Microsoft поддерживает и поощряет пользователей Office 365 к использованию таких протоколов проверки подлинности электронной почты, как DMARC единогласно во всех зарегистрированных доменах. В этом блоге мы расскажем о том, как настроить DMARC для проверки почты Office 365:
- Адреса маршрутизации электронной почты в режиме онлайн с помощью Microsoft
- Добавление пользовательских доменов в центре администрирования
- Припаркованные или неактивные, но зарегистрированные домены
По состоянию на декабрь 2023 года, сообщается что число активных пользователей Office 365 по всему миру превысило 9 тысяч человек в день, а число платных пользователей составило 345 миллионов. Во втором квартале 2023 года Microsoft была названа различными источниками самым выдаваемым брендом в фишинговых аферах. Киберпреступники занимаются мошенничеством с электронной почтой, обманывая интегрированные решения безопасности Microsoft, которые сами по себе недостаточно сильны, чтобы предотвратить все атаки. Поэтому дополнительные протоколы, такие как DMARC, необходимы для усиления защитного механизма.
Давайте узнаем, как настроить DMARC Office 365 для предотвращения сложных почтовых угроз.
Зачем устанавливать Office 365 DMARC?
Office 365 поставляется с решениями для защиты от спама и защита электронной почты шлюзами, уже интегрированными в его пакет безопасности. Так зачем же вам нужен DMARC Office 365 для аутентификации? Потому что эти решения защищают только от входящих фишинговых писем отправленных в ваш домен. Протокол аутентификации DMARC - это решение для защиты от исходящего фишинга. Он позволяет владельцам доменов указывать почтовым серверам-получателям, как отвечать на электронные письма, отправленные с вашего домена, которые не прошли проверку подлинности. DMARC также снижает риск попадания легитимных сообщений в папку "Спам".
DMARC использует две стандартные практики аутентификации, а именно SPF и DKIM. Они проверяют подлинность электронных писем. Ваша политика Office 365 DMARC при внедрении может обеспечить улучшенную защиту от атак, связанных с выдачей себя за другого и подменой.
Настройка DMARC для электронной почты Office 365 важна как никогда в текущем сценарии, потому что:
- Федеральные агентства выпустили предупреждение о том, что хакеры могут воспользоваться отсутствующими или слабые политики DMARC
- Соответствие DMARC является обязательным для Массовые отправители Yahoo и Google
- Сайт Отчет IC3 ФБР выделяет США как страну, наиболее подверженную фишинговым атакам
- По данным IBM Каждая пятая компания страдает от утечки данных из-за потери или кражи учетных данных.
Действительно ли вам нужен DMARC при использовании Office 365?
Существует распространенное заблуждение среди компаний: они считают, что Office 365 обеспечивает безопасность от спама и мошеннических писем. Однако в мае 2020 года серия фишинговых атак была совершена на несколько страховых компаний Ближнего Востока. Злоумышленники использовали Office 365, что привело к значительной потере данных и нарушению безопасности. Вот что мы извлекли из этого:
Причина 1: Решение Microsoft по обеспечению безопасности не является надежным.
Вот почему просто полагаться на интегрированные решения безопасности Microsoft недостаточно. Необходимо приложить внешние усилия для защиты своего домена, что может стать большой ошибкой.
Причина 2: Вам необходимо настроить DMARC Office 365 для защиты от исходящих атак
Хотя интегрированные решения безопасности Office 365 могут обеспечить защиту от угроз входящей электронной почты и попыток фишинга, вам все равно нужно убедиться, что исходящие сообщения, отправленные из вашего собственного домена, проходят эффективную проверку подлинности, прежде чем попасть в почтовые ящики ваших клиентов и партнеров. Именно здесь на помощь приходит DMARC для Office 365.
Причина 3: DMARC поможет вам контролировать каналы электронной почты
DMARC не только защищает ваш домен от прямой подмены домена и фишинговых атак. Он также помогает контролировать каналы электронной почты. Независимо от того, используете ли вы принудительную политику, например "отклонить/карантин", или более мягкую, например "нет", вы можете отслеживать результаты аутентификации с помощью отчеты DMARC. Эти отчеты отправляются либо на ваш адрес электронной почты, либо на анализатор отчетов DMARC инструмент. Мониторинг гарантирует успешную доставку ваших легитимных писем.
Как работает DMARC в Office 365?
Чтобы реализовать DMARC в Office 365, владельцам доменов необходимо опубликовать записи DMARC в настройках DNS. Они могут указать предпочтительную политику (нет, карантин или отклонение). Они даже могут настроить поддельные сообщения электронной почты Office 365 так, чтобы они отклонялись серверами-получателями.
Администраторы Office 365 могут управлять настройками DMARC через центр администрирования Exchange или команды PowerShell.
Вы также можете настроить DMARC Office 365 для запроса отчетов о том, как электронная почта вашего домена обрабатывается третьими лицами.
Теперь давайте посмотрим, как реализовать DMARC в Office 365:
Что нужно учесть, прежде чем приступить к работе
Согласно Документы Microsoft:
- Если вы используете MOERA (Microsoft Online Email Routing Address), который должен заканчиваться на onmicrosoft.com, SPF и DKIM уже будут настроены для него. Однако вам нужно будет создать записи DMARC с помощью центра администрирования Microsoft 365.
- Если вы используете пользовательский домен (например, example.com), вам нужно вручную настроить SPF, DKIM и DMARC для вашего домена.
- Для припаркованных доменов (неактивных доменов) Microsoft рекомендует явно указывать, что с них не должны отправляться электронные письма. В противном случае эти домены могут быть использованы для поддельных и фишинговых атак.
- Для пересылаемых или измененных сообщений, находящихся в пути, необходимо настроить ARC. Это поможет сохранить оригинальные заголовки аутентификации электронной почты, несмотря на изменения, для точной аутентификации.
Как настроить DMARC для Office 365?
DMARC или Domain-based Message Authentication, Reporting, and Conformance существует в виде TXT-записи в DNS вашего домена. DMARC выступает в качестве основной защиты от угроз, связанных с электронной почтой, исходящих из вашего собственного домена. Прежде чем настраивать DMARC, ваш домен должен содержать записи SPF или DKIM, а еще лучше - обе записи для усиленной защиты.
Если вы используете пользовательский домен, ниже приведены шаги по созданию DMARC-записи. Обратите внимание, что для настройки DMARC не обязательно настраивать SPF и DKIM. Однако рекомендуется добавить дополнительный уровень защиты.
Шаг 1: Определите действительные источники электронной почты для вашего домена
Это IP-адреса источников (в том числе третьих лиц), которым вы хотите разрешить отправлять электронные письма от вашего имени.
Шаг 2: Настройте SPF для вашего домена
Теперь вам нужно настроить SPF для проверки отправителя. Для этого создайте запись SPF TXT, которая будет включать все ваши действительные источники отправки, включая внешних поставщиков электронной почты. Вы можете бесплатно зарегистрироваться на PowerDMARC и использовать наш инструмент генератора SPF-записей для создания записи.
Шаг 3: Настройте DKIM для вашего домена
Чтобы включить DMARC Office 365, для вашего домена должны быть настроены SPF или DKIM. Мы рекомендуем настроить DKIM для дополнительного уровня безопасности электронной почты вашего домена. Вы можете бесплатно зарегистрироваться на PowerDMARC и использовать наш инструмент генератора SPF-записей для создания записи.
Шаг 4: Создайте запись DMARC TXT
Вы можете использовать бесплатную программу PowerDMARC генератор DMARC-записей для этого шага. Вы мгновенно сгенерируете запись с правильным синтаксисом для публикации в DNS и настройки DMARC для вашего домена!
Обратите внимание, что только политика применения отклонить может эффективно предотвратить атаки самозванства. Мы рекомендуем начать с не и регулярно отслеживать почтовый трафик. Делайте это в течение некоторого времени, прежде чем окончательно переходить к принудительному применению.
Для записи DMARC укажите режим политики (none/quarantine/reject), а также адрес электронной почты в поле "rua", если вы хотите получать отчеты DMARC.
адрес электронной почты в поле "rua", если вы хотите получать отчеты DMARC.
| Политика DMARC | Тип политики | Синтаксис | Действие |
|---|---|---|---|
| нет | расслабленный/бездействующий/попустительский | p=none; | Не предпринимайте никаких действий в отношении сообщений, не прошедших проверку подлинности, т.е. доставляйте их. |
| карантин | принудительно | p=карантин; | Отправка в карантин сообщений, не прошедших проверку DMARC |
| отклонить | принудительно | p=отклонить; | Отбрасывайте сообщения, не прошедшие проверку DMARC |
Синтаксис вашей DMARC-записи может выглядеть следующим образом:
v=DMARC1; p=reject; rua=mailto:reporting@example.com;
Эта запись имеет принудительную политику "reject" и для домена включена совокупная отчетность DMARC.
Шаги по добавлению записи Office 365 DMARC с помощью Microsoft Admin Center
Чтобы добавить запись Office 365 DMARC для доменов MOERA (*onmicrosoft.com домены), необходимо выполнить следующие действия:
1. Войдите в центр администрирования Microsoft
2. Перейдите к Показать все > Настройки > Домены
3. Выберите свой домен *onmicrosoft.com из списка доменов на странице Домены, чтобы открыть страницу Сведения о домене
4. Перейдите на вкладку DNS-записи на этой странице и выберите + Добавить запись
5. Появится текстовое поле для добавления новой записи DMARC с различными полями. Ниже приведены значения, которые необходимо заполнить для конкретных полей:
Тип: TXT
Имя: _dmarc
TTL: 1 час
Значение: (вставьте значение созданной вами DMARC-записи)
6. Нажмите на кнопку Сохранить
Добавление записи Office 365 DMARC для пользовательского домена
Если у вас есть собственный домен, например example.com, мы подробно рассказали о том. как настроить DMARC. Вы можете следовать шагам в нашем руководстве, чтобы легко настроить протокол. Microsoft дает несколько ценных рекомендаций по настройке DMARC для пользовательских доменов. Мы согласны с этими советами и советуем их своим клиентам! Давайте разберемся, что это такое:
- При настройке DMARC начните с политики "нет".
- Медленный переход к карантину, а затем отказ
- Вы также можете сохранить низкое процентное значение (pct) для влияния политики, начав с 10 и медленно увеличивая его до 100
- Убедитесь, что у вас включены отчеты DMARC для регулярного мониторинга каналов электронной почты.
Добавление записи Office 365 DMARC для неактивных доменов
Мы подготовили подробное руководство по защите неактивных/паркованных доменов с помощью SPF, DKIM и DMARC. Вы можете просмотреть подробные шаги там, но для краткого обзора можно сказать, что даже неактивные домены должны быть настроены на DMARC.
Просто опубликуйте запись DMARC, зайдя в консоль управления DNS для неактивного домена. Если у вас нет доступа к DNS, обратитесь к своему DNS-провайдеру. Эта запись может быть настроена на отклонение всех сообщений, исходящих из неактивных доменов, которые не прошли проверку DMARC:
v=DMARC1; p=отклонить;
Что происходит, если политика DMARC не включена в Office 365?
Если вы не включите политику Office 365 DMARC, вы рискуете получить поддельный домен.
DMARC разработан для защиты вашего домена от подделки отправителями электронной почты, которые хотят получить доступ к вашим почтовым системам и использовать их для мошенничества или фишинга.
Если политика не определена, ваша запись неактивна. Если вы не включите политику DMARC для электронной почты Office 365, это означает, что любой человек может отправлять электронные сообщения от имени вашего домена, даже если у него нет на это разрешения. Это также делает невозможным определение того, кто отправил сообщение и пришло ли оно от авторизованного источника.
Как владелец домена, вы всегда должны быть начеку: угрожающие субъекты запускают атаки на подмену домена и фишинговые атаки, чтобы использовать ваш домен или имя бренда для осуществления вредоносных действий. Независимо от того, какое решение для обмена электронной почтой вы используете, защита вашего домена от подмены и самозванства является обязательным условием для обеспечения авторитета бренда и поддержания доверия среди ваших уважаемых клиентов.
5 причин, по которым вам нужен PowerDMARC при использовании Microsoft Office 365
Microsoft Office 365 предоставляет пользователям множество "облачных" служб и решений, а также встроенные фильтры защиты от спама. Однако, несмотря на различные преимущества, вот недостатки, с которыми вы можете столкнуться при его использовании с точки зрения безопасности:
- Нет решения для проверки исходящих сообщений, отправленных с вашего домена.
- Отсутствует механизм отчётности для писем, не прошедших проверку подлинности.
- Отсутствие видимости в экосистеме электронной почты
- Отсутствие панели управления для управления и мониторинга входящей и исходящей электронной почты
- Нет механизма, гарантирующего, что ваша SPF-запись всегда находится под лимитом в 10 запросов.
Отчетность и мониторинг DMARC с PowerDMARC
PowerDMARC легко интегрируется с Office 365, предоставляя владельцам доменов передовые решения для аутентификации, которые защищают от сложных атак социальной инженерии, таких как BEC и прямая подмена домена.
Когда вы подписываетесь на PowerDMARC, вы подписываетесь на многопользовательскую SaaS-платформу, которая не только объединяет все лучшие практики аутентификации электронной почты (SPF, DKIM, DMARC, MTA-STS, TLS-RPT и BIMI), но и предоставляет обширный и глубокий механизм отчетов dmarc, который обеспечивает полную видимость вашей почтовой экосистемы. Отчеты DMARC на приборной панели PowerDMARC генерируются в двух форматах:
- Совокупные отчёты
- Судебно-медицинские заключения
Мы стремимся сделать процесс аутентификации лучше для вас, решая различные проблемы отрасли. Мы обеспечиваем шифрование ваших отчетов DMARC, а также отображаем сводные отчеты в 7 различных видах для повышения удобства и наглядности.
PowerDMARC помогает отслеживать поток электронной почты и сбои аутентификации, а также заносить в черный список вредоносные IP-адреса со всего мира. Наш анализатор DMARC поможет вам правильно настроить DMARC для вашего домена и в кратчайшие сроки перейти от мониторинга к внедрению. Это поможет вам включить DMARC в Office 365, не беспокоясь о сложностях, связанных с этим.
Часто задаваемые вопросы
1. Мы уже используем платформу безопасности электронной почты, например Microsoft Defender для Office 365. Зачем нам нужен PowerDMARC?
В то время как Microsoft Defender для Office 365 эффективен для общей защиты электронной почты, PowerDMARC предлагает специализированные функции, ориентированные на протоколы аутентификации электронной почты, такие как DMARC. Он предоставляет расширенные возможности отчетности, мониторинга и оповещения, предназначенные для борьбы с подменой электронной почты, фишингом и другими мошенническими действиями.
Интеграция PowerDMARC с Office 365 повышает уровень безопасности электронной почты и обеспечивает полную видимость экосистемы электронной почты, что в конечном итоге защищает репутацию вашего бренда и снижает риск атак по электронной почте.
С помощью PowerDMARC вы можете:
- Точная и мгновенная генерация записей DMARC
- Просмотр упрощенных отчетов DMARC Office 365
- Отслеживайте трафик и поведение пользователей электронной почты
- Переключение между режимами политики DMARC без доступа к DNS
2. В чем разница между Office365 DMARC и тем, что предлагает PowerDMARC?
Встроенные в Office 365 возможности DMARC обеспечивают базовую функциональность для аутентификации электронной почты, например, возможность публикации записей DMARC и получения сводных отчетов. Однако PowerDMARC выходит за рамки этих базовых функций, предлагая расширенные возможности отчетности, мониторинга и оповещения.
Мы предоставляем подробные аналитические и криминалистические отчеты, всестороннюю информацию о вашем почтовом трафике и проактивные меры по защите репутации вашего домена.
Кроме того, PowerDMARC упрощает внедрение и управление политиками DMARC благодаря средствам автоматизации и экспертной поддержке.
3. Разве DMARC не является бесплатным?
Да, DMARC сам по себе является свободным и открытым стандартом. Однако внедрение и эффективное управление DMARC может потребовать значительного времени, ресурсов и опыта.
Хотя вы можете публиковать записи DMARC и получать базовые сводные отчеты бесплатно, продвинутые платформы управления DMARC, такие как PowerDMARC, предлагают дополнительные функции и услуги, такие как подробная аналитика, мониторинг, оповещение и экспертная поддержка, которые предоставляются за очень доступную абонентскую плату.
Хотя DMARC бесплатен, использование такой платформы, как PowerDMARC, позволяет упростить процесс внедрения, повысить уровень безопасности электронной почты и получить ценные сведения о вашей почтовой экосистеме. Это поможет защитить репутацию вашего бренда и снизить риск атак на электронную почту.
Обзор содержания и процесс проверки фактов
Информация о процессе настройки Office 365 DMARC была взята из официальной документации Microsoft. Документ может быть обновлен в будущем в зависимости от изменений, внесенных разработчиками на портале Microsoft. Рекомендации, приведенные в статье, основаны на том, что сработало для наших клиентов в реальном времени, и могут помочь и вам.
- Как настроить DMARC в Office 365? Пошаговое руководство - 6 мая 2024 г.
- Объяснение кодов ошибок SMTP Yahoo - 1 мая 2024 г.
- SPF Softfail и Hardfail: В чем разница? - 26 апреля 2024 г.