微软最近推出了可信的ARC封条来授权合法的间接电子邮件流，说实话，这是一个很好的步骤。为什么呢，原因如下。

这时，微软值得信赖的ARC签名就会出现，以挽救这一天。通过向外发邮件添加ARC签名，在发件人验证过程中，即使邮件头和内容被一个受信任的中介方修改，也可以很容易地识别和授权。 受信任的中间方.

点击此处查看微软文件。

主要收获

微软可信的ARC印章适用于哪一类用户？

这个受信任的ARC印章可以由签入以下微软服务的用户部署。

利用 PowerDMARC 简化安全性！

这是指从源域名发送的电子邮件直接到达收件人的电子邮件服务器。除非通信被恶意第三方拦截，否则电子邮件不会被改动，邮件头也会被保留，从而通过 DMARC 验证检查。

这是指从源域发出的电子邮件通过一个或多个中间服务器（如电子邮件转发）。这些中间人可以通过对标题信息和正文的修改来改变邮件，使邮件无法通过DMARC。

企业可能经常通过第三方将他们的电子邮件营销活动外包出去，通过中介服务器将信息从所有者的域名传送到收件人那里。这主要是在电子邮件转发或使用邮件列表的过程中引人注目的。

在这个过程中，这些邮件的头信息会被改变，因为它占用了各自中介的头信息。这导致了Mail from: 和 return-path头信息的不一致，从而使SPF失效。中介机构也可以通过添加页脚来改变邮件正文中的内容，这将进一步破坏DKIM。

虽然后一种情况很少发生，但确实存在。当邮件的SPF 和 DKIM均失效时，DMARC 不可避免地会失效，邮件（尽管是合法的）会被视为欺诈邮件。如果发件人使用的是 p=reject 的DMARC 策略，这些合法邮件将永远无法送达！

登录到Microsoft 365防御者门户的管理员可以在管理门户上添加受信任的中介机构。在发件人验证期间，微软将验证 DMARC ARC签名，并帮助它们通过认证检查和安全交付。

这是关于ARC如何在中间人进行改动之前保留信息的原始认证信息，这一点可以由接收服务器验证。

如果你作为域名管理员有一个你想通过其发送电子邮件的受信任的中间商名单，你今天需要与他们取得联系与他们进行公开讨论，要求他们为各自的中介域名配置ARC。

你的下一步应该是登录到你的微软卫士门户，并上传受信任的ARC封存者名单。在这里，你可以添加域名这些受信任的中介机构的域名，这些中介机构已经根据你的请求启用了ARC。你可以通过进入你的 电子邮件认证设置页面并点击 "添加 "按钮。

或者说。

你也可以通过Exchange Online Powershell运行微软提到的以下Powershell脚本，添加你的受信任的ARC封存者列表。

Set-ArcConfig -Identity default -ArcTrustedSealers {followed by the domain names of your intermediaries separated by commas}。

要在你的Outlook邮箱上找到你信任的ARC发件人的域名，请遵循以下步骤。

你也可以使用你的电子邮件的标题信息来验证你信任的ARC印章在你的ARC认证结果中寻找 "通过"。

长话短说：不，它不是。为了达到最佳效果，ARC应该与DMARC、SPF和DKIM一起使用。ARC是一种额外的安全措施，可以帮助你防止你的合法邮件在通过中间服务器对邮件头和内容进行修改时无法通过认证。

要开始利用 Microsoft 的 Trusted ARC 印章，请立即在您的组织中配置 DMARC。免费试用试用使用 PowerDMARC。

域名和电子邮件安全专家PowerDMARC

Yunes 是 PowerDMARC 的运营团队负责人，拥有电子邮件验证和安全方面的专业知识。Yunes 是微软认证的 Azure 管理员助理，并获得了 CompTIA A+ 等认证。

Yunes Tarada 的最新帖子(查看全部)