重要提示:谷歌和雅虎将从 2024 年 4 月起要求使用 DMARC。
阅读更多
权力管理机构

如何在Office 365中设置DMARC?一步一步的指南

Yunes Tarada
office 365 powerdmarc博客

office 365 powerdmarc博客

阅读时间 9 分钟

微软支持并鼓励 Office 365 用户采用电子邮件验证协议,如 DMARC等电子邮件验证协议。在本博客中,我们将介绍如何设置 DMARC 以验证 Office 365 电子邮件:

  1. 微软在线电子邮件路由地址 
  2. 在管理中心添加自定义域
  3. 停放或不活动但已注册的域名 

截至 2023 年 12 月、 报告显示全球 Office 365 的活跃用户数量每天超过 90 万,付费会员达 3.45 亿。2023 年第二季度,微软被各种消息来源称为网络钓鱼诈骗中被冒充最多的品牌。网络犯罪分子通过智取微软的集成安全解决方案来实施电子邮件欺诈,而微软的集成安全解决方案单凭一己之力不足以防范所有攻击。因此,像 DMARC 这样的附加协议对于加强防御机制是必不可少的。

让我们来了解一下如何设置 DMARC Office 365 以防止复杂的电子邮件威胁。

为什么要设置Office 365的DMARC? 

Office 365 配备了反垃圾邮件解决方案和 电子邮件安全网关已集成到其安全套件中。那么,为什么需要使用 DMARC Office 365 进行身份验证呢?这是因为这些解决方案只能防止入站的 钓鱼电子邮件发送到您的域。DMARC 身份验证协议是您的出站网络钓鱼防范解决方案。它允许域所有者向接收邮件服务器指定如何响应从您的域发送的未通过身份验证的电子邮件。DMARC 还能降低合法邮件落入垃圾邮件文件夹的风险。

DMARC 使用两种标准验证方法,即 SPF 和 DKIM。它们可验证电子邮件的真实性。您的 Office 365DMARC 策略在执行时可以提供更强的保护,防止冒充攻击和欺骗。

在当前情况下,为 Office 365 电子邮件设置 DMARC 比以往任何时候都更加重要,因为: 

  1. 联邦机构已发出警告,防止黑客利用缺失或薄弱的 弱的 DMARC 政策发出警告
  2. 必须遵守 DMARC 规定 雅虎和谷歌群发器
  3. 联邦调查局 联邦调查局的 IC3 报告指出美国是受网络钓鱼攻击影响最严重的国家
  4. IBM 报告称每五家公司中就有一家因凭证丢失或被盗而受到数据泄露的影响

使用 Office 365 时真的需要 DMARC 吗?

企业有一个普遍的误解:他们认为 Office 365 可以确保安全,免受垃圾邮件和欺诈性电子邮件的侵害。然而,在 2020 年 5 月 一系列网络钓鱼攻击攻击。攻击者使用了 Office 365,造成了严重的数据丢失和安全漏洞。下面是我们从中了解到的情况:

原因1:微软的安全解决方案并非万无一失 

这就是为什么仅仅依靠微软的集成安全解决方案是不够的。必须通过外部努力来保护您的域,否则就会铸成大错。 

原因 2:您需要设置 DMARC Office 365 以防范出站攻击

虽然 Office 365 的集成安全解决方案可以提供针对入站电子邮件威胁和网络钓鱼企图的保护,但您仍然需要确保从自己的域发送的出站邮件在进入客户和合作伙伴的收件箱之前得到有效验证。这就是 Office 365 DMARC 的作用所在。

理由3:DMARC将帮助你监控你的电子邮件渠道 

DMARC 不仅能保护您的域名免受直接域名欺骗和网络钓鱼攻击。它还能帮助您监控电子邮件渠道。无论您使用的是 "拒绝/隔离 "这样的强制策略,还是 "无 "这样的宽松策略,您都可以通过以下方式跟踪验证结果 DMARC 报告.这些报告既可以发送到您的电子邮件地址,也可以发送到 DMARC 报告分析器工具。监控可确保您的合法电子邮件成功送达。

DMARC 在 Office 365 中如何工作? 

要在 Office 365 中实施 DMARC,域所有者需要在其 DNS 设置中发布 DMARC 记录。他们可以指定自己的首选策略(无、隔离或拒绝)。他们甚至可以将欺骗的 Office 365 电子邮件配置为被接收服务器拒绝。

Office 365 管理员可以通过 Exchange 管理中心或 PowerShell 命令管理 DMARC 设置。

您还可以配置 DMARC Office 365,要求提供有关第三方如何处理您的域名电子邮件的报告。

现在让我们看看如何实施 DMARC Office 365: 

开始前的注意事项

根据 微软的文件:

如何为Office 365设置DMARC?

DMARC 或基于域的消息验证、报告和一致性(Domain-based Message Authentication, Reporting, and Conformance)以 TXT 记录的形式存在于域名的 DNS 中。DMARC 的主要作用是抵御来自自己域的电子邮件威胁。在配置 DMARC 之前,您的域必须包含 SPF 或 DKIM 记录,或者最好同时包含这两种记录,以提供高级保护。

如果使用的是自定义域,创建DMARC 记录的步骤如下。请注意,并非必须同时配置 SPF 和 DKIM 才能设置 DMARC。但建议添加额外的保护层。 

第1步:为你的域名确定有效的电子邮件来源

这些将是您希望允许代表您发送电子邮件的源 IP 地址(包括第三方)。 

第2步:为你的域名设置SPF

现在您需要配置 SPF进行发件人验证。为此,请创建一个 SPF TXT 记录,其中包括所有有效的发送源,包括外部电子邮件供应商。您可以在 PowerDMARC 上免费注册,并使用我们的 SPF 记录生成器工具创建记录。

第3步:为你的域名设置DKIM

要启用 DMARC Office 365,您需要为您的域配置 SPF 或 DKIM。我们建议设置 DKIM为您的域的电子邮件增加一层安全保护。您可以免费注册 PowerDMARC 并使用我们的 SPF 记录生成工具创建记录。

第 4 步:创建 DMARC TXT 记录

您可以使用 PowerDMARC 的免费 DMARC 记录生成器来完成这一步。使用正确的语法立即生成一条记录,发布到您的 DNS 中,并为您的域配置 DMARC!

请注意,只有 拒绝执行策略才能有效防止冒充攻击。我们建议您从 策略,并定期监控电子邮件流量。这样做一段时间后,再最终转向执行。

对于 DMARC 记录,请定义策略模式(无/隔离/拒绝),如果希望接收 DMARC 报告,请在 "rua "字段中定义电子邮件地址。

如果希望接收 DMARC 报告,请在 "rua "字段中输入电子邮件地址。

DMARC政策政策类型语法行动
宽松/无行动/放任p=none;对未通过验证的邮件不采取任何措施,即发送邮件。
隔离强制p= 隔离;隔离 DMARC 失败的邮件
否决强制p=拒绝;丢弃 DMARC 失败的邮件

您的 DMARC 记录语法可能如下: 

v=DMARC1; p=reject; rua=mailto:reporting@example.com;

该记录的强制策略为 "拒绝",并为域启用了 DMARC 汇总报告。 

使用 Microsoft 管理中心添加 Office 365 DMARC 记录的步骤

要为以下对象添加 Office 365 DMARC 记录 MOERA 域(*onmicrosoft.com 域)添加您的 Office 365 DMARC 记录。步骤如下:

1.登录 Microsoft 管理中心 

2.转到 显示全部 > 设置 > 域名

3.在 "域 "页面的域列表中选择*onmicrosoft.com 域,打开 "域详细信息 "页面

4.单击该页面上的 DNS 记录选项卡,然后选择 + 添加记录 

5.添加新 DMARC 记录的文本框将出现,其中包含多个字段。下面是您应该填写的特定字段的值: 

类型:TXT

名称:_dmarc

TTL:1 小时

(粘贴您创建的 DMARC 记录的值)

6.点击保存 

为自定义域添加 Office 365 DMARC 记录

如果您有一个自定义域,如 example.com,我们已经提供了关于 如何设置 DMARC.您可以按照我们指南中的步骤轻松配置协议。在为自定义域配置 DMARC 时,微软提出了一些有价值的建议。我们同意这些建议,并将其推荐给我们的客户!让我们来了解一下这些建议:

为非活动域添加 Office 365 DMARC 记录

我们为您提供了一份详细指南,内容涉及 使用 SPF、DKIM 和 DMARC 确保不活动/停用域的安全SPF、DKIM 和 DMARC 的详细指南。您可以在那里查看详细步骤,但只需简要了解一下,即使是您的非活动域也需要配置 DMARC。

只需访问不活动域的 DNS 管理控制台,即可发布 DMARC 记录。如果您无法访问 DNS,请立即联系您的 DNS 提供商。可以对该记录进行配置,以拒绝来自未通过 DMARC 的非活动域的所有邮件: 

v=DMARC1; p=reject; 

如果 Office 365 中未启用 DMARC 策略会发生什么情况?

如果不启用 Office 365 DMARC 策略,您的域名就有被欺骗的风险。

DMARC旨在帮助保护你的域名不被那些想进入你的电子邮件系统并利用其进行欺诈或网络钓鱼的电子邮件发送者欺骗。

如果没有定义策略,您的记录就等于未激活。如果不为 Office 365 电子邮件启用 DMARC 策略,就意味着任何人都可以代表您的域发送电子邮件,即使他们没有权限这样做。这也使您无法确定是谁发送了邮件,以及邮件是否来自授权来源。

作为域名所有者,您需要时刻提防威胁者发起域名欺骗攻击和网络钓鱼攻击,利用您的域名或品牌名称进行恶意活动。无论您使用哪种电子邮件交换解决方案,都必须保护您的域名免遭欺骗和假冒,以确保品牌信誉并维护尊敬的客户群对您的信任。

使用 Microsoft Office 365 时需要 PowerDMARC 的 5 个原因

Microsoft Office 365 为用户提供了大量基于云的服务和解决方案,并集成了反垃圾邮件过滤器。不过,尽管微软 Office 365 具有各种优势,但从安全角度来看,您在使用它时可能会面临以下缺点:

使用PowerDMARC的DMARC报告和监控

PowerDMARC 与 Office 365 无缝集成,为域名所有者提供先进的身份验证解决方案,防止 BEC 和直接域名欺骗等复杂的社交工程攻击。 

当您注册使用 PowerDMARC 时,您将注册使用一个多租户 SaaS 平台,该平台不仅集合了所有电子邮件验证的最佳实践(SPF、DKIM、DMARC、 MTA-STSTLS-RPT和BIMI),而且还提供了广泛而深入的DMARC报告机制,为您的电子邮件生态系统提供完整的可视性。 DMARC 报告以两种格式生成:

我们努力解决各种行业问题,为您提供更好的验证体验。我们确保对您的 DMARC 鉴证报告进行加密,并以 7 种不同的视图显示汇总报告,以增强用户体验和清晰度。 

PowerDMARC 可帮助您监控电子邮件流和身份验证失败,以及 黑名单来自世界各地的恶意 IP 地址。我们的 DMARC 分析器可帮助您为您的域正确配置 DMARC,并立即从监控转向执行。这可以帮助您启用 DMARC Office 365,而不必担心其中的复杂性。

常见问题

1.我们已经在使用 Microsoft Defender for Office 365 这样的电子邮件安全平台,为什么还需要 PowerDMARC?

Office 365 的 Microsoft Defender 对一般电子邮件安全非常有效,而 PowerDMARC 则提供专门针对 DMARC 等电子邮件验证协议的专业功能。它提供高级报告、监控和警报功能,专门用于打击电子邮件欺骗、网络钓鱼和其他欺诈活动。 

将 PowerDMARC 与 Office 365 集成可增强您的电子邮件安全态势,并为您的电子邮件生态系统提供全面的可视性,最终保护您的品牌声誉并降低基于电子邮件的攻击风险。

使用 PowerDMARC,您可以 

2.Office365 DMARC 和 PowerDMARC 提供的服务有什么区别?

Office 365 的本机 DMARC 功能提供了电子邮件验证的基本功能,例如发布 DMARC 记录和接收汇总报告的功能。但是,PowerDMARC 通过提供高级报告、监控和警报功能,超越了这些基本功能。 

我们提供详细的分析和取证报告,全面了解您的电子邮件流量,并采取积极措施保护您的域名声誉。

此外,PowerDMARC 还通过自动化工具和专家支持简化了 DMARC 策略的实施和管理。 

3.DMARC 不是免费的吗?

是的,DMARC 本身是一个免费和开放的标准。但是,有效实施和管理 DMARC 需要大量的时间、资源和专业知识。 

虽然您可以免费发布 DMARC 记录和接收基本的汇总报告,但 PowerDMARC 等高级 DMARC 管理平台还提供额外的功能和服务,如详细的分析、监控、警报和专家支持,而且订阅费用非常低廉。 

虽然 DMARC 是免费的,但利用 PowerDMARC 这样的平台可以简化实施过程,增强电子邮件安全态势,并为您的电子邮件生态系统提供有价值的见解。这将在保护您的品牌声誉和降低基于电子邮件的攻击风险方面改变游戏规则。

内容审查和事实核查程序

有关 Office 365 DMARC 设置过程的信息摘自 Microsoft 官方文档。该文档将来可能会根据开发人员在微软门户网站上所做的更改而更新。文章中提到的建议是根据我们客户的实际情况提出的,可能对您也有帮助。

Yunes Tarada 的最新帖子(查看全部)
退出手机版