重要提示:谷歌和雅虎将从 2024 年 4 月起要求使用 DMARC。
阅读更多
权力管理机构

Microsoft 365如何处理DMARC失败的入站邮件?

Ahona Rudra
微软365如何处理DMARC失败的入站邮件

微软365如何处理DMARC失败的入站邮件

阅读时间 5 分钟

即使DMARC 策略设置为 "p=reject",也不会拒绝DMARC失败的 Microsoft 365 入站电子邮件。这样做是为了避免阻止合法电子邮件,因为发件人方面的电子邮件安全策略可能会导致这些电子邮件在传输过程中丢失。

为什么微软365不拒绝DMARC失败的邮件?

Microsoft 365不会拒绝未能通过DMARC检查的电子邮件,以便。

因此,Microsoft 365 电子邮件安全系统认为最好将邮件标记为垃圾邮件,而不是直接拒收。用户仍然可以通过以下方式在收件箱中接收这些邮件: 

  1. 创建一个 "安全发件人 "名单 
  2. 创建一个传输规则,也被称为Exchange邮件流规则

虽然你的合法邮件未能通过DMARC可能令人担忧,但这种策略可能导致恶意邮件逃避DMARC检查,从而进入用户的收件箱。 

你可以通过以下方式查看这份文件 微软365在其Exchange Online平台中的入站DMARC配置。

如何创建Microsoft 365传输规则来隔离未经授权的入站邮件?

为了解决这些关于Office 365 DMARC部署的问题,我们可以使用发件人的信息头创建一个Exchange邮件流/传输规则。 

案例1:设置传输规则以隔离来自内部域的入站邮件

如果邮件在 "发件人 "地址中由内部域名接收,我们可以设置一个传输规则来隔离这些邮件。这将使邮件进入用户的隔离文件夹,而不是他们的收件箱。 

该规则验证了。 

这将决定需要采取什么行动。

注意。 在你配置这个规则之前,建议你在大规模部署之前,在一个受限制的用户群中部署它,以测试土壤。确保你的授权发件人通过了DMARC,如果失败,则表明配置错误,可能导致合法邮件的丢失。

要设置该规则,请遵循以下步骤。 

  1. 登录到您的Exchange Online管理中心 
  2. 转到邮件流 > 规则
  3. 选择 "添加 "图标>"创建新规则 "来创建一个新规则。
  4. 将 "匹配信息中的发件人地址 "设置为 "标题"
  5. 在Apply this rule if...中,你可以从下拉菜单中选择你想应用此规则的条件。在这里,如果DMARC认证结果是 "失败",并且 "发件人 "域名与你自己的域名匹配,我们要配置该规则。
  6. 在 "做以下事情... "中,你现在可以选择你的行动,并将其设置为 "将邮件传送到托管隔离区" 
  7. 点击保存

案例2:设置传输规则以隔离来自外部域的入站邮件

如果您收到的电子邮件来自不属于您的组织范围的域(外部域),而这些域未能通过 DMARC,您可以设置一个免责声明,警告用户可能存在网络钓鱼企图或恶意意图。 

注意。 如果你不想直接限制电子邮件,为DMARC失败的外部域预留一个免责声明可能是有益的。更多的时候,发件人方面的错误配置协议可能导致认证检查失败。

要设置该规则,请遵循以下步骤。 

  1. 登录到您的Exchange Online管理中心 
  2. 转到邮件流 > 规则
  3. 选择 "添加 "图标>"创建新规则 "来创建一个新规则。
  4. 将 "匹配信息中的发件人地址 "设置为 "标题"
  5. 在Apply this rule if...中,你可以从下拉菜单中选择你想应用此规则的条件。在这里,我们想在DMARC认证结果为 "失败 "时配置该规则。 
  6. 在 "做以下事情...... "中,你现在可以选择你的行动,并将其设置为 "预置免责声明......",并添加设置你所需的免责声明。
  7. 你现在可以为这一规则添加一个例外,比如在 "发件人 "标题与你的域名匹配的情况下。
  8. 点击保存

如何创建Microsoft 365传输规则来拒绝未经授权的入站邮件?

保存邮件流规则。可能需要几分钟的时间来处理这些变化,然后你就完成了!

需要记住的一些重要事项

  1. DMARC不能防止欺骗性的相似域名,只对直接域名欺骗和网络钓鱼攻击有效。
  2. 设置为 "无 "的DMARC策略不会隔离或拒绝未能通过DMARC的邮件,只有p=拒绝/隔离可以防止欺骗。
  3. DMARC拒绝是不能轻视的,因为它可能导致合法邮件的丢失。 
  4. 为了更安全的部署,配置一个 DMARC报告分析器来监控你的电子邮件渠道和每天的认证结果。

Ahona Rudra的最新文章(查看全部)
退出手机版