são entregues com êxito.
Como é que o DMARC funciona no Office 365?
Para implementar o DMARC no Office 365, os proprietários de domínios precisam de publicar registos DMARC nas suas definições de DNS. Eles podem especificar sua política preferida (nenhuma, quarentena ou rejeição). Podem até configurar os seus e-mails falsificados do Office 365 para serem rejeitados pelos servidores recetores.
Os administradores do Office 365 podem gerir as definições DMARC através do centro de administração do Exchange ou de comandos do PowerShell.
Também pode configurar o DMARC Office 365 para solicitar relatórios sobre a forma como o correio eletrónico do seu domínio está a ser tratado por terceiros.
Agora vamos ver como implementar o DMARC Office 365:
Coisas a considerar antes de começar
De acordo com documentos da Microsoft:
- Se utilizar o MOERA (Endereço de Encaminhamento de Email Online da Microsoft), que deve terminar com onmicrosoft.com, o SPF e o DKIM já estarão configurados para ele. No entanto, terá de criar os seus registos DMARC utilizando o centro de administração do Microsoft 365.
- Se utilizar um domínio personalizado como example.com, terá de configurar manualmente o SPF, DKIM e DMARC para o seu domínio.
- Para os seus domínios estacionados (domínios inactivos), a Microsoft recomenda que se certifique de que está a especificar explicitamente que não devem ser enviados emails a partir deles. Caso contrário, estes domínios podem ser utilizados em ataques de spoofing e phishing.
- Para mensagens reencaminhadas ou modificadas em trânsito, é essencial que configure o ARC. Isto ajuda a preservar os cabeçalhos de autenticação de correio eletrónico originais, apesar das modificações, para uma autenticação precisa.
Como criar o DMARC para o Office 365?
DMARC ou Domain-based Message Authentication, Reporting, and Conformance existe como um registo TXT no DNS do seu domínio. O DMARC actua como uma defesa primária contra as ameaças transmitidas por correio eletrónico com origem no seu próprio domínio. Antes de configurar o DMARC, o seu domínio deve conter registos SPF ou DKIM ou, melhor ainda, ambos, para uma proteção avançada.
Se estiver a utilizar um domínio personalizado, são apresentados abaixo os passos para criar o seu registo DMARC. Note que não é obrigatório configurar o SPF e o DKIM para configurar o DMARC. No entanto, recomenda-se a adição de uma camada adicional de proteção.
Passo 1: Identificar fontes de correio electrónico válidas para o seu domínio
Estes seriam os endereços IP de origem (incluindo terceiros) que pretende autorizar a enviar mensagens de correio eletrónico em seu nome.
Etapa 2: Prepare um SPF para o seu domínio
Agora é necessário configurar o SPF para verificação do remetente. Para o fazer, crie um registo SPF TXT que inclua todas as suas fontes de envio válidas, incluindo fornecedores externos de correio eletrónico. Pode inscrever-se gratuitamente no PowerDMARC e utilizar a nossa ferramenta geradora de registos SPF para criar o seu registo.
Etapa 3: Prepare o DKIM para o seu domínio
Para ativar o DMARC Office 365, é necessário ter o SPF ou o DKIM configurado para o seu domínio. Recomendamos a configuração do DKIM para uma camada adicional de segurança para os emails do seu domínio. Pode inscrever-se gratuitamente no PowerDMARC e utilizar a nossa ferramenta geradora de registos SPF para criar o seu registo.
Passo 4: Criar um registo DMARC TXT
Pode utilizar o gerador de registos gerador de registos DMARC gratuito do PowerDMARC para esta etapa. Gere instantaneamente um registo com a sintaxe correcta para publicar no seu DNS e configurar o DMARC para o seu domínio!
Note-se que apenas uma política de execução de rejeitar pode impedir eficazmente os ataques de falsificação de identidade. Recomendamos que comece com uma política nenhum e monitorize regularmente o seu tráfego de correio eletrónico. Faça isto durante algum tempo antes de passar finalmente à aplicação.
Para o seu registo DMARC, defina o seu modo de política (nenhum/quarentena/rejeitar) e um endereço de correio eletrónico no campo "rua" se pretender receber relatórios DMARC.
endereço de correio eletrónico no campo "rua" se pretender receber relatórios DMARC.
| Política DMARC | Tipo de apólice | Sintaxe | Ação |
|---|---|---|---|
| nenhum | relaxado/sem ação/permissivo | p=nenhum; | Não tomar qualquer medida contra mensagens que falhem a autenticação, ou seja, entregá-las. |
| quarentena | aplicadas | p=quarentena; | Mensagens de quarentena que falham no DMARC |
| rejeitar | aplicadas | p=rejeitar; | Descartar mensagens que falham no DMARC |
A sintaxe do seu registo DMARC pode ter o seguinte aspeto:
v=DMARC1; p=reject; rua=mailto:reporting@example.com;
Este registo tem uma política imposta de "rejeitar" e tem o relatório agregado DMARC ativado para o domínio.
Passos para adicionar o registo DMARC do Office 365 utilizando o Microsoft Admin Center
Para adicionar o seu registo DMARC do Office 365 para domínios MOERA (domínios *onmicrosoft.com)estas são as etapas:
1. Inicie sessão no seu centro de administração da Microsoft
2. Aceda a Mostrar tudo > Definições > Domínios
3. Seleccione o seu domínio *onmicrosoft.com na lista de domínios na página Domínios para abrir a página Detalhes do domínio
4. Clique no separador Registos DNS nesta página e seleccione + Adicionar registo
5. Aparecerá uma caixa de texto para adicionar um novo registo DMARC, com vários campos. Em seguida, são apresentados os valores que deve preencher para os campos específicos:
Tipo: TXT
Nome: _dmarc
TTL: 1 hora
Valor: (colar o valor do registo DMARC que criou)
6. Clique em Guardar
Adicionar registro DMARC do Office 365 para seu domínio personalizado
Se tiver um domínio personalizado, como example.com, abordámos um guia detalhado sobre como configurar o DMARC. Pode seguir os passos do nosso guia para configurar facilmente o protocolo. A Microsoft faz algumas recomendações valiosas ao configurar o DMARC para domínios personalizados. Concordamos com essas dicas e as sugerimos aos nossos clientes também! Vamos explorar quais são elas:
- Ao configurar o DMARC, comece com uma política "nenhum
- Transição lenta para quarentena e depois rejeição
- Também pode manter um valor percentual baixo (pct) para o impacto da política, começando com 10 e aumentando lentamente até 100
- Certifique-se de que tem os relatórios DMARC activados para monitorizar regularmente os seus canais de correio eletrónico
Adicionar registo DMARC do Office 365 para domínios inactivos
Abordámos um guia pormenorizado sobre proteger os seus domínios inactivos/parqueados com SPF, DKIM e DMARC. Pode seguir os passos detalhados, mas para uma visão geral rápida, mesmo os seus domínios inactivos precisam de ter o DMARC configurado.
Basta publicar um registo DMARC acedendo à sua consola de gestão de DNS para o domínio inativo. Se não tiver acesso ao seu DNS, contacte o seu fornecedor de DNS hoje mesmo. Este registo pode ser configurado para rejeitar todas as mensagens provenientes de domínios inactivos que falhem o DMARC:
v=DMARC1; p=rejeitar;
O que acontece se a política DMARC não estiver activada no Office 365?
Se não ativar a política DMARC do Office 365, corre o risco de ter o seu domínio falsificado.
DMARC foi concebido para ajudar a proteger o seu domínio de ser falsificado por remetentes de correio electrónico que queiram ter acesso aos seus sistemas de correio electrónico e utilizá-los para fraude ou phishing.
Sem uma política definida, o seu registo é tão bom como estar inativo. Se não ativar uma política DMARC para emails do Office 365, isso significa que qualquer pessoa pode enviar emails em nome do seu domínio, mesmo que não tenha permissão para o fazer. Isso também torna impossível determinar quem enviou a mensagem e se ela veio ou não de uma fonte autorizada.
Como proprietário de um domínio, tem de estar sempre atento aos agentes de ameaças que lançam ataques de falsificação de domínio e ataques de phishing para utilizar o seu domínio ou nome de marca para realizar actividades maliciosas. Independentemente da solução de troca de correio eletrónico que utilizar, é imperativo proteger o seu domínio contra falsificação e imitação para garantir a credibilidade da marca e manter a confiança entre a sua estimada base de clientes.
5 razões pelas quais precisa do PowerDMARC ao utilizar o Microsoft Office 365
O Microsoft Office 365 fornece aos utilizadores uma série de serviços e soluções baseados na nuvem, juntamente com filtros anti-spam integrados. No entanto, apesar das várias vantagens, estas são as desvantagens que pode enfrentar ao utilizá-lo numa perspetiva de segurança:
- Nenhuma solução para validar as mensagens enviadas a partir do seu domínio
- Nenhum mecanismo de comunicação para e-mails que não tenham sido verificados por autenticação
- Sem visibilidade no seu ecossistema de correio electrónico
- Nenhum painel de controlo para gerir e monitorizar o fluxo de correio de entrada e de saída
- Nenhum mecanismo para garantir que o seu registo SPF está sempre abaixo do limite de 10 pesquisas
DMARC Relatórios e Monitorização com PowerDMARC
O PowerDMARC integra-se perfeitamente com o Office 365 para capacitar os proprietários de domínios com soluções de autenticação avançadas que protegem contra ataques sofisticados de engenharia social, como BEC e falsificação de domínio direto.
Quando se inscreve no PowerDMARC, está a inscrever-se numa plataforma SaaS multi-tenant que não só reúne todas as melhores práticas de autenticação de e-mail (SPF, DKIM, DMARC, MTA-STSTLS-RPT e BIMI), mas também fornece um mecanismo de relatório dmarc extenso e aprofundado, que oferece visibilidade completa do seu ecossistema de e-mail. Relatórios DMARC no painel do PowerDMARC são gerados em dois formatos:
- Relatórios Agregados
- Relatórios forenses
Esforçamo-nos por melhorar a experiência de autenticação, resolvendo vários problemas do sector. Asseguramos a encriptação dos seus relatórios forenses DMARC, bem como a apresentação de relatórios agregados em 7 vistas diferentes para uma melhor experiência e clareza do utilizador.
O PowerDMARC ajuda-o a monitorizar o fluxo de correio eletrónico e as falhas de autenticação, e lista negra endereços IP maliciosos de todo o mundo. Nosso analisador DMARC ajuda-o a configurar corretamente o DMARC para o seu domínio e a passar da monitorização para a aplicação num instante. Isto pode ajudá-lo a ativar o DMARC office 365 sem se preocupar com as complexidades envolvidas.
Perguntas Mais Frequentes
1. Já estamos a utilizar uma plataforma de segurança de correio eletrónico como o Microsoft Defender para o Office 365. porque precisamos do PowerDMARC?
Embora o Microsoft Defender para Office 365 seja eficaz para a segurança geral de email, o PowerDMARC oferece funcionalidades especializadas especificamente focadas em protocolos de autenticação de email como o DMARC. Fornece capacidades avançadas de relatório, monitorização e alerta adaptadas para combater a falsificação de correio eletrónico, o phishing e outras actividades fraudulentas.
A integração do PowerDMARC com o Office 365 melhora a sua postura de segurança de e-mail e fornece uma visibilidade abrangente do seu ecossistema de e-mail, protegendo a reputação da sua marca e reduzindo o risco de ataques baseados em e-mail.
Com o PowerDMARC é possível:
- Gerar os seus registos DMARC de forma precisa e instantânea
- Ver relatórios simplificados do DMARC Office 365
- Monitorizar o tráfego e o comportamento do seu correio eletrónico
- Alternar entre modos de política DMARC sem aceder ao seu DNS
2. Qual é a diferença entre o Office365 DMARC e o que o PowerDMARC oferece?
As capacidades DMARC nativas do Office 365 fornecem funcionalidades básicas para autenticação de email, como a capacidade de publicar registos DMARC e receber relatórios agregados. No entanto, o PowerDMARC vai além desses recursos básicos, oferecendo recursos avançados de relatório, monitoramento e alerta.
Fornecemos análises detalhadas e relatórios forenses, visibilidade abrangente do seu tráfego de correio eletrónico e medidas proactivas para proteger a reputação do seu domínio.
Além disso, o PowerDMARC simplifica a implementação e o gerenciamento de políticas DMARC por meio de ferramentas de automação e suporte especializado.
3. O DMARC não é gratuito?
Sim, o próprio DMARC é uma norma livre e aberta. No entanto, a implementação e gestão eficaz do DMARC pode exigir muito tempo, recursos e conhecimentos.
Embora possa publicar registos DMARC e receber relatórios agregados básicos sem qualquer custo, as plataformas avançadas de gestão de DMARC, como o PowerDMARC, oferecem funcionalidades e serviços adicionais, como análises detalhadas, monitorização, alertas e suporte especializado, que são fornecidos com uma taxa de subscrição muito acessível.
Embora o DMARC seja gratuito, a utilização de uma plataforma como o PowerDMARC pode simplificar o processo de implementação, melhorar a sua postura de segurança de correio eletrónico e fornecer informações valiosas sobre o seu ecossistema de correio eletrónico. Isso servirá como um divisor de águas na proteção da reputação da sua marca e na redução do risco de ataques baseados em email.
Revisão de conteúdos e processo de verificação de factos
As informações sobre o processo de configuração do DMARC do Office 365 foram retiradas da documentação oficial da Microsoft. O documento pode ser atualizado no futuro, dependendo das alterações feitas pelos programadores no portal da Microsoft. As recomendações mencionadas no artigo baseiam-se no que tem funcionado para os nossos clientes em tempo real e podem ajudá-lo também.
- Como configurar o DMARC no Office 365? Guia passo a passo - 6 de maio de 2024
- Códigos de erro SMTP Yahoo explicados - 1 de maio de 2024
- SPF Softfail Vs Hardfail: Qual é a diferença? - 26 de abril de 2024