A DMARC beállítása a Feladó címtartomány ellenőrzéséhez a Microsoft 365-ben

A tartományalapú üzenethitelesítés, -jelentéskészítés és -megfelelőség (DMARC) az e-mail-hitelesítés egyik módszere, amely segít ellenőrizni a Microsoft 365-szervezettől küldött leveleket, hogy megakadályozza az üzleti e-mailek sérüléséhez (BEC), zsarolóprogramokhoz és egyéb adathalászati támadásokhoz használt hamis feladókat.

A DMARC tartományhoz való engedélyezéséhez hozzon létre egy TXT rekordot a DNS-ben. Az e-mailek DMARC-érvényesítése a következő elemeket foglalja magában:

• Ellenőrizze, hogy a MAIL FROM és a FROM címben lévő tartományok igazodnak-e egymáshoz: Az SPF és a DKIM nem követeli meg, hogy a következő e-mail-címek tartományai "igazítás" (egyezés) legyenek:

  • A MAIL FROM cím: Az üzenet SMTP-levelezőkiszolgálók közötti továbbításához használt e-mail-cím. Ezt a címet címnek, P1 feladónak vagy borítékküldőnek 5321.MailFrom is nevezik.
  • A Feladó címe: A Feladó fejlécmezőben szereplő e-mail-cím, amely üzenetküldőként jelenik meg az e-mail ügyfelekben. Ezt a címet címnek vagy P2 feladónak is nevezik 5322.From .

  További információ arról, hogy ezek az e-mail-címek hogyan lehetnek különböző tartományokban, és hogyan használhatók hamisításra: Miért van szükség az internetes e-mail-címre hitelesítésre.

  • A DMARC az SPF eredményét használja az alábbi feltételek ellenőrzésére:

    • Az üzenet a MAIL FROM címben (az SPF alapvető követelménye) használt tartomány egy engedélyezett forrásából származik.
    • Az üzenet MAIL FROM és From címtartományai egymáshoz vannak igazítva. Ez az eredmény gyakorlatilag megköveteli, hogy az üzenet érvényes forrásainak a Feladó címtartományban kell lenniük.

  • A DMARC a DKIM eredménye alapján ellenőrzi, hogy az üzenetet aláíró tartomány (a DKIM-Signature fejlécmezőben lévő d = érték az s= választóérték által ellenőrzött) megfelel-e a Feladó cím tartományának.

  Egy üzenet átadja a DMARC-t, ha a leírt SPF vagy DKIM-ellenőrzések egyike vagy mindkettő sikeres. Ha a leírt SPF- vagy DKIM-ellenőrzések egyike sem sikerül, a DMARC sikertelen lesz.

• DMARC-szabályzat: Meghatározza, hogy mi a teendő a DMARC-t nem tartalmazó üzenetekkel (elutasítás, karantén vagy utasítás nélkül).

• DMARC-jelentések: Meghatározza, hogy hová kell küldeni az összesítő jelentéseket (a pozitív és negatív DMARC-eredmények rendszeres összegzését) és a törvényszéki jelentéseket (más néven hibajelentéseket; majdnem azonnali DMARC-hibaeredményeket, hasonlóak a nem kézbesítési jelentésekhez vagy visszapattanó üzenetekhez).

Mielőtt elkezdenénk, az alábbiakat kell tudnia a Microsoft 365 DMARC-ről az e-mail-tartománya alapján:

• Ha csak a Microsoft Online Email Útválasztási cím (MOERA) tartományt használja e-mailekhez (például contoso.onmicrosoft.com): Bár az SPF és a DKIM már konfigurálva van a *.onmicrosoft.com tartományhoz, létre kell hoznia a DMARC TXT rekordot a *.onmicrosoft.com tartományhoz a Microsoft 365 Felügyeleti központ. Útmutatásért tekintse meg ezt a szakaszt a cikk későbbi részében. A *.onmicrosoft.com tartományokkal kapcsolatos további információkért lásd: Miért rendelkezem "onmicrosoft.com" tartománnyal?

• Ha egy vagy több egyéni tartományt használ a levelezéshez (például contoso.com): Ha még nem tette meg, akkor konfigurálnia kell az SPF-t az e-mailekhez használt összes egyéni tartományhoz és altartományhoz. A DKIM-aláírást az egyéni tartomány vagy altartomány használatával is konfigurálnia kell, hogy az üzenet aláírásához használt tartomány igazodjon a Feladó cím tartományához. Útmutatásért tekintse meg a következő cikkeket:

  • A feladóvédelmi keretrendszer beállítása az identitáshamisítás megelőzéséhez
  • A DKIM használata az egyéni tartományból kimenő levelek ellenőrzéséhez

  Ezt követően konfigurálnia kell a DMARC TXT rekordokat az egyéni tartományokhoz az ebben a cikkben leírtak szerint. A következő szempontokat is figyelembe kell vennie:

  • Altartományok:

    • A közvetlen felügyelet alá nem tartozó e-mail-szolgáltatások (például tömeges e-mail-szolgáltatások) esetében azt javasoljuk, hogy a fő e-mail-tartomány (például contoso.com) helyett altartományt (például marketing.contoso.com) használjon. Nem szeretné, hogy az e-mail-szolgáltatásokból küldött levelekkel kapcsolatos problémák befolyásolják a fő levelezési tartomány alkalmazottai által küldött levelek hírnevét. További információ az altartományok hozzáadásáról: Felvehetek egyéni altartományokat vagy több tartományt a Microsoft 365-be?
    • Az SPF és a DKIM függvénytől eltérően a tartomány DMARC TXT rekordja automatikusan lefedi az összes olyan altartományt (beleértve a nem létező altartományokat is), amelyek nem rendelkeznek saját DMARC TXT rekorddal. Más szóval megszakíthatja a DMARC öröklődését egy altartományon, ha létrehoz egy DMARC TXT rekordot az adott altartományban. Azonban minden altartományhoz szükség van egy SPF és egy DKIM rekordra a DMARC-hoz.

  • Ha regisztrált, de nem használt tartományokkal rendelkezik: Ha olyan regisztrált tartományokkal rendelkezik, amelyeket nem használnak e-mailekhez vagy bármihez (más néven parkolt tartományokhoz), konfigurálja a DMARC TXT rekordokat ezekben a tartományokban annak meghatározására, hogy soha ne érkezzenek e-mailek ezekből a tartományokból. Ez az irányelv tartalmazza a *.onmicrosoft.com tartományt, ha nem használja e-mailhez.

• Előfordulhat, hogy a DMARC ellenőrzi a bejövő leveleket: Ha olyan e-mail-szolgáltatást használ, amely módosítja az átvitt üzeneteket a Microsoft 365-be való kézbesítés előtt, megbízható ARC-tömítőként azonosíthatja a szolgáltatást, hogy a módosított üzenetek ne hiúsítsák meg automatikusan a DMARC-ellenőrzéseket. További információért tekintse meg a cikk végén található Következő lépések szakaszt.

A cikk további része ismerteti a DMARC TXT rekordot, amelyet a Microsoft 365-ös tartományokhoz kell létrehoznia, a legjobb módja annak, hogy fokozatosan és biztonságosan állítsa be a DMARC-t az egyéni tartományokhoz a Microsoft 365-ben, és hogy a Microsoft 365 hogyan használja a DMARC-t a bejövő levelekhez.

DMARC TXT rekordok szintaxisa

A DMARC TXT rekordok részletes leírása az RFC 7489-ben található.

A Tartomány DMARC TXT rekordjának alapszintaxisa a Microsoft 365-ben:

Állomásnév: _dmarc
TXT érték: v=DMARC1; <DMARC policy>; <Percentage of DMARC failed mail subject to DMARC policy>; <DMARC reports>

Vagy

Állomásnév: _dmarc
TXT érték: v=DMARC1; p=<reject | quarantine | none>; pct=<0-100>; rua=mailto:<DMARCAggregateReportURI>; ruf=mailto:<DMARCForensicReportURI>

Például:

Állomásnév: _dmarc
TXT érték: v=DMARC1; p=reject; pct=100; rua=mailto:rua@contoso.com; ruf=mailto:ruf@contoso.com

• A gazdagépnév értéke _dmarc kötelező.

• v=DMARC1; A A TXT rekordot DMARC TXT rekordként azonosítja.

• DMARC-szabályzat: Közli a cél levelezőrendszerrel, hogy mit kell tenni a DMARC-t nem tartalmazó üzenetekkel a cikk korábbi részében leírtak szerint:

  • p=reject: Az üzeneteket el kell utasítani. Hogy valójában mi történik az üzenetekkel, az a cél levelezőrendszertől függ, de az üzenetek általában el lesznek vetve.
  • p=quarantine: Az üzeneteket el kell fogadni, de meg kell jelölni. Hogy valójában mi történik az üzenetekkel, az a cél levelezőrendszertől függ. Előfordulhat például, hogy az üzenet levélszemétként van karanténba helyezve, a Levélszemét Email mappába kerül, vagy a Beérkezett üzenetek mappába kerül egy azonosítóval, amely hozzá van adva a Tárgy vagy az üzenet törzséhez.
  • p=none: Nincs javasolt művelet a sikertelen DMARC-üzenetekhez. Hogy mi történik az üzenetekkel, az a cél levelezőrendszer e-mail védelmi funkcióitól függ. Ezt az értéket a DMARC-szabályzat teszteléséhez és finomhangolásához használhatja a cikk későbbi részében leírtak szerint.

  Tipp

  A Microsoft 365 azon tartományaiból érkező kimenő e-maileket, amelyek nem ellenőrzik a cél levelezőszolgáltatás DMARC-ellenőrzését, a rendszer a magas kockázatú kézbesítési készleten keresztül irányítja át a kimenő üzeneteket, ha a tartomány p=reject DMARC-szabályzata vagy .p=quarantine Erre a viselkedésre nincs felülbírálás.

• A DMARC-házirend hatálya alá tartozó sikertelen DMARC-levelek százalékos aránya: Megmutatja a cél levelezőrendszernek, hogy hány sikertelen DMARC-üzenet (százalék) alkalmazza rájuk a DMARC-házirendet. A például azt jelenti, pct=100 hogy a DMARC-t sikertelenül használó összes üzenetre alkalmazza a DMARC-szabályzatot. A DMARC-szabályzat teszteléséhez és finomhangolásához 100-nál kisebb értékeket használhat a cikk későbbi részében leírtak szerint. Ha nem használja a parancsotpct=, az alapértelmezett érték .pct=100

• DMARC-jelentések:

  • DMARC aggregátumjelentés URI-ja: Az rua=mailto: érték azonosítja, hogy hová kell küldeni a DMARC összesítő jelentést. Az Összesítő jelentés a következő tulajdonságokkal rendelkezik:

    • Az összesítő jelentést tartalmazó e-maileket általában naponta egyszer küldi el a rendszer (a jelentés az előző nap DMARC-eredményeit tartalmazza). A Tárgy sor tartalmazza a jelentést küldő céltartományt (Submitter) és a DMARC-eredmények forrástartományát (jelentéstartomány).
    • A DMARC-adatok egy XML-alapú e-mail-mellékletben találhatóak, amely valószínűleg tömörített GZIP-vel rendelkezik. Az XML-séma az RFC 7489 C függelékében van meghatározva. A jelentés a következő információkat tartalmazza:
      • Azon kiszolgálók vagy szolgáltatások IP-címei, amelyek a tartomány használatával küldenek e-maileket.
      • Azt határozza meg, hogy a kiszolgálók vagy szolgáltatások átadják-e a DMARC-hitelesítést, vagy sem.
      • A DMARC által a DMARC által a DMARC-hitelesítést meghiúsuló leveleken végrehajtott műveletek (a DMARC-szabályzat alapján).

    Tipp

    Az összesítési jelentésben szereplő információk nagy mennyiségű és nehezen elemezhető adatok lehetnek. Az adatok értelmezéséhez az alábbi lehetőségeket használhatja a DMARC-jelentéskészítéshez:

    • Automatizálás létrehozása a PowerShell vagy a Microsoft Power BI használatával.
    • Külső szolgáltatás használata. A szolgáltatások listájáért keressen rá a DMARC kifejezésre a Microsoft Intelligent Security Association (MISA) katalógusában a következő helyen: https://www.microsoft.com/misapartnercatalog. A DMARC jelentéskészítési szolgáltatások a DMARC TXT rekordhoz szükséges egyéni értékeket írják le.

  • DMARC forensic report URI(DMARC forensic report URI): Az ruf=mailto: érték azonosítja a DMARC forensic jelentés (más néven A DMARC-hibajelentés) küldésének helyét. A rendszer azonnal létrehozza és elküldi a jelentést egy DMARC-hiba, például egy sikertelen kézbesítésről szóló jelentés (más néven sikertelen kézbesítésről szóló vagy visszapattanó üzenet) után.

  Tipp

  Rendszeresen tekintse át a DMARC összesítő jelentéseit, hogy figyelje, honnan érkeznek a tartományokból érkező e-mailek, és ellenőrizze a nem szándékos DMARC-hibákat (hamis pozitívok).

  Az egyes cél levelezőrendszerek felelősek a DMARC-jelentések önhöz való visszaküldéséért. A DMARC-jelentések mennyisége és változatossága ugyanúgy változik, mint a szervezettől küldött levelek mennyisége és változatossága. Előfordulhat például, hogy a levelek mennyisége az ünnepek alatt alacsonyabb lesz, a szervezeti események során pedig nagyobb lesz a levélkötet. A legjobb, ha meghatározott személyeket jelöl ki a DMARC-jelentések figyeléséhez, valamint egy adott postaláda vagy Microsoft 365-csoport használatát a DMARC-jelentések fogadásához (ne kézbesítse a jelentéseket egy felhasználó postaládájába).

A DMARC-vel kapcsolatos további információkért használja az alábbi forrásanyagokat:

• A DMARC képzési sorozat az M³AAWG-ből (üzenetkezelés, kártevők, mobil visszaélés elleni munkacsoport).
• A dmarciani ellenőrzőlista.
• Információk a DMARC.org.

A Microsoft 365 Felügyeleti központ használatával DMARC TXT rekordokat adhat hozzá *.onmicrosoft.com tartományokhoz a Microsoft 365-ben

1. A Microsoft 365 Felügyeleti központ válassza https://admin.microsoft.comaz Összes>beállítástartomány> megjelenítése lehetőséget. Vagy ha közvetlenül a Tartományok lapra szeretne lépni, használja a következőt https://admin.microsoft.com/Adminportal/Home#/Domains: .

2. A Tartományok lapon jelölje ki a *.onmicrosoft.com tartományt a listából úgy, hogy a tartománynév melletti jelölőnégyzeten kívül bárhová kattint.

3. A megnyíló tartományadatok lapon válassza a DNS-rekordok lapot.

4. A DNS-rekordok lapon válassza a Rekord hozzáadása lehetőséget.

5. A megnyíló Egyéni DNS-rekord hozzáadása úszó panelen konfigurálja a következő beállításokat:

   • Típus: Ellenőrizze, hogy a TXT (Text) (TXT (Szöveg) beállítás van-e kiválasztva.

   • TXT név: Írja be a következőt _dmarc: .

   • TXT érték: Írja be a következőt v=DMARC1; p=reject: .

     Tipp

     A DMARC aggregate és a DMARC Forensic jelentések célhelyének megadásához használja a szintaxist v=DMARC1; p=reject rua=mailto:<emailaddress>; ruf=mailto:<emailaddress>. Használja például a v=DMARC1; p=reject rua=mailto:rua@contoso.onmicrosoft.com; ruf=mailto:ruf@contoso.onmicrosoft.com címet.

     A DMARC jelentéskészítő szállítói a MISA-katalógusban https://www.microsoft.com/misapartnercatalog a DMARC-eredmények megtekintésének és értelmezésének megkönnyítése érdekében.

   • TTL: Ellenőrizze, hogy 1 óra van-e kiválasztva.

   Ha végzett az Egyéni DNS-rekord hozzáadása úszó panelen, válassza a Mentés lehetőséget.

DMARC beállítása aktív egyéni tartományokhoz a Microsoft 365-ben

Javasoljuk, hogy fokozatosan állítsa be a DMARC-t a Microsoft 365-tartományokhoz. A cél egy DMARC-szabályzat elérése p=reject az összes egyéni tartományhoz és altartományhoz, de az út során tesztelnie és ellenőriznie kell, hogy a cél levelezőrendszerek ne utasítják el a jó leveleket a nem szándékos DMARC-hibák miatt.

A DMARC bevezetési tervének az alábbi lépéseket kell követnie. Kezdje olyan tartománnyal vagy altartománnyal, amely alacsony levélkötettel és/vagy kevesebb potenciális e-mail-forrással rendelkezik (kisebb az esélye annak, hogy az ismeretlen forrásokból érkező megbízható levelek blokkolva vannak):

1. Kezdje a tartomány DMARC-szabályzatával p=none , és figyelje a tartomány eredményeit. Például:

   DMARC TXT rekord marketing.contoso.com:

   Állomásnév: _dmarc
   TXT érték: v=DMARC1; p=none; pct=100; rua=mailto:rua@marketing.contoso.com; ruf=mailto:ruf@marketing.contoso.com

   A DMARC aggregate és A DMARC forensic jelentései a DMARC-ellenőrzéseken áteső és sikertelen üzenetek számát és forrásait adják meg. Láthatja, hogy a DMARC mekkora jogszerű e-mail forgalmat bonyolít vagy nem fed le, és elháríthatja a problémákat. Azt is láthatja, hogy hány csalárd üzenetet küldenek, és honnan küldik őket.

2. Növelje a DMARC-szabályzatot a p=quarantine tartományra, és figyelje az eredményeket.

   A hatásainak p=nonemegfelelő idő elteltével növelheti a DMARC-szabályzat p=quarantine értékét a tartományra vonatkozóan. Például:

   DMARC TXT rekord marketing.contoso.com:

   Állomásnév: _dmarc
   TXT érték: v=DMARC1; p=quarantine; pct=100; rua=mailto:rua@marketing.contoso.com; ruf=mailto:ruf@marketing.contoso.com

   Az értéket arra is használhatja pct= , hogy fokozatosan több üzenetet befolyásoljon, és ellenőrizze az eredményeket. Például a következő lépésekben mozoghat:

   • pct=10
   • pct=25
   • pct=50
   • pct=75
   • pct=100

3. Növelje a DMARC-szabályzatot a p=reject tartományra, és figyelje az eredményeket.

   A hatásainak p=quarantinemegfelelő idő elteltével növelheti a DMARC-szabályzat p=reject értékét a tartományra vonatkozóan. Például:

   DMARC TXT rekord marketing.contoso.com:

   Állomásnév: _dmarc
   TXT érték: v=DMARC1; p=reject; pct=100; rua=mailto:rua@marketing.contoso.com; ruf=mailto:ruf@marketing.contoso.com

   Az értéket arra is használhatja pct= , hogy fokozatosan több üzenetet befolyásoljon, és ellenőrizze az eredményeket.

4. Ismételje meg az előző három lépést a növekvő kötet és/vagy összetettség fennmaradó altartományai esetében, és mentse a szülőtartományt az utolsóra.

   Tipp

   A megbízható e-mailek bármilyen jelentős mennyiségben való letiltása elfogadhatatlan a felhasználók számára, de szinte elkerülhetetlen, hogy téves riasztásokat kapjon. Lassan és módszeresen kezelje a DMARC-jelentésekben feltárt problémákat. A DMARC jelentéskészítő szállítói a MISA-katalógusban https://www.microsoft.com/misapartnercatalog a DMARC-eredmények könnyebb megtekintéséhez és értelmezéséhez.

5. A korábban leírtak szerint az altartományok öröklik a szülőtartomány DMARC TXT rekordbeállításait, amelyeket felülbírálhat az altartomány egy különálló DMARC TXT rekordja. Ha befejezte a DMARC beállítását egy tartományban és az összes altartományban, és a DMARC-beállítások gyakorlatilag megegyeznek a szülőtartomány és az összes altartomány esetében, megszüntetheti a DMARC TXT rekordokat az altartományokban, és a szülőtartomány egyetlen DMARC TXT rekordjára támaszkodhat.

DMARC TXT rekordok parkolt tartományokhoz a Microsoft 365-ben

1. Ha olyan tartományokat regisztrált, amelyekről az interneten senki sem számíthat arra, hogy e-mailt kap, hozza létre a következő DMARC TXT rekordot a tartomány tartományregisztrálójában:

   Állomásnév: _dmarc
   TXT érték: v=DMARC1; p=reject;

   • Az pct= érték nem szerepel benne, mert az alapértelmezett érték a pct=100.
   • Ebben rua=mailto: a forgatókönyvben a és ruf=mailto: az értékre valószínűleg nincs szükség, mert a tartomány feladóinak soha nem szabad érvényes leveleket küldenie.

2. Ha nem a *.onmicrosoft.com tartományt használja e-mailek küldésére, a *.onmicrosoft.com tartomány DMARC TXT rekordját is hozzá kell adnia.

DMARC a Microsoft 365-be bejövő levelekhez

• A Microsoft 365-be érkező levelek DMARC-ellenőrzését a Exchange Online Védelmi szolgáltatás (EOP) alábbi funkciói befolyásolják:

  • Azt, hogy a hamis felderítés engedélyezve van-e vagy le van-e tiltva az üzenetet ellenőriző adathalászat elleni szabályzatban. A hamisintelligencia letiltása letiltja az implicit hamisítás elleni védelmet csak az összetett hitelesítési ellenőrzések ellen.
  • A DMARC rekordmegjelenítési házirendje, amikor az üzenetet hamisításként észleli , engedélyezve van vagy le van tiltva az üzenetet ellenőriző adathalászat elleni házirendben, valamint a forrástartomány (p=quarantinevagy p=reject a DMARC TXT rekord) DMARC-szabályzatán alapuló megadott műveletek.

  További információ: Hamis adatok védelme és feladók DMARC-szabályzatai.

  Ha meg szeretné tekinteni ezeknek a beállításoknak az alapértelmezett értékeit az adathalászat elleni házirendekben, tekintse meg a beállításértékeket az EOP adathalászat elleni házirend-beállításainak táblázatában.

• A Microsoft 365 nem küld DMARC törvényszéki jelentéseket (más néven DMARC-hibajelentéseket), még akkor sem, ha a forrástartomány DMARC TXT rekordjában van érvényes ruf=mailto: cím.

• A Microsoft 365 DMARC Aggregate jelentéseket küld minden olyan tartománynak, amely érvényes rua=mailto: címmel rendelkezik a DMARC TXT rekordokban, feltéve, hogy a Microsoft 365 tartomány MX rekordja közvetlenül a Microsoft 365-be mutat.

  Ha az internetről érkező e-maileket egy külső szolgáltatáson vagy eszközön keresztül továbbítják, mielőtt a Microsoft 365-be továbbítanák (az MX rekord a Microsoft 365-től eltérő helyen található), a DMARC összesítő jelentései nem lesznek elküldve. Ez a korlátozás magában foglalja azokat a hibrid vagy önálló EOP-forgatókönyveket, ahol a rendszer a helyszíni környezetbe kézbesíti a leveleket, mielőtt összekötővel irányítja át őket a Microsoft 365-be.

  Tipp

  Ha egy harmadik féltől származó szolgáltatás vagy eszköz a Microsoft 365-be érkező e-mailek előtt ül, az összekötők bővített szűrése (más néven kihagyási lista) helyesen azonosítja az SPF, a DKIM (ha a szolgáltatás módosítja az üzeneteket) internetes üzenetforrását és a DMARC-érvényesítést.

A DMARC hibaelhárítása

Az alábbi ábrával elháríthatja a DMARC-hitelesítési problémákat.

Következő lépések

A Microsoft 365-be érkező e-mailek esetében előfordulhat, hogy megbízható ARC-tömítőket is konfigurálnia kell, ha olyan szolgáltatásokat használ, amelyek módosítják az átvitt üzeneteket a szervezetnek való kézbesítés előtt. További információ: Megbízható ARC-tömítők konfigurálása.