微软支持并鼓励 Office 365 用户使用 DMARC,这使他们能够在所有注册域中一致采用电子邮件验证协议。在其所有注册域中统一采用电子邮件验证协议。在本博客中,我们将介绍如何为 Office 365 设置DMARC,以验证任何 Office 365 电子邮件:
- 微软在线电子邮件路由地址
- 在管理中心添加自定义域
- 停放或不活动但已注册的域名
2023 年第二季度,微软被各种消息来源称为网络钓鱼诈骗中被冒充最多的品牌。DMARC 等协议对于加强防御机制至关重要。
让我们了解一下 Office 365 中的 DMARC 如何帮助防止复杂的电子邮件威胁。
如何为 Office 365 设置 DMARC
DMARC 或基于域的消息验证、报告和一致性(Domain-based Message Authentication, Reporting, and Conformance)以 TXT 记录的形式存在于域名的 DNS 中。DMARC 的主要作用是抵御来自自己域的电子邮件威胁。在配置 DMARC 之前,您的域必须包含 SPF 或 DKIM 记录,或者最好同时包含这两种记录,以提供高级保护。
如果使用的是自定义域,创建DMARC 记录的步骤如下。请注意,并非必须同时配置SPF 和 DKIM才能设置 DMARC。但建议添加额外的保护层。
开始前的注意事项
根据 微软的文件:
- 如果您使用以 onmicrosoft.com 结尾的 MOERA(Microsoft 在线电子邮件路由地址),SPF 和 DKIM 将已为其配置。不过,您需要使用 Microsoft 365 管理中心创建 DMARC 记录。
- 如果您使用的是 example.com 等自定义域,则需要为您的域手动配置 SPF、DKIM 和 DMARC。
- 对于您的停放域(非活动域),Microsoft 建议您确保明确指定不得从这些域发送电子邮件。否则,这些域可能会被用于欺骗和网络钓鱼攻击。
- 对于转发或修改中的报文,您必须设置 ARC.这有助于在修改后保留原始电子邮件验证标题,以进行准确验证。
第1步:为你的域名确定有效的电子邮件来源
这些将是您希望允许代表您发送电子邮件的源 IP 地址(包括第三方)。
第2步:为你的域名设置SPF
现在您需要配置 SPF进行发件人验证。为此,请创建一个 SPF TXT 记录,其中包括所有有效的发送源,包括外部电子邮件供应商。您可以在 PowerDMARC 上免费注册,并使用我们的SPF 记录生成器工具创建记录。
第 3 步:在域上为 Office 365 设置 DKIM
要启用 DMARC Office 365,您需要为您的域配置 SPF 或 DKIM。我们建议您设置 DKIM和 DMARC,以便为您的域电子邮件提供额外的安全保护。您可以免费注册 PowerDMARC 并使用我们的DKIM 记录生成工具创建记录。
第 4 步:创建 DMARC TXT 记录
您可以使用 PowerDMARC 的免费 DMARC 记录生成器来完成这一步。使用正确的语法立即生成一条记录,发布到您的 DNS 中,并为您的域配置 DMARC!
请注意,只有 拒绝执行策略才能有效防止冒充攻击。我们建议您从 无策略,并定期监控电子邮件流量。这样做一段时间后,再最终转向执行。
对于 DMARC 记录,请定义策略模式(无/隔离/拒绝),如果希望接收 DMARC 报告,请在 "rua "字段中定义电子邮件地址。
DMARC政策 | 政策类型 | 语法 | 行动 |
---|---|---|---|
无 | 宽松/无行动/放任 | p=none; | 对未通过验证的邮件不采取任何措施,即发送邮件。 |
隔离 | 强制 | p= 隔离; | 隔离 DMARC 失败的邮件 |
否决 | 强制 | p=拒绝; | 丢弃 DMARC 失败的邮件 |
您的 DMARC 记录语法可能如下:
v=DMARC1; p=reject; rua=mailto:[email protected];
该记录的强制策略为 "拒绝",并为域启用了 DMARC 汇总报告。
使用 Microsoft 管理中心添加 Office 365 DMARC 记录的步骤
要为以下对象添加 DMARC Office 365 记录 MOERA 域(*onmicrosoft.com 域)添加 DMARC Office 365 记录。的步骤如下:
1.登录 Microsoft 管理中心
2.转到 显示全部 > 设置 > 域名
3.在 "域 "页面的域列表中选择*onmicrosoft.com 域,打开 "域详细信息 "页面
4.单击该页面上的 DNS 记录选项卡,然后选择 + 添加记录
5.添加新 DMARC 记录的文本框将出现,其中包含多个字段。下面是您应该填写的特定字段的值:
类型:TXT
名称:_dmarc
TTL:1 小时
值:(粘贴您创建的 DMARC 记录的值)
6.点击保存
为自定义域添加 Office 365 DMARC 记录
如果您有一个自定义域,如 example.com,我们已经提供了关于 如何设置 DMARC.您可以按照我们指南中的步骤轻松配置协议。在为自定义域配置 DMARC 时,微软提出了一些有价值的建议。我们同意这些建议,并将其推荐给我们的客户!让我们来了解一下这些建议:
- 配置 DMARC 时,从 "无 "策略开始
- 慢慢过渡到隔离,然后拒绝
- 您也可以将政策影响的百分比 (pct) 值保持在较低水平,从 10 开始,慢慢增加到 100
- 确保您已启用 DMARC 报告功能,以便定期监控您的电子邮件渠道
为非活动域添加 DMARC Office 365 记录
我们为您提供了一份详细指南,内容涉及 使用 SPF、DKIM 和 DMARC 确保不活动/停用域的安全SPF、DKIM 和 DMARC 的详细指南。您可以在那里查看详细步骤,但只需简要了解一下,即使是您的非活动域也需要配置 DMARC。
只需访问不活动域的 DNS 管理控制台,即可发布 DMARC 记录。如果您无法访问 DNS,请立即联系您的DNS 提供商。可以对该记录进行配置,以拒绝来自未通过 DMARC 的非活动域的所有邮件:
v=DMARC1; p=reject;
使用 PowerDMARC 以正确的方式为 Office 365 设置 DMARC!
为什么要为 Office 365 设置 DMARC?
Office 365 配备了反垃圾邮件解决方案和 电子邮件安全网关已集成到其安全套件中。那么,为什么需要在 Office 365 中使用 DMARC 策略进行身份验证呢?这是因为这些解决方案只能防止入站的 钓鱼电子邮件发送到您的域。DMARC 身份验证协议是您的出站网络钓鱼防范解决方案。它允许域所有者向接收邮件服务器指定如何响应从您的域发送的未通过身份验证的电子邮件。DMARC 还能降低合法邮件落入垃圾邮件文件夹的风险。
DMARC 使用两种标准验证方法,即 SPF 和 DKIM。它们可验证电子邮件的真实性。您的 Office 365 DMARC 策略在执行时可以提供更强的保护,防止冒充攻击和欺骗。
在当前情况下,为商业电子邮件设置 DMARC 比以往任何时候都更为重要,因为:
- 联邦机构已发出警告,防止黑客利用缺失或薄弱的 弱的 DMARC 政策发出警告
- 必须遵守 DMARC 规定 雅虎和谷歌群发器
- 联邦调查局 联邦调查局的 IC3 报告指出美国是受网络钓鱼攻击影响最严重的国家
- IBM 报告称每五家公司中就有一家因凭证丢失或被盗而受到数据泄露的影响
使用 Office 365 时真的需要 DMARC 吗?
企业有一个普遍的误解:他们认为 Office 365 可以确保安全,免受垃圾邮件和欺诈性电子邮件的侵害。然而,在 2020 年 5 月 一系列网络钓鱼攻击攻击。攻击者使用了 Office 365,造成了严重的数据丢失和安全漏洞。下面是我们从中了解到的情况:
原因1:微软的安全解决方案并非万无一失
这就是为什么仅仅依靠微软的集成安全解决方案是不够的。必须通过外部努力来保护您的域,否则就会铸成大错。
原因 2:您需要为 Office 365 设置 DMARC,以防范出站攻击
虽然 Office 365 的集成安全解决方案可以提供针对入站电子邮件威胁和网络钓鱼企图的保护,但您仍然需要确保从自己的域发送的出站邮件在进入客户和合作伙伴的收件箱之前得到有效验证。这就是 Office 365 DMARC 的作用所在。
理由3:DMARC将帮助你监控你的电子邮件渠道
DMARC 不仅能保护您的域名免受直接域名欺骗和网络钓鱼攻击。它还能帮助您监控电子邮件渠道。无论您使用的是 "拒绝/隔离 "这样的强制策略,还是 "无 "这样的宽松策略,您都可以通过以下方式跟踪验证结果 DMARC 报告.这些报告既可以发送到您的电子邮件地址,也可以发送到 DMARC 报告分析器工具。监控可确保您的合法电子邮件成功送达。
DMARC 在 Office 365 中如何工作?
要在 Office 365 中实施 DMARC,域所有者需要在其 DNS 设置中发布 DMARC 记录。他们可以指定自己的首选策略(无、隔离或拒绝)。他们甚至可以将欺骗的 Office 365 电子邮件配置为被接收服务器拒绝。
Office 365 管理员可以通过 Exchange 管理中心或 PowerShell 命令管理 DMARC 设置。
您还可以在 Office 365 中设置 DMARC,以索取有关第三方如何处理您的域名电子邮件的报告。
如果 Office 365 中未启用 DMARC 策略会发生什么情况?
如果您没有为 Office 365 启用 DMARC,您的域名就有被欺骗的风险。
DMARC旨在帮助保护你的域名不被那些想进入你的电子邮件系统并利用其进行欺诈或网络钓鱼的电子邮件发送者欺骗。
如果没有定义策略,您的记录就等于未激活。如果不为 Office 365 电子邮件启用 DMARC 策略,就意味着任何人都可以代表您的域发送电子邮件,即使他们没有权限这样做。这也使您无法确定是谁发送了邮件,以及邮件是否来自授权来源。
作为域名所有者,您需要时刻提防威胁者发起域名欺骗攻击和网络钓鱼攻击,利用您的域名或品牌名称进行恶意活动。无论您使用哪种电子邮件交换解决方案,都必须保护您的域名免遭欺骗和假冒,以确保品牌信誉并维护尊敬的客户群对您的信任。
为什么要将 PowerDMARC 与 Office 365 结合使用?
Microsoft Office 365 为用户提供了大量基于云的服务和解决方案,并集成了反垃圾邮件过滤器。不过,尽管微软 Office 365 具有各种优势,但从安全角度来看,您在使用它时可能会面临以下缺点:
- 没有验证从你的域名发出的外发信息的解决方案
- 没有关于认证检查失败的电子邮件的报告机制
- 对你的电子邮件生态系统没有可见性
- 没有仪表板来管理和监控您的入站邮件和出站邮件流
- 没有确保 SPF 记录始终低于 10 次查询限制的机制
使用PowerDMARC的DMARC报告和监控
PowerDMARC 与 Office 365 无缝集成,为域名所有者提供先进的身份验证解决方案,防止 BEC 和直接域名欺骗等复杂的社交工程攻击。
当您注册使用 PowerDMARC时,您将注册使用一个多租户 SaaS 平台,该平台不仅集合了所有电子邮件验证的最佳实践(SPF、DKIM、DMARC、 MTA-STSTLS-RPT和BIMI),而且还提供了广泛而深入的DMARC报告机制,为您的电子邮件生态系统提供完整的可视性。 DMARC 报告以两种格式生成:
- 汇总报告
- 法证报告
我们努力解决各种行业问题,为您提供更好的验证体验。我们确保对您的 DMARC 鉴证报告进行加密,并以 7 种不同的视图显示汇总报告,以增强用户体验和清晰度。
PowerDMARC 可帮助您监控电子邮件流和身份验证失败,以及 黑名单来自世界各地的恶意 IP 地址。我们的 DMARC 分析器可帮助您为您的域正确配置 DMARC,并立即从监控转向执行。这可以帮助您启用 DMARC Office 365,而不必担心其中的复杂性。
DMARC for Office 365 常见问题解答
内容审查和事实核查程序
有关 Office 365 DMARC 设置过程的信息摘自 Microsoft 官方文档。该文档将来可能会根据开发人员在微软门户网站上所做的更改而更新。文章中提到的建议是根据我们客户的实际情况提出的,可能对您也有帮助。
- 雅虎日本将于 2025 年强制用户采用 DMARC- 2025 年 1 月 17 日
- MikroTik 僵尸网络利用 SPF 配置错误传播恶意软件- 2025 年 1 月 17 日
- 禁止发送 DMARC 未验证邮件 [解决]- 2025 年 1 月 14 日