微软最近推出了可信的ARC封条来授权合法的间接电子邮件流,说实话,这是一个很好的步骤。为什么呢,原因如下。
这时,微软值得信赖的ARC签名就会出现,以挽救这一天。通过向外发邮件添加ARC签名,在发件人验证过程中,即使邮件头和内容被一个受信任的中介方修改,也可以很容易地识别和授权。 受信任的中间方.
在此查看微软的文件 。
微软可信的ARC印章适用于哪一类用户?
这个受信任的ARC印章可以由签入以下微软服务的用户部署。
- 交易所在线保护
- 用于Office 365计划1和计划2的Microsoft Defender
- 微软365卫士
什么是直接电子邮件流?
这是指从源域名发送的电子邮件直接到达收件人的电子邮件服务器。除非通信被恶意第三方拦截,否则电子邮件不会被改动,邮件头也会被保留,从而通过DMARC验证检查。
什么是间接邮件流?
这是指从源域发出的电子邮件通过一个或多个中间服务器(如电子邮件转发)。这些中间人可以通过对标题信息和正文的修改来改变邮件,使邮件无法通过DMARC。
为什么信任的ARC印章是必要的?
间接邮件流中的认证失败
企业可能经常通过第三方将他们的电子邮件营销活动外包出去,通过中介服务器将信息从所有者的域名传送到收件人那里。这主要是在电子邮件转发或使用邮件列表的过程中引人注目的。
在这个过程中,这些邮件的头信息会被改变,因为它占用了各自中介的头信息。这导致了Mail from: 和 return-path头信息的不一致,从而使SPF失效。中介机构也可以通过添加页脚来改变邮件正文中的内容,这将进一步破坏DKIM。
虽然后一种情况很少发生,但它确实发生了。当SPF和DKIM对邮件都失效时,DMARC就不可避免地失效了,邮件(尽管是合法的)被认为是欺诈性的。如果发件人是在p=reject上,这些合法的邮件就永远不会被送达了
通过微软的受信任的ARC印章指定受信任的中介机构
登录到Microsoft 365防御者门户的管理员可以在管理门户上添加受信任的中介机构。在发件人验证期间,微软将验证 DMARC ARC签名,并帮助它们通过认证检查和安全交付。
这是关于ARC如何在中间人进行改动之前保留信息的原始认证信息,这一点可以由接收服务器验证。
在使用Trusted ARC Seal时需要记住的重要事项
ARC封条需要由管理员信任的中介机构进行配置
如果你作为域名管理员有一个你想通过其发送电子邮件的受信任的中间商名单,你今天需要与他们取得联系与他们进行公开讨论,要求他们为各自的中介域名配置ARC。
将这份值得信赖的ARC密封剂清单上传到你的辩护人门户网站上
你的下一步应该是登录到你的微软卫士门户,并上传受信任的ARC封存者名单。在这里,你可以添加 域名这些受信任的中介机构的域名,这些中介机构已经根据你的请求启用了ARC。你可以通过进入你的 电子邮件认证设置页面并点击 "添加 "按钮。
或者说。
你也可以通过Exchange Online Powershell运行微软提到的以下Powershell脚本,添加你的受信任的ARC封存者列表。
Set-ArcConfig -Identity default -ArcTrustedSealers {followed by the domain names of your intermediaries separated by commas}。
如何找到您信任的ARC封测器的域名
要在你的Outlook邮箱上找到你信任的ARC发件人的域名,请遵循以下步骤。
- 通过双击电子邮件来打开它
- 转到 文件 > 属性
- 会出现属性窗口。你可以在互联网标题框中查看你的邮件标题信息
- 在这里,你会发现电子邮件的ARC签名中的 "d="标签中提到的域名。这是你信任的ARC密封器的域名。
你也可以使用你的电子邮件的标题信息来验证你信任的ARC印章在你的ARC认证结果中寻找 "通过"。
ARC是DMARC的替代品吗?
长话短说:不,它不是。为了达到最佳效果,ARC应该与DMARC、SPF和DKIM一起使用。ARC是一种额外的安全措施,可以帮助你防止你的合法邮件在通过中间服务器对邮件头和内容进行修改时无法通过认证。
要开始利用微软的Trusted ARC印章,今天就在你的组织中配置DMARC。采取免费的 DMARC试用试用。
相关文章
- SPF 软失效与硬失效:有什么区别?- 2024 年 4 月 26 日
- 美国联邦贸易委员会报告称电子邮件是冒充欺诈的热门媒介- 2024 年 4 月 16 日
- SubdoMailing 和子域名网络钓鱼的兴起- 2024 年 3 月 18 日