什么是SPF Permerror？

SPF=Permerror 表示 SPF 记录存在一个根本性的问题，使得我们无法确定发送服务器是否被授权。

什么是10个DNS的查询限制？

在SPF检查过程中，每当一封邮件从你的域名发出时，你的收件人的邮件服务器都会执行DNS查询请求，也被称为DNS查找，以检查你的DNS中是否存在授权的IP地址，并将它们与收到的邮件的返回路径头中的地址相匹配。然而，RFC将DNS查询的次数限制在10次。这就是所谓的10次DNS查询限制。

我是否超过了SPF的Too Many DNS Lookups限制？

如果你担心超过SPF的查询限制，你可以使用我们的SPF记录检查工具即时检查你的记录。

如何解决SPF的错误？

避免SPF错误的一个更有效的方法是部署一个自动的、无障碍的SPF平整工具--比如PowerSPF!

如何保护您的 onmicrosoft.com 域名免受欺骗攻击？

Yunes Tarada

1个月前

阅读时间 4 分钟

微软建议电子邮件用户充分保护与 Office 365 相关的所有域。如果您没有保护您的 onmicrosoft.com 域，威胁者就可以轻易地利用它们进行欺骗攻击。幸运的是，如果您使用的是 onmicrosoft.com 子域，SPF 应该已经启用。但是，仅靠 SPF 无法防止欺骗攻击。为此，您需要使用 DMARC！因此，让我们来了解一下如何为您的 onmicrosoft.com 域实施 DKIM 和 DMARC 以提高电子邮件安全性。

什么是 onmicrosoft.com 或 MOERA 域名？

onmicrosoft.com domains are your Microsoft Online Email Routing Address domain, also known as MOERA for short. Your MOERA domain is formatted as <domain>.onmicrosoft.com and is a default address given to every Microsoft tenant during onboarding. It is typically assigned during the initial setup phase. When you sign up for Microsoft 365, you are required to provide a unique domain name. Microsoft then creates a domain in the format yourcompany.onmicrosoft.com.

MOERA 地址在微软系统内部用于路由电子邮件。例如，即使用户的主电子邮件地址是 john.doe@yourcompany.com，他们仍可能有一个 MOERA 地址，如 john.doe@yourcompany.onmicrosoft.com，该地址在幕后使用。

为什么身份验证对所有域名都很重要？

多年来，微软一直是网络钓鱼攻击的目标！事实上，在 2024 年，微软被称为被冒充最多的全球品牌，其次是谷歌。

在假冒攻击中，知名品牌会被欺骗，从其域名发送恶意的假冒电子邮件。这意味着攻击者可以欺骗您的 onmicrosoft.com 域名，向您的客户发送网络钓鱼电子邮件，客户可能会点击这些电子邮件并上当受骗。您将因客户的负面反馈、信任危机和声誉受损而承受这种攻击带来的后果。

因此，必须确保所有域名的安全！以下是一些可以用来实现这一目标的电子邮件验证协议：

SPF：发件人策略框架（SPFSPF) 允许您授权域的发送源。默认情况下，您的 onmicrosoft.com 域名已启用 SPF。因此，接收服务器会将此域识别为真实的电子邮件发件人。
DKIM：域名密钥识别邮件（DKIMDKIM) 可帮助您在电子邮件中附加数字签名。收件人在验证过程中会对这些签名进行验证。它有助于确定电子邮件在传输过程中是否保持真实和不变。您必须为您的 onmicrosoft.com 域名手动设置此功能。
DMARC：基于域的消息验证报告和一致性（DMARC）。DMARC) 允许您对未经授权的电子邮件采取基于策略的行动。如果您的电子邮件未能通过 SPF 和/或 DKIM 检查，您可以采取相应措施！启用 DMARC 策略，使用 DMARC 拒绝、隔离或发送电子邮件。 DMARC 策略.

为您的 onmicrosoft.com 域名添加 DKIM 的步骤

要为您的 onmicrosoft.com 域名添加 DKIM，请按照以下步骤操作：

1. 登录 Microsoft Defender 门户

2.转到电子邮件与协作 > 策略和规则 > 威胁策略

3.向下滚动到 "规则 "部分，点击电子邮件身份验证设置

4.为您的 onmicrosoft.com 域名选择 DKIM 选项卡并单击启用它

5.点击 "旋转 DKIM 密钥"，在 DNS 记录中添加第二个具有不同选择器的 DKIM 记录

门户为您的域名激活 DKIM 可能需要几分钟到一个小时的时间。DNS 传播完成后，Microsoft 建议为您的 DKIM 配置添加第二个选择器。这一步骤允许您定期轮换 DKIM 密钥，从而提供额外的安全性。

为您的 onmicrosoft.com 域名添加 DMARC 的步骤

1. 登录 Microsoft Office 365 管理中心

2.进入 "设置">"域"，选择您的 onmicrosoft.com 域

3.选定后，点击 DNS 记录 > 添加记录

4.在 " 添加自定义 DNS 记录 " 弹出框中配置以下设置：

类型:TXT

TXT 名称:_dmarc

TXT 值:v=DMARC1; p=reject；

TTL:1 小时

当您选择首选的 DMARC 策略时(p=) 我们建议您从 "无 "DMARC 策略开始，它不提供任何保护，但对监控您的域很有用。然后慢慢过渡到 "隔离"，最后过渡到 "拒绝"，以积极预防网络攻击。

点击 "保存"，等待几分钟到一小时，保存对记录的更改。

验证您的 onmicrosoft.com DKIM 和 DMARC 设置的步骤

保存 DMARC 和 DKIM 设置后，需要在管理中心验证这些设置。

在 Microsoft Office 365 管理中心，转到 "设置">"域"，然后选择您的 onmicrosoft.com 域
点击 DNS 记录，向下滚动到 "自定义记录"。在这里，您应该可以看到新添加的DMARC记录
向下滚动到 "其他 Microsoft Office 365 记录"，在该部分中，您应该可以看到为您的域配置的 2 条新 DKIM 记录

一旦您发现这些记录，就意味着您已经准备就绪！

最后的话

为您的 onmicrosoft.com 域启用 DKIM 和 DMARC 是提高电子邮件安全性的关键一步。它有助于保护您的品牌声誉，防止欺骗和假冒。按照我们的指南中提到的 Microsoft 概述的步骤，您就可以启用必要的协议来保护您的域。

PowerDMARC 提供了一个直观的平台，可帮助您毫不费力地实施和监控这些协议，从而简化了这一过程。使用 PowerDMARC，您可以获得全面的洞察力和实时警报，确保您的域始终安全、合规。现在就使用 PowerDMARC 控制您的电子邮件安全，让您安心地了解您的通信是否受到保护。开始免费试用今天就开始

关于
最新文章

Yunes Tarada

Yunes 是 PowerDMARC 的运营团队负责人，拥有电子邮件验证和安全方面的专业知识。Yunes 是微软认证的 Azure 管理员助理，并获得了 CompTIA A+ 等认证。

Yunes Tarada 的最新帖子(查看全部)

GoDaddy SPF、DKIM 和 DMARC 记录配置指南：步骤- 2024 年 6 月 26 日
如何修复 "DKIM 签名无效 "错误？- 2024 年 5 月 24 日
如何保护您的 onmicrosoft.com 域名免受欺骗攻击？- 2024 年 5 月 22 日