• Как Microsoft 365 обрабатывает входящие сообщения электронной почты, не прошедшие проверку DMARC?

Как Microsoft 365 обрабатывает входящие сообщения электронной почты, не прошедшие проверку DMARC?

Блог

Входящие сообщения электронной почты Microsoft 365, не прошедшие проверку DMARC, не отклоняются, даже если политика DMARC установлена на "p=reject".

Ахона Рудра

Время чтения: 6 мин
Как Microsoft 365 обрабатывает входящие сообщения электронной почты, не прошедшие проверку DMARC?
Оглавление-

Входящие письма Microsoft 365, не прошедшие DMARC, не отклонялись, даже если политика DMARC была установлена на «p=reject». Это было сделано для того, чтобы избежать блокировки легитимных писем, которые могут быть утеряны во время передачи из-за политик безопасности электронной почты на стороне отправителя.

Ключевые выводы

  1. Microsoft 365 не отклоняет сообщения DMARC fail, чтобы не блокировать легитимные сообщения.
  2. Пометка неудачных DMARC-сообщений как спама позволяет пользователям получать потенциально важные письма.
  3. Создание списка "безопасных отправителей" поможет убедиться в том, что законные письма попадают в ваш почтовый ящик.
  4. Транспортные правила можно настроить для помещения в карантин или предупреждения о несанкционированных входящих сообщениях электронной почты.
  5. Политики DMARC, установленные на "p=reject", могут привести к потере легитимных писем, если они не настроены должным образом.

Почему Microsoft 365 не отклоняет письма о неудачной попытке DMARC?

Microsoft 365 не отклонял электронные письма, не прошедшие проверку DMARC , чтобы:

  • Избежать ложноотрицательных результатов, которые могут возникнуть в результате сценариев пересылки электронной почты и использования списков рассылки
  • Избегайте отклонения законных электронных писем из-за проблем с конфигурацией на стороне отправителя

Из-за этого служба безопасности электронной почты Microsoft 365 посчитала, что лучше помечать сообщения как спам, а не просто отклонять их. Пользователи по-прежнему могут использовать Microsoft для получения этих писем в своих почтовых ящиках: 

  1. Создание списка "безопасных отправителей" 
  2. Создание транспортного правила, также известного как правило потока почты Exchange Mail Flow Rule

В то время как ваши законные письма, не прошедшие проверку DMARC, могут вызывать беспокойство, эта тактика может привести к тому, что вредоносные письма, избежав проверки DMARC, попадут в почтовые ящики пользователей. 

Вы можете ознакомиться с этим документом по адресу Microsoft 365 по настройке входящего DMARC в их платформе Exchange Online

Упростите безопасность с помощью PowerDMARC!

15-дн. пр. версияЗаказать демо

Как создать транспортное правило Microsoft 365 для карантина несанкционированных входящих сообщений электронной почты?

Для решения этих проблем, связанных с развертыванием Office 365 DMARC, мы можем создать правило Exchange Mail Flow/ Transport, используя заголовок сообщения отправителя. 

Пример 1: Настройка транспортного правила для карантина входящих писем с внутренних доменов

Если почта получена с внутренних доменов в адресе "From", мы можем настроить транспортное правило для помещения писем в карантин. В результате письмо будет попадать в карантинную папку пользователя, а не в папку входящих сообщений. 

Правило проверяет: 

  • Совпадает ли поле From с вашим собственным доменом 
  • Является ли DMARC неудачным для сообщения

Это позволит определить, какие действия необходимо предпринять.

Примечание: Перед настройкой этого правила рекомендуется развернуть его на ограниченной базе пользователей, чтобы протестировать почву перед масштабным развертыванием. Убедитесь, что ваши авторизованные отправители проходят DMARC, в противном случае это будет свидетельствовать о неправильной конфигурации и может привести к потере легитимных писем.

Чтобы настроить правило, выполните следующие действия: 

  1. Войдите в центр администрирования Exchange Online 
  2. Перейдите в раздел Почтовый поток > Правила
  3. Создайте новое правило, выбрав значок Добавить > Создать новое правило
  4. Установите для параметра "Соответствовать адресу отправителя в сообщении" значение "Заголовок".
  5. В пункте Применить это правило, если... вы можете выбрать условие, к которому вы хотите применить это правило, из выпадающего меню. Здесь мы хотим настроить правило, если результат DMARC-аутентификации "fail" и если домен "From" соответствует вашему собственному доменному имени.
  6. В разделе "Выполнить следующее..." теперь можно выбрать действие и установить его на "Доставить сообщение в размещенный карантин". 
  7. Нажмите Сохранить

Пример 2: Настройка транспортного правила для карантина входящих писем с внешних доменов

Если вы получаете электронные письма с доменов, не входящих в сферу деятельности вашей организации (внешние домены), которые не проходят проверку DMARC, вы можете настроить предупреждение, которое будет предупреждать пользователей о возможной попытке фишинга или злом умысле. 

Примечание: Если вы не хотите полностью ограничивать электронную почту, то добавление предупреждения для внешних доменов, не прошедших проверку DMARC, может быть полезным. Чаще всего неправильная конфигурация протоколов на стороне отправителя может привести к неудачной проверке подлинности.

Чтобы настроить правило, выполните следующие действия: 

  1. Войдите в центр администрирования Exchange Online 
  2. Перейдите в раздел Почтовый поток > Правила
  3. Создайте новое правило, выбрав значок Добавить > Создать новое правило
  4. Установите для параметра "Соответствовать адресу отправителя в сообщении" значение "Заголовок".
  5. В пункте Применить это правило, если... вы можете выбрать условие, к которому вы хотите применить это правило, из выпадающего меню. Здесь мы хотим настроить правило, если результат DMARC-аутентификации будет "fail". 
  6. В разделе "Сделать следующее..." теперь можно выбрать действие и установить его на "Подготовить отказ от ответственности..." и добавить желаемый отказ от ответственности
  7. Теперь вы можете добавить исключение из этого правила, например, в случае, если заголовок "From" соответствует вашему доменному имени
  8. Нажмите Сохранить

Как создать транспортное правило Microsoft 365 для отклонения неавторизованных входящих писем?

  • Войдите в центр администрирования Exchange Online

  • Перейти к Почтовый поток > Правила

  • Выбор + Добавить правило

  • Нажмите на кнопку Создать новое правило в выпадающем меню

  • Назовите правило почтового потока. Например: Переопределение политики DMARC 
  • Под "Применить это правило, если" выберите "заголовки сообщений включают любое из этих слов"

  • Теперь нажмите на кнопку "Введите текст" в выделенном синим цветом тексте и выберите "Результаты аутентификации"

  • Аналогично. Нажмите на кнопку "Введите слова" в выделенном синим цветом тексте и выберите нужный вариант или все варианты.

  • Под "Сделайте следующее" выберите "Заблокировать сообщение"

  • Далее выберите "отклонить сообщение и включить объяснение"

Сохраните правило почтового потока. Обработка изменений может занять несколько минут, и все готово!

Microsoft анонсирует новый подход к обработке политик: обновлено 20 июня 2023 г.

В июне 2023 года компания Microsoft объявила о важных изменениях в политике DMARC для потребительских сервисов (live.com / outlook.com / hotmail.com):

  • Если отправитель настроил принудительную политику DMARC или политику «отклонения» или «помещения в карантин», Microsoft будет соблюдать политику отправителя, отклоняя или помещая в карантин электронные письма, не прошедшие аутентификацию DMARC, вместо того, чтобы доставлять их.
  • После выполнения действия Microsoft отправит отправителю отчет о недоставке (NDR) с сообщением об ошибке: « 550 5.7.509: Доступ запрещен, отправляющий домен example.com не прошел проверку DMARC и имеет политику отклонения DMARC».

Примечание : Для корпоративных клиентов Microsoft 365 теперь по умолчанию учитывает политику DMARC отправителя (например, p=reject, p=quarantine ), отклоняя или помещая в карантин сообщения, не прошедшие DMARC, когда MX вашего домена указывает непосредственно на Office 365. Вы можете настроить это поведение для каждой политики на портале Microsoft 365 Defender в разделе «Параметры защиты от фишинга» . Если ваш MX указывает на стороннее решение безопасности, принудительное применение DMARC может не применяться, если не включена расширенная фильтрация для коннекторов .

DMARC теперь обязателен для массовых отправителей Microsoft

Важно отметить, что DMARC не является опциональным для 5000+ отправителей электронной почты в день на домен для потребительских служб Microsoft. Согласно новым требованиям :

  • Отправители с большим объемом сообщений должны реализовать SPF и DKIM, при этом оба варианта должны передаваться для домена отправителя.
  • Отправители с большим объемом сообщений должны внедрить и пройти DMARC, как минимум, при p=none, согласованный с SPF и DKIM или обоими этими стандартами.

PowerDMARC помогает быстро и безопасно удовлетворять эти требования для глобальных предприятий и предприятий всех размеров! Чтобы начать, свяжитесь с нами сегодня, чтобы поговорить с экспертом.

Некоторые важные моменты, о которых следует помнить

  1. DMARC не защищает от подмены похожих доменов и эффективен только против подмены прямого домена и фишинговых атак.
  2. Политика DMARC, установленная на "none", не будет помещать в карантин или отклонять электронные письма, не прошедшие проверку DMARC, только p=reject/quarantine может защитить от подделки.
  3. К отказу DMARC не стоит относиться легкомысленно, так как это может привести к потере законных электронных писем. 
  4. Для более безопасного развертывания настройте инструмент отчетности DMARC для ежедневного мониторинга каналов электронной почты и результатов аутентификации

Последние сообщения Ахона Рудра (см. все)
6 лучших инструментов DMARC в 2025 годулучшие инструменты DMARCкак остановить спуфингКак остановить поддельные письма с моего адреса электронной почты?