Microsoft поддерживает и поощряет DMARC для пользователей Office 365, что позволяет им принимать протоколы аутентификации электронной почты единогласно во всех зарегистрированных доменах. В этом блоге мы объясним процессы настройки DMARC для Office 365 для проверки любых сообщений электронной почты Office 365, которые имеют:
- Адреса маршрутизации электронной почты в режиме онлайн с помощью Microsoft
- Добавление пользовательских доменов в центре администрирования
- Припаркованные или неактивные, но зарегистрированные домены
Во втором квартале 2023 года Microsoft была признана самым выдаваемым брендом в фишинговых мошенничествах по данным различных источников. Такие протоколы, как DMARC, необходимы для усиления защитного механизма.
Ключевые выводы
- DMARC необходим для усиления защиты электронной почты от подмены домена и фишинга.
- Настройка DMARC требует наличия существующих записей SPF или DKIM для проверки подлинности электронной почты.
- Microsoft 365 по-разному обрабатывает входящие DMARC-отказы; используйте транспортные правила для строгого применения (карантин/отклонение).
- Постепенно повышайте строгость политики DMARC (от "нет" до "отклонить"), отслеживая отчеты, чтобы избежать блокировки легитимной почты.
- Настройте DMARC даже для неактивных доменов, чтобы предотвратить их несанкционированное использование.
Давайте узнаем, как DMARC в Office 365 помогает предотвратить сложные почтовые угрозы.
Как настроить DMARC для Office 365
DMARC или Domain-based Message Authentication, Reporting, and Conformance существует в виде TXT-записи в DNS вашего домена. DMARC выступает в качестве основной защиты от угроз, связанных с электронной почтой, исходящих из вашего собственного домена. Прежде чем настраивать DMARC, ваш домен должен содержать записи SPF или DKIM, а еще лучше - обе записи для усиленной защиты.
Если вы используете пользовательский домен, ниже приведены шаги по созданию DMARC-записи. Обратите внимание, что для реализации DMARC не обязательно настраивать SPF и DKIM. Однако рекомендуется добавить дополнительный уровень защиты.
Упростите DMARC для Office 365 с помощью PowerDMARC!
Что нужно учесть, прежде чем приступить к работе
Согласно Документы Microsoft:
- Если вы используете MOERA (Microsoft Online Email Routing Address), который должен заканчиваться на onmicrosoft.com, SPF и DKIM уже будут настроены для него. Однако вам нужно будет создать записи DMARC с помощью центра администрирования Microsoft 365.
- Если вы используете пользовательский домен (например, example.com), вам нужно вручную настроить SPF, DKIM и DMARC для вашего домена.
- Для припаркованных доменов (неактивных доменов) Microsoft рекомендует явно указывать, что с них не должны отправляться электронные письма. В противном случае эти домены могут быть использованы для поддельных и фишинговых атак.
- Для пересылаемых или измененных сообщений, находящихся в пути, необходимо настроить ARC. Это поможет сохранить оригинальные заголовки аутентификации электронной почты, несмотря на изменения, для точной аутентификации.
Шаг 1: Определите действительные источники электронной почты для вашего домена
Это IP-адреса источников (в том числе третьих лиц), которым вы хотите разрешить отправлять электронные письма от вашего имени.
Шаг 2: Настройте SPF для вашего домена
Теперь вам нужно настроить SPF для проверки отправителя. Для этого создайте запись SPF TXT, которая будет включать все ваши действительные источники отправки, включая внешних поставщиков электронной почты. Вы можете бесплатно зарегистрироваться на PowerDMARC и использовать наш инструмент генератора SPF-записей для создания записи.
Шаг 3: Настройте DKIM для Office 365 на вашем домене
Чтобы включить DMARC Office 365, вам нужно настроить SPF или DKIM для вашего домена. Мы рекомендуем настроить DKIM и DMARC в Office 365 для дополнительного уровня безопасности электронной почты вашего домена. Вы можете бесплатно зарегистрироваться на PowerDMARC и использовать наш инструмент генератора DKIM-записей для создания записи.
Шаг 4: Создайте запись DMARC TXT
Вы можете использовать бесплатную программу PowerDMARC генератор DMARC-записей для этого шага. Вы мгновенно сгенерируете запись с правильным синтаксисом для публикации в DNS и настройки DMARC для вашего домена!
Обратите внимание, что только политика применения отклонить может эффективно предотвратить атаки самозванства. Мы рекомендуем начать с нет и регулярно отслеживать почтовый трафик. Делайте это в течение некоторого времени, прежде чем окончательно переходить к применению. К отказу от DMARC не стоит относиться легкомысленно, поскольку это может привести к потере легитимных писем, если источники отправки не настроены должным образом или не контролируются.
Для записи DMARC укажите режим политики (none/quarantine/reject), а также адрес электронной почты в поле "rua", если вы хотите получать сводные отчеты DMARC.
Политика DMARC | Тип политики | Синтаксис | Действие |
---|---|---|---|
нет | расслабленный/бездействующий/попустительский | p=none; | Не предпринимайте никаких действий в отношении сообщений, не прошедших проверку подлинности, т.е. доставляйте их. |
карантин | принудительно | p=карантин; | Отправка в карантин сообщений, не прошедших проверку DMARC |
отклонить | принудительно | p=отклонить; | Отбрасывайте сообщения, не прошедшие проверку DMARC |
Синтаксис вашей DMARC-записи может выглядеть следующим образом:
v=DMARC1; p=reject; rua=mailto:[email protected];
Эта запись имеет принудительную политику "reject" и для домена включена совокупная отчетность DMARC.
Шаги по добавлению записи Office 365 DMARC с помощью Microsoft Admin Center
Чтобы добавить запись DMARC Office 365 для доменов MOERA (*onmicrosoft.com домены), необходимо выполнить следующие действия:
1. Войдите в центр администрирования Microsoft
2. Перейдите к Показать все > Настройки > Домены
3. Выберите свой домен *onmicrosoft.com из списка доменов на странице Домены, чтобы открыть страницу Сведения о домене
4. Перейдите на вкладку DNS-записи на этой странице и выберите + Добавить запись
5. Появится текстовое поле для добавления новой записи DMARC с различными полями. Ниже приведены значения, которые необходимо заполнить для конкретных полей:
Тип: TXT
Имя: _dmarc
TTL: 1 час
Значение: (вставьте значение созданной вами DMARC-записи)
6. Нажмите на кнопку Сохранить
Добавление записи Office 365 DMARC для пользовательского домена
Если у вас есть собственный домен, например example.com, мы подробно рассказали о том. как настроить DMARC. Вы можете следовать шагам в нашем руководстве, чтобы легко настроить протокол. Microsoft дает несколько ценных рекомендаций по настройке DMARC для пользовательских доменов. Мы согласны с этими советами и советуем их своим клиентам! Давайте разберемся, что это такое:
- При настройке DMARC начните с политики "нет".
- Медленный переход к карантину, а затем отказ
- Вы также можете сохранить низкое процентное значение (pct) для влияния политики, начав с 10 и медленно увеличивая его до 100
- Убедитесь, что у вас включены отчеты DMARC для регулярного мониторинга каналов электронной почты.
Добавление DMARC-записи Office 365 для неактивных доменов
Мы подготовили подробное руководство по защите неактивных/паркованных доменов с помощью SPF, DKIM и DMARC. Вы можете просмотреть подробные шаги там, но для краткого обзора можно сказать, что даже неактивные домены должны быть настроены на DMARC.
Просто опубликуйте запись DMARC, зайдя в консоль управления DNS для неактивного домена. Если у вас нет доступа к DNS, обратитесь к своему DNS-провайдеру. Эта запись может быть настроена на отклонение всех сообщений, исходящих из неактивных доменов, которые не прошли проверку DMARC:
v=DMARC1; p=отклонить;
Настройте DMARC для Office 365 правильным способом с помощью PowerDMARC!
Зачем настраивать DMARC для Office 365?
Office 365 поставляется с решениями для защиты от спама и защита электронной почты шлюзы, уже интегрированные в его пакет безопасности. Так зачем же вам нужна политика DMARC в Office 365 для аутентификации? Потому что эти решения в первую очередь защищают от входящих фишинговых писем отправленных в ваш домен. Протокол аутентификации DMARC - это решение для защиты от исходящего фишинга. Он позволяет владельцам доменов указывать почтовым серверам-получателям, как отвечать на электронные письма, отправленные с вашего домена, которые не прошли проверку подлинности. DMARC также снижает риск попадания легитимных сообщений в папку "Спам". Важно отметить, что DMARC в первую очередь защищает от подмены прямого домена (использование точного доменного имени) и не защищает от подмены похожих доменов (использование визуально похожих доменных имен).
DMARC использует две стандартные практики аутентификации, а именно SPF и DKIM. Они проверяют подлинность электронных писем. Политика Office 365 DMARC при внедрении может обеспечить улучшенную защиту от атак с использованием самозванца и подмены.
Настройка DMARC для деловой электронной почты сейчас важна как никогда, потому что:
- Федеральные агентства выпустили предупреждение о том, что хакеры могут воспользоваться отсутствующими или слабые политики DMARC
- Соответствие DMARC является обязательным для Массовые отправители Yahoo и Google
- Сайт Отчет IC3 ФБР выделяет США как страну, наиболее подверженную фишинговым атакам
- По данным IBM Каждая пятая компания страдает от утечки данных из-за потери или кражи учетных данных.
Действительно ли вам нужен DMARC при использовании Office 365?
Существует распространенное заблуждение среди компаний: они считают, что Office 365 обеспечивает безопасность от спама и мошеннических писем. Однако в мае 2020 года серия фишинговых атак была совершена на несколько страховых компаний Ближнего Востока. Злоумышленники использовали Office 365, что привело к значительной потере данных и нарушению безопасности. Вот что мы извлекли из этого:
Причина 1: Решение Microsoft по обеспечению безопасности не является надежным.
Вот почему просто полагаться на интегрированные решения безопасности Microsoft недостаточно. Необходимо приложить внешние усилия для защиты своего домена, что может стать большой ошибкой.
Причина 2: Вам нужно настроить DMARC для Office 365 для защиты от исходящих атак
Хотя интегрированные решения безопасности Office 365 могут обеспечить защиту от угроз входящей электронной почты и попыток фишинга, вам все равно нужно убедиться, что исходящие сообщения, отправленные из вашего собственного домена, проходят эффективную проверку подлинности, прежде чем попасть в почтовые ящики ваших клиентов и партнеров. Именно здесь на помощь приходит DMARC для Office 365.
Причина 3: DMARC поможет вам контролировать каналы электронной почты
DMARC не только защищает ваш домен от прямой подмены домена и фишинговых атак. Он также помогает контролировать каналы электронной почты. Независимо от того, используете ли вы принудительную политику, например "отклонить/карантин", или более мягкую, например "нет", вы можете отслеживать результаты аутентификации с помощью отчеты DMARC. Эти отчеты отправляются либо на ваш адрес электронной почты, либо на анализатор отчетов DMARC инструмент. Мониторинг гарантирует успешную доставку ваших легитимных писем.
Как работает DMARC в Office 365?
Чтобы реализовать DMARC в Office 365, владельцам доменов необходимо опубликовать записи DMARC в настройках DNS. Эта запись указывает принимающим почтовым серверам, как обращаться с письмами, заявленными как от вашего домена, которые не прошли проверку SPF или DKIM, в соответствии с указанной вами политикой (не отправлять, поместить в карантин или отклонить). Можно настроить поддельные письма Office 365 так, чтобы они отклонялись принимающими серверами, установив для политики значение `p=reject`.
Администраторы Office 365 могут управлять настройками DMARC через центр администрирования Exchange или команды PowerShell.
Вы также можете внедрить DMARC в Office 365, чтобы запрашивать сводные (RUA) и криминалистические (RUF) отчеты о том, как электронная почта вашего домена обрабатывается третьими сторонами и как она проходит проверку подлинности.
Как Microsoft 365 обрабатывает входящие сообщения, не прошедшие проверку DMARC
Очень важно понять, как Microsoft 365 обрабатывает входящие сообщения, которые не прошли проверку DMARC, указанную в политике DMARC отправителя. По умолчанию входящие сообщения Microsoft 365, не прошедшие проверку DMARC, не отклоняются автоматически, даже если политика DMARC отправителя установлена на "p=reject".
Microsoft 365 использует этот подход в первую очередь для того, чтобы избежать блокировки законных писем (ложных срабатываний). Это может произойти из-за:
- Сценарии пересылки электронной почты или списки рассылки, которые могут нарушить согласование SPF и DKIM.
- Проблемы с конфигурацией или неполное развертывание на стороне отправителя.
Вместо отклонения система безопасности электронной почты Microsoft 365 обычно помечает такие сообщения как спам. Хотя это предотвращает возможную потерю легитимной почты, это также означает, что вредоносные письма, подделывающие домен с политикой p=reject, могут попасть в папку нежелательной почты пользователя, вместо того чтобы быть заблокированными полностью. Пользователи также могут случайно обойти это правило, добавив отправителей в список "безопасных отправителей".
Использование правил транспорта для обеспечения DMARC для входящей почты
Чтобы получить более строгий контроль над входящими сообщениями, не прошедшими проверку DMARC, вы можете создать правила почтового потока Exchange (Transport Rules) в центре администрирования Exchange Online. Эти правила позволяют определить конкретные действия на основе отказа DMARC, отменяя поведение по умолчанию. Вы можете нацелить эти правила на основе того, является ли отправитель внутренним или внешним.
Вот общий процесс создания транспортного правила для применения DMARC:
- Войдите в центр администрирования Exchange Online.
- Перейдите в раздел Почтовый поток > Правила.
- Нажмите + Добавить правило и выберите Создать новое правило.
- Дайте своему правилу имя (например, "DMARC Fail - Quarantine Internal Spoofing", "DMARC Fail - Reject External").
- Под "Применяйте это правило, если...", выберите "Заголовки сообщений...", затем "включает любое из этих слов".
- Нажмите "Введите текст..." и укажите имя заголовка: Authentication-Results
- Нажмите "Введите слова..." и добавьте фразу: dmarc=fail
- По желанию добавьте еще одно условие, чтобы указать местоположение отправителя:
- Для подмены собственного домена (доменов): Добавьте условие "Отправитель..." > "домен..." и введите свой внутренний домен (домены). Установите для параметра "Соответствовать адресу отправителя в сообщении" значение "Заголовок".
- Чтобы нацелить внешние домены, не прошедшие DMARC: добавьте условие "Отправитель..." > "является внешним/внутренним" > "За пределами организации".
- Под "Сделайте следующее...", выберите нужное действие:
- Карантин: Выберите "Изменить свойства сообщения..." > "установите уровень доверия к спаму (SCL)" на 9 (или используйте "Доставлять сообщение в размещенный карантин" в зависимости от вашей настройки). Часто используется при подозрении на внутреннюю подделку.
- Добавьте "Отказ от ответственности": Выберите "Применить отказ от ответственности к сообщению..." > "добавить отказ от ответственности". Добавьте предупреждающий текст (например, "ВНИМАНИЕ: Это письмо не прошло проверку подлинности DMARC и может быть мошенническим"). Полезно при сбоях во внешних доменах, когда нужно предупредить пользователей, но не блокировать потенциально неправильно настроенную легитимную почту.
- Отклонить: Выберите "Заблокировать сообщение..." > "отклонить сообщение и включить объяснение" или "удалить сообщение, не уведомляя никого". Это самый строгий вариант.
- При необходимости настройте исключения (например, определенные IP-адреса отправителей или домены, которые должны обходить правило).
- Просмотрите настройки и нажмите кнопку Сохранить. Активируйте правило.
Примечание: Прежде чем вводить в действие правила, отправляющие почту в карантин или отклоняющие ее, настоятельно рекомендуется тщательно протестировать их, возможно, сначала в режиме "Тест без подсказок политики" или на ограниченной группе пользователей. Убедитесь, что ваши собственные авторизованные отправители правильно проходят проверку DMARC, чтобы избежать непреднамеренного блокирования легитимных писем.
Что происходит, если политика DMARC не включена в Office 365?
Если вы не публикуете DMARC-запись для своего домена Office 365 или публикуете ее с политикой `p=none` без мониторинга, вы подвергаетесь значительному риску подмены вашего домена.
DMARC разработан для защиты вашего домена от подделки отправителями электронной почты, которые хотят получить доступ к вашим почтовым системам и использовать их для мошенничества или фишинга.
Без DMARC-записи принимающие почтовые серверы не имеют от вас инструкций о том, как проверять письма, утверждающие, что они от вашего домена, и что делать, если они не прошли проверку. Если у вас есть политика `p=none`, неудачные письма все равно будут доставлены, не обеспечивая никакой защиты от подделки (хотя отчетность все же может обеспечить видимость). Это означает, что любой человек может пытаться отправлять электронные письма от имени вашего домена, даже если у него нет на это разрешения. Кроме того, получателям будет сложнее определить, действительно ли сообщение пришло от авторизованного источника, связанного с вашим доменом.
Как владелец домена, вы всегда должны быть начеку: угрожающие субъекты запускают атаки на подмену домена и фишинговые атаки, чтобы использовать ваш домен или имя бренда для осуществления вредоносных действий. Независимо от того, какое решение для обмена электронной почтой вы используете, защита вашего домена от подмены и самозванства является обязательным условием для обеспечения авторитета бренда и поддержания доверия среди ваших уважаемых клиентов.
Зачем использовать PowerDMARC с Office 365?
Microsoft Office 365 предоставляет пользователям множество "облачных" служб и решений, а также встроенные фильтры защиты от спама. Однако, несмотря на различные преимущества, вот недостатки, с которыми вы можете столкнуться при его использовании с точки зрения безопасности:
- Нет решения для проверки исходящих сообщений, отправленных с вашего домена (требуется ручная настройка SPF/DKIM/DMARC).
- Нет встроенного удобного механизма отчетности для писем, не прошедших проверку подлинности (отчеты в формате Raw XML нуждаются в разборе)
- Ограниченный обзор всей экосистемы электронной почты и системы аутентификации
- Отсутствие централизованной панели управления для управления и мониторинга развертывания DMARC в нескольких доменах
- Нет автоматизированного механизма для обеспечения того, чтобы ваша SPF-запись не превышала лимит в 10 запросов (требуется ручное управление или такие инструменты, как SPF Flattening).
Отчетность и мониторинг DMARC с PowerDMARC
PowerDMARC легко интегрируется с Office 365, предоставляя владельцам доменов передовые решения для аутентификации, которые защищают от сложных атак социальной инженерии, таких как BEC и прямая подмена домена.
Когда вы подписываетесь на PowerDMARC, вы подписываетесь на многопользовательскую SaaS-платформу, которая не только объединяет все лучшие практики аутентификации электронной почты (SPF, DKIM, DMARC, MTA-STS, TLS-RPT и BIMI), но и предоставляет обширный и глубокий механизм отчетов dmarc, который обеспечивает полную видимость вашей почтовой экосистемы. Отчеты DMARC на приборной панели PowerDMARC генерируются в двух форматах:
- Агрегированные отчеты (RUA)
- Судебно-медицинские отчеты (RUF - если они разрешены и поддерживаются репортером)
Мы стремимся сделать процесс аутентификации лучше для вас, решая различные проблемы отрасли. Мы обеспечиваем шифрование ваших отчетов DMARC, а также отображаем сводные отчеты в 7 различных видах для повышения удобства и наглядности.
PowerDMARC помогает отслеживать поток электронной почты и сбои аутентификации, а также заносить в черный список вредоносные IP-адреса со всего мира. Наш анализатор DMARC поможет вам правильно настроить DMARC для вашего домена и в кратчайшие сроки перейти от мониторинга к внедрению. Это поможет вам включить DMARC в Office 365, не беспокоясь о сложностях, связанных с этим.
FAQ по DMARC для Office 365
Обзор содержания и процесс проверки фактов
Информация о процессе настройки Office 365 DMARC была получена в основном из официальной документации Microsoft и практического опыта. Эта документация может обновляться компанией Microsoft. Рекомендации, упомянутые в статье, включая использование транспортных правил и постепенное развертывание политики, основаны на лучших отраслевых практиках и реальном опыте клиентов.
"`
- Нейтральный механизм SPF (?all) объясняется: Когда и как его использовать - 23 июня 2025 г.
- Сбои в выравнивании доменов DKIM - исправления в RFC 5322 - 5 июня 2025 г.
- DMARCbis - что меняется и как подготовиться - 19 мая 2025 г.