DMARC для Office 365: Пошаговая настройка и лучшие практики
Последнее обновление:
11 Время чтения: 11 минут
Ключевые выводы
- DMARC необходим для повышения безопасности электронной почты от подделки доменов и фишинга.
- Для настройки DMARC требуются существующие записи SPF или DKIM для аутентификации электронной почты.
- Microsoft 365 по-разному обрабатывает входящие сбои DMARC; используйте правила транспорта для строгого принудительного выполнения (карантин/отклонение).
- Постепенно повышайте строгость политики DMARC (от "нет" до "отклонить"), отслеживая отчеты, чтобы избежать блокировки легитимной почты.
- Настройте DMARC даже для неактивных доменов, чтобы предотвратить их несанкционированное использование.
Microsoft поддерживает и поощряет DMARC для пользователей Office 365, что позволяет им принимать протоколы аутентификации электронной почты единогласно во всех зарегистрированных доменах. В этом блоге мы объясним процессы настройки DMARC для Office 365 для проверки любых сообщений электронной почты Office 365, которые имеют:
- Адреса маршрутизации электронной почты в режиме онлайн с помощью Microsoft
- Добавление пользовательских доменов в центре администрирования
- Припаркованные или неактивные, но зарегистрированные домены
Во втором квартале 2023 года Microsoft была признана самым выдаваемым брендом в фишинговых мошенничествах по данным различных источников. Такие протоколы, как DMARC, необходимы для усиления защитного механизма.
Давайте узнаем, как DMARC в Office 365 помогает предотвратить сложные почтовые угрозы.
Что такое ДМАРК?
DMARC, или Domain-based Message Authentication, Reporting, and Conformance, - это протокол аутентификации электронной почты, предназначенный для защиты вашего домена от подмены почты и фишинговых атак. Он основан на двух существующих стандартах:
- SPF (Sender Policy Framework)
- DKIM (DomainKeys Identified Mail)
Они дают владельцам доменов возможность контролировать, как неаутентифицированные электронные письма, утверждающие, что они исходят от их домена, обрабатываются принимающими почтовыми серверами.
При внедрении DMARC для Office 365 вы публикуете политику DMARC в виде записи DNS TXT, связанной с вашим доменом. Эта политика указывает получателям электронной почты, принимать, помещать в карантин или отклонять сообщения, которые не прошли проверки SPF и DKIM, что значительно снижает вероятность того, что злоумышленники успешно выдадут себя за ваш домен.
DMARC также обеспечивает ценную видимость через механизмы отчетности, позволяя владельцам доменов получать подробную информацию о результатах проверки подлинности электронной почты. Эти отчеты помогают выявить неавторизованные источники электронной почты и повысить общую безопасность электронной почты.
Упростите DMARC для Office 365 с помощью PowerDMARC!
Что нужно учесть, прежде чем приступить к работе
Согласно Документы Microsoft:
- Если вы используете MOERA (Microsoft Online Email Routing Address), который должен заканчиваться на onmicrosoft.com, SPF и DKIM уже будут настроены для него. Однако вам нужно будет создать записи DMARC с помощью центра администрирования Microsoft 365.
- Если вы используете пользовательский домен (например, example.com), вам нужно вручную настроить SPF, DKIM и DMARC для вашего домена.
- Для припаркованных доменов (неактивных доменов) Microsoft рекомендует явно указывать, что с них не должны отправляться электронные письма. В противном случае эти домены могут быть использованы для поддельных и фишинговых атак.
- Для пересылаемых или измененных сообщений, находящихся в пути, необходимо настроить ARC. Это поможет сохранить оригинальные заголовки аутентификации электронной почты, несмотря на изменения, для точной аутентификации.
Как настроить DMARC для Office 365
Следуйте этим пошаговым инструкциям, чтобы уверенно и четко настроить DMARC для Office 365:
Шаг 1: Определите действительные источники электронной почты для вашего домена
Это IP-адреса источников (в том числе третьих лиц), которым вы хотите разрешить отправлять электронные письма от вашего имени.
Шаг 2: Настройте SPF для вашего домена
Теперь вам нужно настроить SPF для проверки отправителя. Для этого создайте запись SPF TXT, которая будет включать все ваши действительные источники отправки, включая внешних поставщиков электронной почты. Вы можете бесплатно зарегистрироваться на PowerDMARC и использовать наш инструмент генератора SPF-записей для создания записи.
Шаг 3: Настройте DKIM для Office 365 на вашем домене
Для включения DMARC Office 365 необходимо настроить SPF или DKIM для вашего домена. Мы рекомендуем настроить DKIM и DMARC в Office 365 для дополнительного уровня безопасности электронной почты вашего домена. Вы можете бесплатно зарегистрироваться в PowerDMARC и использовать наш инструмент для генерации DKIM-записей, чтобы создать свою запись.
Шаг 4: Создайте запись DMARC TXT
Вы можете использовать бесплатную программу PowerDMARC генератор DMARC-записей для этого шага. Вы мгновенно сгенерируете запись с правильным синтаксисом для публикации в DNS и настройки DMARC для вашего домена!
Обратите внимание, что только политика применения отклонить может эффективно предотвратить атаки самозванства. Мы рекомендуем начать с нет и регулярно отслеживать почтовый трафик. Делайте это в течение некоторого времени, прежде чем окончательно переходить к применению. К отказу от DMARC не стоит относиться легкомысленно, поскольку это может привести к потере легитимных писем, если источники отправки не настроены должным образом или не контролируются.
Для вашей записи DMARC определите режим политики (none/quarantine/reject) и адрес электронной почты в поле «rua», если вы хотите получать сводные отчеты DMARC.
| Политика DMARC | Тип политики | Синтаксис | Действие |
|---|---|---|---|
| нет | расслабленный/бездействующий/попустительский | p=none; | Не предпринимайте никаких действий в отношении сообщений, не прошедших проверку подлинности, т.е. доставляйте их. |
| карантин | принудительно | p=карантин; | Отправка в карантин сообщений, не прошедших проверку DMARC |
| отклонить | принудительно | p=отклонить; | Отбрасывайте сообщения, не прошедшие проверку DMARC |
Синтаксис вашей DMARC-записи может выглядеть следующим образом:
v=DMARC1; p=reject; rua=mailto:[email protected];
Эта запись имеет принудительную политику "reject" и для домена включена совокупная отчетность DMARC.
Как добавить запись Office 365 DMARC с помощью Microsoft Admin Center
Чтобы добавить запись DMARC Office 365 для доменов MOERA (*onmicrosoft.com домены), необходимо выполнить следующие действия:
1. Войдите в центр администрирования Microsoft
2. Перейдите к Показать все > Настройки > Домены
3. Выберите свой домен *onmicrosoft.com из списка доменов на странице Домены, чтобы открыть страницу Сведения о домене
4. Перейдите на вкладку DNS-записи на этой странице и выберите + Добавить запись
5. Появится текстовое поле для добавления новой записи DMARC с различными полями. Ниже приведены значения, которые необходимо заполнить для конкретных полей:
Тип: TXT
Имя: _dmarc
TTL: 1 час
Значение: (вставьте значение созданной вами DMARC-записи)
6. Нажмите на кнопку Сохранить
Добавление записи Office 365 DMARC для пользовательского домена
Если у вас есть собственный домен, например example.com, мы подготовили подробное руководство по настройке DMARC. Вы можете следовать инструкциям в нашем руководстве, чтобы легко настроить протокол. Microsoft дает несколько ценных рекомендаций по настройке DMARC для пользовательских доменов. Мы согласны с этими советами и также рекомендуем их нашим клиентам! Давайте посмотрим, что это за советы:
- При настройке DMARC начните с политики "нет".
- Медленный переход к карантину, а затем отказ
- Вы также можете сохранить низкое процентное значение (pct) для влияния политики, начав с 10 и медленно увеличивая его до 100
- Убедитесь, что у вас включены отчеты DMARC для регулярного мониторинга каналов электронной почты.
Добавление DMARC-записи Office 365 для неактивных доменов
На сайте мы опубликовали подробное руководство по защите неактивных/паркованных доменов с помощью SPF, DKIM и DMARC. Там вы можете подробно описать все шаги, но для краткого обзора можно сказать, что даже неактивные домены должны быть настроены на DMARC.
Просто опубликуйте запись DMARC, зайдя в консоль управления DNS для неактивного домена. Если у вас нет доступа к DNS, обратитесь к своему DNS-провайдеру. Эта запись может быть настроена на отклонение всех сообщений, исходящих из неактивных доменов, которые не прошли проверку DMARC:
v=DMARC1; p=отклонить;
Настройте DMARC для Office 365 правильным способом с помощью PowerDMARC!
Зачем настраивать DMARC для Office 365?
Office 365 поставляется с решениями для защиты от спама и защита электронной почты шлюзы, уже интегрированные в его пакет безопасности. Так зачем же вам нужна политика DMARC в Office 365 для аутентификации? Потому что эти решения в первую очередь защищают от входящих фишинговых писем отправленных в ваш домен. Протокол аутентификации DMARC - это решение для защиты от исходящего фишинга. Он позволяет владельцам доменов указывать почтовым серверам-получателям, как отвечать на электронные письма, отправленные с вашего домена, которые не прошли проверку подлинности. DMARC также снижает риск попадания легитимных сообщений в папку "Спам". Важно отметить, что DMARC в первую очередь защищает от подмены прямого домена (использование точного доменного имени) и не защищает от подмены похожих доменов (использование визуально похожих доменных имен).
DMARC использует две стандартные практики аутентификации, а именно SPF и DKIM. Они проверяют подлинность электронных писем. Политика Office 365 DMARC при внедрении может обеспечить улучшенную защиту от атак с использованием самозванца и подмены.
Настройка DMARC для деловой электронной почты сейчас важна как никогда, потому что:
- Федеральные агентства выпустили предупреждение о том, что хакеры могут воспользоваться отсутствующими или слабые политики DMARC
- Соблюдение DMARC является обязательным для массовых отправителей Yahoo и Google
- По данным IBM, средняя стоимость взлома, когда злоумышленники используют скомпрометированные учетные данные, составляет $4,8 млн.
Реальный пример влияния DMARC приведен в HCIT, поставщиком управляемых услуг (MSP), который столкнулся с растущими проблемами, связанными с фишингом и подделкой электронной почты, направленными против его клиентов. Благодаря внедрению DMARC с помощью PowerDMARC, HCIT успешно защитил несколько доменов, снизил риски подделки личности и улучшил доставляемость электронной почты, продемонстрировав, как правильное решение может защитить компании и их клиентов от дорогостоящих атак.
Распространенные ловушки и как их избежать
Хотя настройка DMARC для Office 365 значительно повышает безопасность электронной почты вашего домена, ошибки в конфигурации могут подорвать ее эффективность. Вот некоторые из наиболее распространенных ошибок, с которыми сталкиваются компании, и способы их предотвращения:
Забвение политик поддоменов
Политики DMARC, применяемые в корневом домене (например, website.com), не распространяются автоматически на такие поддомены, как mail.website.com или news.website.com если только вы не укажете это явно с помощью параметра sp в вашей DMARC-записи.
Это упущение создает лазейку, которую злоумышленники любят использовать. Киберпреступники часто выбирают в качестве мишени незащищенные субдомены, чтобы отправлять поддельные электронные письма, обходя систему DMARC вашего основного домена.
Решение: Добавьте sp=reject; (или карантин) в политику DMARC, чтобы распространить защиту на все поддомены. Регулярно проводите аудит поддоменов и применяйте строгие политики к доменам, которые вообще не должны отправлять электронную почту.
Неправильно настроенные SPF/DKIM нарушают DMARC
DMARC работает только в том случае, если проверки SPF или DKIM пройдены и правильно согласованы с доменом в заголовке "From". Недостаточно, чтобы эти протоколы просто существовали. Они должны аутентифицировать от имени именно того домена, который используется для отправки почты.
Несколько распространенных проблем:
- SPF включает IP-адрес стороннего отправителя, но его домен envelope-from не совпадает.
- DKIM подписывается доменом, отличным от того, который указан в адресе "От".
- Синтаксически неправильные или неполные записи в вашем DNS
Решение: Используйте специфические для домена инструменты для проверки конфигураций SPF, DKIM и DMARC. Всегда проверяйте согласованность, а не только статус "прошел/не прошел". Такие инструменты, как анализатор PowerDMARC, помогают визуализировать и подтвердить правильность настроек, сводя к минимуму риски, связанные с нарушением аутентификации.
Сторонние отправители, не прошедшие согласование
Такие сервисы, как Mailchimp, SendGridили Salesforce могут поддерживать SPF и DKIM, но если они неправильно настроены для соответствия вашему домену, DMARC не сработает, даже если ваши DNS-записи выглядят нормально.
Несоответствие этим платформам может привести к тому, что ваши письма будут отмечены или заблокированы, что может повлиять на доставляемость и доверие к бренду.
Решение:
- Убедитесь, что сторонние почтовые службы поддерживают подписание DKIM с использованием вашего домена и позволяют выравнивать SPF с помощью настройки конверта.
- Всегда проверяйте документацию и тестовые конфигурации каждой платформы.
- Ведите централизованный список всех внешних отправителей, используемых вашей организацией, и периодически проверяйте их на соответствие DMARC.
Отсутствие адреса для отчетности или нечитаемые отчеты
Функция отчетов DMARC - одна из самых мощных, но только если она правильно включена. Если вы пропустите теги rua (сводные отчеты) или ruf (криминалистические отчеты) в записи DMARC, вы потеряете всю видимость попыток несанкционированной отправки.
Еще хуже, если вы получаете отчеты, но направляете их в личный почтовый ящик, объем и необработанный формат XML могут быстро стать непомерно большими и непригодными для использования.
Решение: Всегда указывайте теги rua и ruf в DMARC-записи, чтобы активировать отчетность. Кроме того, используйте выделенный адрес электронной почты или сторонний анализатор отчетов DMARC, который может анализировать и представлять данные в удобном формате.
Действительно ли вам нужен DMARC при использовании Office 365?
Существует распространенное заблуждение среди компаний: они считают, что Office 365 обеспечивает безопасность от спама и мошеннических писем. Однако в мае 2020 года серия фишинговых атак была совершена на несколько страховых компаний Ближнего Востока. Злоумышленники использовали Office 365, что привело к значительной потере данных и нарушению безопасности. Вот что мы извлекли из этого:
Причина 1: Решение Microsoft по обеспечению безопасности не является надежным.
Вот почему просто полагаться на интегрированные решения безопасности Microsoft недостаточно. Необходимо приложить внешние усилия для защиты своего домена, что может стать большой ошибкой.
Причина 2: Вам нужно настроить DMARC для Office 365 для защиты от исходящих атак
Хотя интегрированные решения безопасности Office 365 могут обеспечить защиту от угроз входящей электронной почты и попыток фишинга, вам все равно нужно убедиться, что исходящие сообщения, отправленные из вашего собственного домена, проходят эффективную проверку подлинности, прежде чем попасть в почтовые ящики ваших клиентов и партнеров. Именно здесь на помощь приходит DMARC для Office 365.
Причина 3: DMARC поможет вам контролировать каналы электронной почты
DMARC не только защищает ваш домен от прямой подмены домена и фишинговых атак. Он также помогает контролировать каналы электронной почты. Независимо от того, используете ли вы принудительную политику, например "отклонить/карантин", или более мягкую, например "нет", вы можете отслеживать результаты аутентификации с помощью отчеты DMARC. Эти отчеты отправляются либо на ваш адрес электронной почты, либо на анализатор отчетов DMARC инструмент. Мониторинг гарантирует успешную доставку ваших легитимных писем.
Отчетность и мониторинг DMARC с PowerDMARC
PowerDMARC легко интегрируется с Office 365, предоставляя владельцам доменов передовые решения для аутентификации, которые защищают от сложных атак социальной инженерии, таких как BEC и прямая подмена домена.
Когда вы регистрируетесь в PowerDMARC, вы регистрируетесь на многопользовательской платформе SaaS, которая не только объединяет все лучшие практики аутентификации электронной почты (SPF, DKIM, DMARC, MTA-STS, TLS-RPT и BIMI), но и предоставляет обширный и подробный механизм отчетности dmarc, который обеспечивает полную прозрачность вашей экосистемы электронной почты. Отчеты DMARC на панели управления PowerDMARC генерируются в двух форматах:
- Агрегированные отчеты (RUA)
- Судебно-медицинские отчеты (RUF - если они разрешены и поддерживаются репортером)
Мы стремимся сделать процесс аутентификации лучше для вас, решая различные проблемы отрасли. Мы обеспечиваем шифрование ваших отчетов DMARC, а также отображаем сводные отчеты в 7 различных видах для повышения удобства и наглядности.
PowerDMARC помогает отслеживать поток электронной почты и сбои аутентификации, а также заносить в черный список вредоносные IP-адреса со всего мира. Наш анализатор DMARC поможет вам правильно настроить DMARC для вашего домена и в кратчайшие сроки перейти от мониторинга к внедрению. Это поможет вам включить DMARC в Office 365, не беспокоясь о сложностях, связанных с этим.
Часто задаваемые вопросы
Как работает DMARC в O365?
В Office 365 DMARC защищает почту двумя способами:
- Для входящей почтыOffice 365 проверяет политику DMARC отправителя. Затем он помещает в карантин (отправляет в нежелательную почту) или отклоняет сообщения, не прошедшие проверку подлинности SPF и DKIM.
- Для исходящей почты вы публикуете запись DMARC для своего домена. Затем Office 365 автоматически выполняет необходимую подпись SPF и DKIM. Это гарантирует, что ваши электронные письма будут должным образом аутентифицированы и признаны надежными получающими серверами.
Требуется ли DMARC для GDPR или других рамок соответствия?
DMARC не является прямым требованием GDPR или большинства стандартов соответствия, но он поддерживает защиту данных, предотвращая подмену и несанкционированное использование электронной почты, помогая соответствовать более широким требованиям безопасности.
Работает ли DMARC с адресами электронной почты Gmail и Yahoo?
DMARC защищает ваш домен, а не провайдера входящей почты. Однако основные провайдеры, такие как Gmail и Yahoo, применяют DMARC к входящей почте, поэтому отправителям необходимо проходить проверку подлинности.
Может ли DMARC улучшить показатели открываемости электронной почты?
Косвенно - да. Аутентифицированные письма с меньшей вероятностью будут помечены как спам или отклонены, а значит, лучше попадут в папку "Входящие" и увеличат шансы быть открытыми.
Есть ли затраты на внедрение DMARC?
Настройка DMARC бесплатна, если вы управляете собственным DNS. Однако вы можете выбрать платные инструменты или услуги для упрощения мониторинга, анализа отчетов и текущего управления.
Обзор содержания и процесс проверки фактов
Информация о процессе настройки Office 365 DMARC была получена в основном из официальной документации Microsoft и практического опыта. Эта документация может обновляться компанией Microsoft. Рекомендации, упомянутые в статье, включая использование транспортных правил и постепенное развертывание политики, основаны на лучших отраслевых практиках и реальном опыте клиентов.
"`
Эксперт по безопасности доменов и электронной почты в PowerDMARC
Юнес - руководитель группы операций в PowerDMARC, обладающий экспертными знаниями в области аутентификации и безопасности электронной почты. Юнес имеет сертификат Microsoft Azure Administrator Associate, а также сертификаты CompTIA A+ и многие другие.
Последние сообщения Юнеса Тарады (см. все)
