Как Microsoft 365 обрабатывает входящие сообщения электронной почты, не прошедшие проверку DMARC?

Входящие сообщения Microsoft 365, не прошедшие проверку DMARC, не отклоняются даже при политике DMARC, установленной на "p=reject". Это сделано для того, чтобы избежать блокировки легитимных писем, которые могут быть потеряны во время передачи из-за политик безопасности электронной почты на стороне отправителя.

Почему Microsoft 365 не отклоняет сообщения электронной почты с ошибками DMARC?

Microsoft 365 не отклоняет электронные письма, которые не прошли проверку DMARC, чтобы:

• Избежать ложноотрицательных результатов, которые могут возникнуть в результате сценариев пересылки электронной почты и использования списков рассылки
• Избегайте отклонения законных электронных писем из-за проблем с конфигурацией на стороне отправителя

В связи с этим система безопасности электронной почты Microsoft 365 считает, что лучше помечать сообщения как спам, а не отклонять их напрямую. Пользователи по-прежнему могут использовать Microsoft для получения этих писем в своих почтовых ящиках: 

1. Создание списка "безопасных отправителей" 
2. Создание транспортного правила, также известного как правило потока почты Exchange Mail Flow Rule

В то время как ваши законные письма, не прошедшие проверку DMARC, могут вызывать беспокойство, эта тактика может привести к тому, что вредоносные письма, избежав проверки DMARC, попадут в почтовые ящики пользователей. 

Вы можете ознакомиться с этим документом по Microsoft 365 для настройки входящего DMARC в их платформе Exchange Online

Как создать транспортное правило Microsoft 365 для карантина несанкционированных входящих сообщений электронной почты?

Для решения этих проблем, связанных с развертыванием Office 365 DMARC, мы можем создать правило Exchange Mail Flow/ Transport, используя заголовок сообщения отправителя. 

Пример 1: Настройка транспортного правила для карантина входящих писем с внутренних доменов

Если почта получена с внутренних доменов в адресе "From", мы можем настроить транспортное правило для помещения писем в карантин. В результате письмо будет попадать в карантинную папку пользователя, а не в папку входящих сообщений. 

Правило проверяет: 

• Совпадает ли поле From с вашим собственным доменом 
• Является ли DMARC неудачным для сообщения

Это позволит определить, какие действия необходимо предпринять.

Примечание: Перед настройкой этого правила рекомендуется развернуть его на ограниченной базе пользователей, чтобы протестировать почву перед масштабным развертыванием. Убедитесь, что ваши авторизованные отправители проходят DMARC, в противном случае это будет свидетельствовать о неправильной конфигурации и может привести к потере легитимных писем.

Чтобы настроить правило, выполните следующие действия: 

1. Войдите в центр администрирования Exchange Online 
2. Перейдите в раздел Почтовый поток > Правила
3. Создайте новое правило, выбрав значок Добавить > Создать новое правило
4. Установите для параметра "Соответствовать адресу отправителя в сообщении" значение "Заголовок".
5. В пункте Применить это правило, если... вы можете выбрать условие, к которому вы хотите применить это правило, из выпадающего меню. Здесь мы хотим настроить правило, если результат DMARC-аутентификации "fail" и если домен "From" соответствует вашему собственному доменному имени.
6. В разделе "Выполнить следующее..." теперь можно выбрать действие и установить его на "Доставить сообщение в размещенный карантин". 
7. Нажмите Сохранить

Пример 2: Настройка транспортного правила для карантина входящих писем с внешних доменов

Если вы получаете электронные письма с доменов, не входящих в сферу деятельности вашей организации (внешние домены), которые не проходят проверку DMARC, вы можете настроить предупреждение, которое будет предупреждать пользователей о возможной попытке фишинга или злом умысле. 

Примечание: Если вы не хотите полностью ограничивать электронную почту, то добавление предупреждения для внешних доменов, не прошедших проверку DMARC, может быть полезным. Чаще всего неправильная конфигурация протоколов на стороне отправителя может привести к неудачной проверке подлинности.

Чтобы настроить правило, выполните следующие действия: 

1. Войдите в центр администрирования Exchange Online 
2. Перейдите в раздел Почтовый поток > Правила
3. Создайте новое правило, выбрав значок Добавить > Создать новое правило
4. Установите для параметра "Соответствовать адресу отправителя в сообщении" значение "Заголовок".
5. В пункте Применить это правило, если... вы можете выбрать условие, к которому вы хотите применить это правило, из выпадающего меню. Здесь мы хотим настроить правило, если результат DMARC-аутентификации будет "fail". 
6. В разделе "Сделать следующее..." теперь можно выбрать действие и установить его на "Подготовить отказ от ответственности..." и добавить желаемый отказ от ответственности
7. Теперь вы можете добавить исключение из этого правила, например, в случае, если заголовок "From" соответствует вашему доменному имени
8. Нажмите Сохранить

Как создать транспортное правило Microsoft 365 для отклонения неавторизованных входящих писем?

• Войдите в центр администрирования Exchange Online

• Перейти к Почтовый поток > Правила

• Выбор + Добавить правило

• Нажмите на кнопку Создать новое правило в выпадающем меню

• Назовите правило почтового потока. Например: Переопределение политики DMARC 
• Под "Применить это правило, если" выберите "заголовки сообщений включают любое из этих слов"

• Теперь нажмите на кнопку "Введите текст" в выделенном синим цветом тексте и выберите "Результаты аутентификации"

• Аналогично. Нажмите на кнопку "Введите слова" в выделенном синим цветом тексте и выберите нужный вариант или все варианты.

• Под "Сделайте следующее" выберите "Заблокировать сообщение"

• Далее выберите "отклонить сообщение и включить объяснение"

Сохраните правило почтового потока. Обработка изменений может занять несколько минут, и все готово!

Некоторые важные моменты, о которых следует помнить

1. DMARC не защищает от подмены похожих доменов и эффективен только против подмены прямого домена и фишинговых атак
2. Политика DMARC, установленная на "none", не будет помещать в карантин или отклонять электронные письма, не прошедшие проверку DMARC, только p=reject/quarantine может защитить от подделки.
3. К отказу DMARC не стоит относиться легкомысленно, так как это может привести к потере законных электронных писем. 
4. Для более безопасного развертывания настройте инструмент отчетности DMARC для ежедневного мониторинга каналов электронной почты и результатов аутентификации

• О сайте
• Последние сообщения

Ахона Рудра

Эксперт по безопасности доменов и электронной почты в PowerDMARC

Аона - менеджер по маркетингу в PowerDMARC, имеет более чем 5-летний опыт написания статей на темы кибербезопасности, специализируясь на безопасности доменов и электронной почты. Ахона получила диплом о высшем образовании по специальности "Журналистика и коммуникации", а с 2019 года начала работать в сфере безопасности.

Последние сообщения Ахона Рудра (см. все)

• DMARC MSP Case Study: CloudTech24 упрощает управление безопасностью домена для клиентов с помощью PowerDMARC - 24 октября 2024 г.
• Риски, связанные с безопасностью при отправке конфиденциальной информации по электронной почте - 23 октября 2024 г.
• 5 видов мошенничества с электронной почтой службы социального обеспечения и способы их предотвращения - 3 октября 2024 г.