Konfigurowanie usługi DMARC w celu zweryfikowania domeny Z adresu dla nadawców w usłudze Microsoft 365

Uwierzytelnianie komunikatów oparte na domenie, raportowanie i zgodność (DMARC) to metoda uwierzytelniania poczty e-mail , która pomaga zweryfikować pocztę wysłaną z organizacji platformy Microsoft 365, aby zapobiec fałszowaniu nadawców używanych w przypadku naruszenia zabezpieczeń poczty e-mail (BEC), oprogramowania wymuszającego okup i innych ataków phishingowych.

Aby włączyć funkcję DMARC dla domeny, należy utworzyć rekord TXT w systemie DNS. Weryfikacja wiadomości e-mail przez DMARC obejmuje następujące elementy:

• Sprawdź, czy domeny w adresach MAIL FROM i FROM są zgodne: SPF i DKIM nie wymagają domen w następujących adresach e-mail do "wyrównania" (dopasowania):

  • Adres MAIL FROM: adres e-mail używany podczas przesyłania wiadomości między serwerami poczty e-mail SMTP. Ten adres jest również znany jako 5321.MailFrom adres, nadawca P1 lub nadawca koperty.
  • Adres od: adres e-mail w polu Nagłówek od , który jest wyświetlany jako nadawca wiadomości w klientach poczty e-mail. Ten adres jest również znany jako adres lub nadawca 5322.From P2.

  Aby uzyskać więcej informacji o tym, jak te adresy e-mail mogą znajdować się w różnych domenach i służyć do fałszowania, zobacz Dlaczego internetowa poczta e-mail wymaga uwierzytelniania.

  • DMARC używa wyniku Z SPF do zweryfikowania obu następujących warunków:

    • Wiadomość pochodzi z autoryzowanego źródła dla domeny używanej w adresie MAIL FROM (podstawowe wymaganie SPF).
    • Domeny w adresach MAIL FROM i From w wiadomości są wyrównane. Ten wynik wymaga, aby prawidłowe źródła komunikatu były w domenie Z adresu.

  • Funkcja DMARC używa wyniku z modułu DKIM do sprawdzenia, czy domena, która podpisała komunikat (wartość d= w polu nagłówka DKIM-Signature zweryfikowana przez wartość selektora s= ) jest zgodna z domeną w polu Adres od.

  Komunikat przekazuje DMARC, jeśli co najmniej jeden z opisanych testów SPF lub DKIM przejdzie pomyślnie. Komunikat kończy się niepowodzeniem DMARC, jeśli oba opisane testy SPF lub DKIM nie powiedzie się.

• Zasady DMARC: określa, co zrobić z komunikatami, które nie działają DMARC (odrzucanie, kwarantanna lub brak instrukcji).

• Raporty DMARC: określa, gdzie wysyłać raporty agregujące (okresowe podsumowanie pozytywnych i negatywnych wyników DMARC) i raporty kryminalistyczne (znane również jako raporty o błędach; niemal natychmiastowe wyniki niepowodzenia DMARC podobne do raportu o braku dostarczenia lub komunikatu odbicia).

Zanim zaczniemy, oto, co musisz wiedzieć o programie DMARC w usłudze Microsoft 365 w oparciu o domenę poczty e-mail:

• Jeśli używasz tylko domeny microsoft online Email routingu (MOERA) dla poczty e-mail (na przykład contoso.onmicrosoft.com): Mimo że SPF i DKIM są już skonfigurowane dla domeny *.onmicrosoft.com, musisz utworzyć rekord DMARC TXT dla domeny *.onmicrosoft.com w Centrum administracyjne platformy Microsoft 365. Aby uzyskać instrukcje, zobacz tę sekcję w dalszej części tego artykułu. Aby uzyskać więcej informacji na temat domen *.onmicrosoft.com, zobacz Dlaczego mam domenę "onmicrosoft.com"?

• Jeśli używasz co najmniej jednej domeny niestandardowej do obsługi poczty e-mail (na przykład contoso.com): Jeśli jeszcze tego nie zrobiono, musisz skonfigurować filtr SPF dla wszystkich domen niestandardowych i domen podrzędnych używanych na potrzeby poczty e-mail. Należy również skonfigurować podpisywanie DKIM przy użyciu domeny niestandardowej lub poddomeny, aby domena używana do podpisywania komunikatu była zgodna z domeną w polu Adres od. Aby uzyskać instrukcje, zobacz następujące artykuły:

  • Konfigurowanie platformy SPF w celu zapobiegania spoofingowi
  • Weryfikowanie poczty wychodzącej z domeny niestandardowej przy użyciu modułu DKIM

  Następnie należy również skonfigurować rekordy TXT DMARC dla domen niestandardowych zgodnie z opisem w tym artykule. Należy również wziąć pod uwagę następujące kwestie:

  • Poddomeny:

    • W przypadku usług poczty e-mail, które nie są pod bezpośrednią kontrolą (na przykład zbiorczych usług poczty e-mail), zalecamy użycie poddomeny (na przykład marketing.contoso.com) zamiast głównej domeny poczty e-mail (na przykład contoso.com). Nie chcesz, aby problemy z pocztą wysłaną z tych usług poczty e-mail miały wpływ na reputację poczty wysyłanej przez pracowników w głównej domenie poczty e-mail. Aby uzyskać więcej informacji na temat dodawania domen podrzędnych, zobacz Czy mogę dodać niestandardowe domeny podrzędne lub wiele domen do platformy Microsoft 365?
    • W przeciwieństwie do SPF i DKIM rekord TXT DMARC dla domeny automatycznie obejmuje wszystkie poddomeny (w tym nieistniejące poddomeny), które nie mają własnego rekordu DMARC TXT. Innymi słowy, można zakłócić dziedziczenie DMARC w poddomenzie, tworząc rekord DMARC TXT w tej poddomenzie. Jednak każda poddomena wymaga rekordu SPF i DKIM dla DMARC.

  • Jeśli jesteś właścicielem zarejestrowanych, ale nieużywanych domen: jeśli jesteś właścicielem zarejestrowanych domen, które nie są w ogóle używane do obsługi poczty e-mail lub cokolwiek (nazywanego również parkowanymi domenami), skonfiguruj rekordy DMARC TXT w tych domenach, aby określić, że żadna wiadomość e-mail nigdy nie powinna pochodzić z tych domen. Ta dyrektywa obejmuje domenę *.onmicrosoft.com, jeśli nie używasz jej na potrzeby poczty e-mail.

• Kontrola DMARC pod kątem poczty przychodzącej może wymagać pomocy: jeśli używasz usługi poczty e-mail, która modyfikuje wiadomości przesyłane przed dostarczeniem do platformy Microsoft 365, możesz zidentyfikować usługę jako zaufany uszczelniacz ARC, aby zmodyfikowane wiadomości nie kończyły się automatycznie niepowodzeniem kontroli DMARC. Aby uzyskać więcej informacji, zobacz sekcję Następne kroki na końcu tego artykułu.

W pozostałej części tego artykułu opisano rekord DMARC TXT, który należy utworzyć dla domen na platformie Microsoft 365, co jest najlepszym sposobem stopniowego i bezpiecznego konfigurowania usługi DMARC dla domen niestandardowych na platformie Microsoft 365 oraz sposobu, w jaki platforma Microsoft 365 używa usługi DMARC w przypadku poczty przychodzącej .

Składnia rekordów TXT DMARC

Rekordy DMARC TXT są wyczerpująco opisane w dokumencie RFC 7489.

Podstawowa składnia rekordu DMARC TXT dla domeny w usłudze Microsoft 365 to:

Nazwa hosta: _dmarc
Wartość TXT: v=DMARC1; <DMARC policy>; <Percentage of DMARC failed mail subject to DMARC policy>; <DMARC reports>

Lub

Nazwa hosta: _dmarc
Wartość TXT: v=DMARC1; p=<reject | quarantine | none>; pct=<0-100>; rua=mailto:<DMARCAggregateReportURI>; ruf=mailto:<DMARCForensicReportURI>

Przykład:

Nazwa hosta: _dmarc
Wartość TXT: v=DMARC1; p=reject; pct=100; rua=mailto:rua@contoso.com; ruf=mailto:ruf@contoso.com

• Wartość _dmarc nazwy hosta jest wymagana.

• v=DMARC1; określa rekord TXT jako rekord TXT DMARC.

• Zasady DMARC: informuje docelowy system poczty e-mail, co zrobić z komunikatami, które nie spełniają funkcji DMARC, zgodnie z opisem we wcześniejszej części tego artykułu:

  • p=reject: Komunikaty powinny zostać odrzucone. To, co faktycznie dzieje się z wiadomością, zależy od docelowego systemu poczty e-mail, ale wiadomości są zwykle odrzucane.
  • p=quarantine: Komunikaty powinny być akceptowane, ale oznaczone. To, co faktycznie dzieje się z komunikatem, zależy od docelowego systemu poczty e-mail. Na przykład wiadomość może zostać poddana kwarantannie jako spam, dostarczona do folderu Junk Email lub dostarczona do skrzynki odbiorczej z identyfikatorem dodanym do treści tematu lub wiadomości.
  • p=none: Brak sugerowanej akcji dla komunikatów, które nie spełniają funkcji DMARC. To, co dzieje się z wiadomością, zależy od funkcji ochrony poczty e-mail w docelowym systemie poczty e-mail. Ta wartość jest używana do testowania i dostrajania zasad DMARC zgodnie z opisem w dalszej części tego artykułu.

  Porada

  Poczta wychodząca z domen w usłudze Microsoft 365, które nie sprawdzają DMARC przez docelową usługę poczty e-mail, jest kierowana przez pulę dostarczania wysokiego ryzyka dla komunikatów wychodzących , jeśli zasady DMARC dla domeny to p=reject lub p=quarantine. Nie ma przesłonięcia dla tego zachowania.

• Procent nieudanych wiadomości e-mail DMARC podlegających zasadom DMARC: informuje docelowy system poczty e-mail, ile komunikatów zakończonych niepowodzeniem DMARC (procent) otrzymuje zastosowane do nich zasady DMARC. Na przykład oznacza, że wszystkie komunikaty, pct=100 które nie DMARC uzyskać zasady DMARC stosowane do nich. Wartości mniejsze niż 100 są używane do testowania i dostrajania zasad DMARC zgodnie z opisem w dalszej części tego artykułu. Jeśli nie używasz polecenia pct=, wartość domyślna to pct=100.

• Raporty DMARC:

  • Identyfikator URI raportu agregacji DMARC: rua=mailto: wartość określa, gdzie wysłać raport agregacji DMARC. Raport Agregacja ma następujące właściwości:

    • Wiadomości e-mail zawierające raport Agregacja są zwykle wysyłane raz dziennie (raport zawiera wyniki DMARC z poprzedniego dnia). Wiersz tematu zawiera domenę docelową, która wysłała raport (przesyłający) i domenę źródłową wyników DMARC (domena raportu).
    • Dane DMARC są w załączniku wiadomości e-mail XML, który prawdopodobnie jest skompresowany przez protokół GZIP. Schemat XML jest zdefiniowany w dodatku C RFC 7489. Raport zawiera następujące informacje:
      • Adresy IP serwerów lub usług, które wysyłają pocztę przy użyciu domeny.
      • Czy serwery lub usługi przechodzą lub nie uwierzytelniania DMARC.
      • Akcje, które DMARC wykonuje na pocztę, która kończy się niepowodzeniem uwierzytelniania DMARC (na podstawie zasad DMARC).

    Porada

    Informacje zawarte w raporcie agregacji mogą być obszerne i trudne do przeanalizowania. Aby ułatwić korzystanie z danych, możesz użyć następujących opcji raportowania DMARC:

    • Tworzenie automatyzacji przy użyciu programu PowerShell lub usługi Microsoft Power BI.
    • Użyj usługi zewnętrznej. Aby uzyskać listę usług, wyszukaj pozycję DMARC w katalogu Microsoft Intelligent Security Association (MISA) pod adresem https://www.microsoft.com/misapartnercatalog. Usługi raportowania DMARC opisują wszelkie wartości niestandardowe wymagane w rekordzie DMARC TXT.

  • Identyfikator URI raportu kryminalistycznego DMARC: ruf=mailto: wartość określa, gdzie wysłać raport kryminalistyczny DMARC (znany również jako raport o niepowodzeniu DMARC). Raport jest generowany i wysyłany natychmiast po niepowodzeniu DMARC, takim jak raport o braku dostarczania (znany również jako komunikat NDR lub bounce).

  Porada

  Należy regularnie przeglądać raporty agregujące DMARC, aby monitorować, skąd pochodzą wiadomości e-mail z domen, oraz sprawdzać, czy nie występują niezamierzone błędy DMARC (wyniki fałszywie dodatnie).

  Poszczególne docelowe systemy poczty e-mail są odpowiedzialne za wysyłanie raportów DMARC z powrotem do Ciebie. Ilość i różnorodność raportów DMARC różni się w taki sam sposób, jak ilość i różnorodność poczty wysyłanej z organizacji. Na przykład spodziewaj się mniejszej ilości wiadomości e-mail w okresie świątecznym i większej liczby wiadomości e-mail podczas zdarzeń organizacyjnych. Najlepiej wyznaczyć określone osoby do monitorowania raportów DMARC i użyć określonej skrzynki pocztowej lub grupy platformy Microsoft 365 do odbierania raportów DMARC (nie dostarczaj raportów do skrzynki pocztowej użytkownika).

Aby uzyskać więcej informacji na temat usługi DMARC, użyj następujących zasobów:

• Seria szkoleniowa DMARC firmy M³AAWG (obsługa komunikatów, złośliwe oprogramowanie, mobilna grupa robocza ds. ochrony przed nadużyciami).
• Lista kontrolna w dmarcian.
• Informacje w DMARC.org.

Użyj Centrum administracyjne platformy Microsoft 365, aby dodać rekordy TXT DMARC dla domen *.onmicrosoft.com na platformie Microsoft 365

1. W Centrum administracyjne platformy Microsoft 365 pod adresem https://admin.microsoft.comwybierz pozycję Pokaż wszystkie>domeny ustawień>. Aby przejść bezpośrednio do strony Domeny , użyj polecenia https://admin.microsoft.com/Adminportal/Home#/Domains.

2. Na stronie Domeny wybierz domenę *.onmicrosoft.com z listy, klikając dowolne miejsce w wierszu innym niż pole wyboru obok nazwy domeny.

3. Na stronie szczegółów domeny, która zostanie otwarta, wybierz kartę Rekordy DNS .

4. Na karcie Rekordy DNS wybierz pozycję Dodaj rekord.

5. W wyświetlonym menu wysuwnym Dodawanie niestandardowego rekordu DNS skonfiguruj następujące ustawienia:

   • Typ: Sprawdź, czy wybrano opcję TXT (Tekst ).

   • Nazwa TXT: wprowadź _dmarc.

   • Wartość TXT: wprowadź v=DMARC1; p=rejectwartość .

     Porada

     Aby określić miejsca docelowe raportów DMARC Aggregate i DMARC Forensic, użyj składni v=DMARC1; p=reject rua=mailto:<emailaddress>; ruf=mailto:<emailaddress>. Na przykład v=DMARC1; p=reject rua=mailto:rua@contoso.onmicrosoft.com; ruf=mailto:ruf@contoso.onmicrosoft.com.

     Dostawcy raportowania DMARC w katalogu MISA ułatwiają https://www.microsoft.com/misapartnercatalog wyświetlanie i interpretowanie wyników DMARC.

   • Czas wygaśnięcia: sprawdź, czy wybrano 1 godzinę .

   Po zakończeniu w menu wysuwnym Dodawanie niestandardowego rekordu DNS wybierz pozycję Zapisz.

Konfigurowanie usługi DMARC dla aktywnych domen niestandardowych na platformie Microsoft 365

Zalecamy stopniowe podejście do konfigurowania usługi DMARC dla domen platformy Microsoft 365. Celem jest przejście do p=reject zasad DMARC dla wszystkich domen niestandardowych i domen podrzędnych, ale należy przetestować i zweryfikować po drodze, aby zapobiec odrzuceniu dobrej poczty przez docelowe systemy poczty e-mail z powodu niezamierzonych błędów DMARC.

Plan wdrożenia DMARC powinien wykonać następujące kroki. Zacznij od domeny lub poddomeny z małą ilością wiadomości e-mail i/lub mniejszą liczbą potencjalnych źródeł wiadomości e-mail (mniejsze prawdopodobieństwo zablokowania legalnej poczty z nieznanych źródeł):

1. Zacznij od zasad DMARC i p=none monitoruj wyniki dla domeny. Przykład:

   Rekord TXT DMARC dla marketing.contoso.com:

   Nazwa hosta: _dmarc
   Wartość TXT: v=DMARC1; p=none; pct=100; rua=mailto:rua@marketing.contoso.com; ruf=mailto:ruf@marketing.contoso.com

   Raporty DMARC Aggregate i DMARC Forensic podają liczby i źródła komunikatów, które przechodzą i nie sprawdzają DMARC. Możesz sprawdzić, jak duży ruch poczty jest lub nie jest objęty usługą DMARC, i rozwiązać wszelkie problemy. Możesz również zobaczyć, ile fałszywych wiadomości jest wysyłanych i skąd są wysyłane.

2. Zwiększ zasady DMARC, aby monitorować p=quarantine wyniki dla domeny.

   Po upływie wystarczającego czasu monitorowania efektów p=noneprogramu można zwiększyć wartość zasad DMARC dla p=quarantine domeny. Przykład:

   Rekord TXT DMARC dla marketing.contoso.com:

   Nazwa hosta: _dmarc
   Wartość TXT: v=DMARC1; p=quarantine; pct=100; rua=mailto:rua@marketing.contoso.com; ruf=mailto:ruf@marketing.contoso.com

   Możesz również użyć wartości, pct= aby stopniowo wpływać na więcej komunikatów i weryfikować wyniki. Na przykład można przenieść w następujących przyrostach:

   • pct=10
   • pct=25
   • pct=50
   • pct=75
   • pct=100

3. Zwiększ zasady DMARC, aby monitorować p=reject wyniki dla domeny.

   Po upływie wystarczającego czasu monitorowania efektów p=quarantineprogramu można zwiększyć wartość zasad DMARC dla p=reject domeny. Przykład:

   Rekord TXT DMARC dla marketing.contoso.com:

   Nazwa hosta: _dmarc
   Wartość TXT: v=DMARC1; p=reject; pct=100; rua=mailto:rua@marketing.contoso.com; ruf=mailto:ruf@marketing.contoso.com

   Możesz również użyć wartości, pct= aby stopniowo wpływać na więcej komunikatów i weryfikować wyniki.

4. Powtórz poprzednie trzy kroki dla pozostałych poddomen zwiększających się woluminów i/lub złożoności, zapisując domenę nadrzędną jako ostatnią.

   Porada

   Blokowanie legalnej poczty e-mail w dowolnej znaczącej ilości jest nie do przyjęcia dla użytkowników, ale niemal nieuniknione jest, że otrzymasz wyniki fałszywie dodatnie. Idź powoli i metodycznie radzić sobie z problemami, które są ujawniane w raportowaniu DMARC. Dostawcy raportowania DMARC w katalogu https://www.microsoft.com/misapartnercatalog MISA ułatwiają wyświetlanie i interpretowanie wyników DMARC.

5. Zgodnie z wcześniejszym opisem domeny podrzędne dziedziczą ustawienia rekordu TXT DMARC domeny nadrzędnej, które mogą zostać zastąpione przez oddzielny rekord DMARC TXT w poddomenzie. Po zakończeniu konfigurowania DMARC w domenie i we wszystkich poddomenach, a ustawienia DMARC są faktycznie identyczne dla domeny nadrzędnej i wszystkich domen podrzędnych, można wyeliminować rekordy TXT DMARC w domenie podrzędnej i polegać na pojedynczym rekordzie DMARC TXT w domenie nadrzędnej.

Rekordy TXT DMARC dla zaparkowanych domen na platformie Microsoft 365

1. Jeśli masz zarejestrowane domeny, od których nikt w Internecie nie powinien oczekiwać otrzymywania wiadomości e-mail, utwórz następujący rekord DMARC TXT u rejestratora domen dla domeny:

   Nazwa hosta: _dmarc
   Wartość TXT: v=DMARC1; p=reject;

   • Wartość pct= nie jest uwzględniana, ponieważ wartość domyślna to pct=100.
   • Wartości i ruf=mailto: prawdopodobnie nie są potrzebne w tym scenariuszu, ponieważ żadna rua=mailto: prawidłowa poczta nigdy nie powinna pochodzić od nadawców w domenie.

2. Jeśli nie używasz domeny *.onmicrosoft.com do wysyłania wiadomości e-mail, musisz również dodać rekord DMARC TXT dla domeny *.onmicrosoft.com.

DMARC dla poczty przychodzącej na platformę Microsoft 365

• Na kontrole DMARC poczty przychodzącej na platformę Microsoft 365 mają wpływ następujące funkcje w Exchange Online Protection (EOP):

  • Określa, czy w zasadach ochrony przed wyłudzaniem informacji włączono lub wyłączono funkcję analizy fałszowania, która sprawdzała komunikat. Wyłączenie analizy fałszowania wyłącza niejawną ochronę przed fałszowaniem tylko z testów uwierzytelniania złożonego .
  • Czy zasady rekordu Honor DMARC, gdy komunikat zostanie wykryty jako ustawienie fałszowania , są włączone lub wyłączone w zasadach ochrony przed wyłudzaniem informacji, które sprawdzały komunikat, oraz określonych akcji opartych na zasadach DMARC domeny źródłowej (p=quarantinelub p=reject w rekordzie DMARC TXT).

  Aby uzyskać pełne informacje, zobacz Temat Ochrona przed fałszowaniem i zasady DMARC nadawcy.

  Aby wyświetlić wartości domyślne dla tych ustawień w zasadach ochrony przed wyłudzaniem informacji, sprawdź wartości ustawień w tabeli w ustawieniach zasad ochrony przed wyłudzaniem informacji na potrzeby EOP.

• Platforma Microsoft 365 nie wysyła raportów DMARC Forensic (znanych również jako raporty błędów DMARC), nawet jeśli w rekordzie DMARC TXT domeny źródłowej istnieje prawidłowy ruf=mailto: adres.

• Platforma Microsoft 365 wysyła raporty agregujące DMARC do wszystkich domen z prawidłowym rua=mailto: adresem w rekordach TXT DMARC, o ile rekord MX dla domeny platformy Microsoft 365 wskazuje bezpośrednio na platformę Microsoft 365.

  Jeśli poczta z Internetu jest kierowana za pośrednictwem usługi lub urządzenia innej firmy przed dostarczeniem do platformy Microsoft 365 (punkty rekordu MX w innym miejscu niż Microsoft 365), raporty agregujące DMARC nie są wysyłane. To ograniczenie obejmuje hybrydowe lub autonomiczne scenariusze EOP, w których poczta jest dostarczana do środowiska lokalnego przed przekierowaniem do platformy Microsoft 365 przy użyciu łącznika.

  Porada

  Gdy usługa lub urządzenie innej firmy znajduje się przed pocztą przepływającą do platformy Microsoft 365, rozszerzone filtrowanie łączników (znane również jako pomijanie listy) poprawnie identyfikuje źródło wiadomości internetowych dla SPF, DKIM (jeśli usługa modyfikuje komunikaty) i weryfikację DMARC.

Rozwiązywanie problemów z usługą DMARC

Poniższa grafika ułatwia rozwiązywanie problemów z uwierzytelnianiem DMARC.

Następne kroki

W przypadku poczty przychodzącej na platformę Microsoft 365 może być również konieczne skonfigurowanie zaufanych uszczelniaczy ARC, jeśli używasz usług modyfikujących wiadomości przesyłane przed dostarczeniem do organizacji. Aby uzyskać więcej informacji, zobacz Konfigurowanie zaufanych uszczelniaczy ARC.