Как настроить DMARC для Office 365: Пошаговое руководство
Время чтения: 10 мин
Microsoft поддерживает и поощряет DMARC для пользователей Office 365, что позволяет им принимать протоколы аутентификации электронной почты единообразно во всех зарегистрированных доменах. В этом блоге мы объясним процессы настройки DMARC для Office 365 для проверки всех сообщений электронной почты Office 365:
- Адреса маршрутизации электронной почты в режиме онлайн с помощью Microsoft
- Добавление пользовательских доменов в центре администрирования
- Припаркованные или неактивные, но зарегистрированные домены
Во втором квартале 2023 года Microsoft была признана самым выдаваемым брендом в фишинговых мошенничествах по данным различных источников. Такие протоколы, как DMARC, необходимы для усиления защитного механизма.
Давайте узнаем, как DMARC в Office 365 помогает предотвратить сложные почтовые угрозы.
Как настроить DMARC для Office 365
DMARC или Domain-based Message Authentication, Reporting, and Conformance существует в виде TXT-записи в DNS вашего домена. DMARC выступает в качестве основной защиты от угроз, связанных с электронной почтой, исходящих из вашего собственного домена. Прежде чем настраивать DMARC, ваш домен должен содержать записи SPF или DKIM, а еще лучше - обе записи для усиленной защиты.
Если вы используете пользовательский домен, ниже приведены шаги по созданию DMARC-записи. Обратите внимание, что для настройки DMARC не обязательно настраивать SPF и DKIM. Однако рекомендуется добавить дополнительный уровень защиты.
Что нужно учесть, прежде чем приступить к работе
Согласно Документы Microsoft:
- Если вы используете MOERA (Microsoft Online Email Routing Address), который должен заканчиваться на onmicrosoft.com, SPF и DKIM уже будут настроены для него. Однако вам нужно будет создать записи DMARC с помощью центра администрирования Microsoft 365.
- Если вы используете пользовательский домен (например, example.com), вам нужно вручную настроить SPF, DKIM и DMARC для вашего домена.
- Для припаркованных доменов (неактивных доменов) Microsoft рекомендует явно указывать, что с них не должны отправляться электронные письма. В противном случае эти домены могут быть использованы для поддельных и фишинговых атак.
- Для пересылаемых или измененных сообщений, находящихся в пути, необходимо настроить ARC. Это поможет сохранить оригинальные заголовки аутентификации электронной почты, несмотря на изменения, для точной аутентификации.
Шаг 1: Определите действительные источники электронной почты для вашего домена
Это IP-адреса источников (в том числе третьих лиц), которым вы хотите разрешить отправлять электронные письма от вашего имени.
Шаг 2: Настройте SPF для вашего домена
Теперь вам нужно настроить SPF для проверки отправителя. Для этого создайте запись SPF TXT, которая будет включать все ваши действительные источники отправки, включая внешних поставщиков электронной почты. Вы можете бесплатно зарегистрироваться на PowerDMARC и использовать наш инструмент генератора SPF-записей для создания записи.
Шаг 3: Настройте DKIM для Office 365 на вашем домене
Чтобы включить DMARC Office 365, вам нужно настроить SPF или DKIM для вашего домена. Мы рекомендуем настроить DKIM и DMARC в Office 365 для дополнительного уровня безопасности электронной почты вашего домена. Вы можете бесплатно зарегистрироваться на PowerDMARC и использовать наш инструмент генератора DKIM-записей для создания записи.
Шаг 4: Создайте запись DMARC TXT
Вы можете использовать бесплатную программу PowerDMARC генератор DMARC-записей для этого шага. Вы мгновенно сгенерируете запись с правильным синтаксисом для публикации в DNS и настройки DMARC для вашего домена!
Обратите внимание, что только политика применения отклонить может эффективно предотвратить атаки самозванства. Мы рекомендуем начать с не и регулярно отслеживать почтовый трафик. Делайте это в течение некоторого времени, прежде чем окончательно переходить к принудительному применению.
Для записи DMARC укажите режим политики (none/quarantine/reject), а также адрес электронной почты в поле "rua", если вы хотите получать отчеты DMARC.
| Политика DMARC | Тип политики | Синтаксис | Действие |
|---|---|---|---|
| нет | расслабленный/бездействующий/попустительский | p=none; | Не предпринимайте никаких действий в отношении сообщений, не прошедших проверку подлинности, т.е. доставляйте их. |
| карантин | принудительно | p=карантин; | Отправка в карантин сообщений, не прошедших проверку DMARC |
| отклонить | принудительно | p=отклонить; | Отбрасывайте сообщения, не прошедшие проверку DMARC |
Синтаксис вашей DMARC-записи может выглядеть следующим образом:
v=DMARC1; p=reject; rua=mailto:[email protected];
Эта запись имеет принудительную политику "reject" и для домена включена совокупная отчетность DMARC.
Шаги по добавлению записи Office 365 DMARC с помощью Microsoft Admin Center
Чтобы добавить запись DMARC Office 365 для доменов MOERA (*onmicrosoft.com домены), необходимо выполнить следующие действия:
1. Войдите в центр администрирования Microsoft
2. Перейдите к Показать все > Настройки > Домены
3. Выберите свой домен *onmicrosoft.com из списка доменов на странице Домены, чтобы открыть страницу Сведения о домене
4. Перейдите на вкладку DNS-записи на этой странице и выберите + Добавить запись
5. Появится текстовое поле для добавления новой записи DMARC с различными полями. Ниже приведены значения, которые необходимо заполнить для конкретных полей:
Тип: TXT
Имя: _dmarc
TTL: 1 час
Значение: (вставьте значение созданной вами DMARC-записи)
6. Нажмите на кнопку Сохранить
Добавление записи Office 365 DMARC для пользовательского домена
Если у вас есть собственный домен, например example.com, мы подробно рассказали о том. как настроить DMARC. Вы можете следовать шагам в нашем руководстве, чтобы легко настроить протокол. Microsoft дает несколько ценных рекомендаций по настройке DMARC для пользовательских доменов. Мы согласны с этими советами и советуем их своим клиентам! Давайте разберемся, что это такое:
- При настройке DMARC начните с политики "нет".
- Медленный переход к карантину, а затем отказ
- Вы также можете сохранить низкое процентное значение (pct) для влияния политики, начав с 10 и медленно увеличивая его до 100
- Убедитесь, что у вас включены отчеты DMARC для регулярного мониторинга каналов электронной почты.
Добавление DMARC-записи Office 365 для неактивных доменов
Мы подготовили подробное руководство по защите неактивных/паркованных доменов с помощью SPF, DKIM и DMARC. Вы можете просмотреть подробные шаги там, но для краткого обзора можно сказать, что даже неактивные домены должны быть настроены на DMARC.
Просто опубликуйте запись DMARC, зайдя в консоль управления DNS для неактивного домена. Если у вас нет доступа к DNS, обратитесь к своему DNS-провайдеру. Эта запись может быть настроена на отклонение всех сообщений, исходящих из неактивных доменов, которые не прошли проверку DMARC:
v=DMARC1; p=отклонить;
Настройте DMARC для Office 365 правильным способом с помощью PowerDMARC!
Зачем настраивать DMARC для Office 365?
Office 365 поставляется с решениями для защиты от спама и защита электронной почты шлюзы, уже интегрированные в его пакет безопасности. Так зачем же вам нужна политика DMARC в Office 365 для аутентификации? Потому что эти решения защищают только от входящих фишинговых писем отправленных в ваш домен. Протокол проверки подлинности DMARC - это решение для защиты от исходящего фишинга. Он позволяет владельцам доменов указывать почтовым серверам-получателям, как отвечать на электронные письма, отправленные с вашего домена, которые не прошли проверку подлинности. DMARC также снижает риск попадания легитимных сообщений в папку "Спам".
DMARC использует две стандартные практики аутентификации, а именно SPF и DKIM. Они проверяют подлинность электронных писем. Политика Office 365 DMARC при внедрении может обеспечить улучшенную защиту от атак с использованием самозванца и подмены.
Настройка DMARC для деловой электронной почты сейчас важна как никогда, потому что:
- Федеральные агентства выпустили предупреждение о том, что хакеры могут воспользоваться отсутствующими или слабые политики DMARC
- Соответствие DMARC является обязательным для Массовые отправители Yahoo и Google
- Сайт Отчет IC3 ФБР выделяет США как страну, наиболее подверженную фишинговым атакам
- По данным IBM Каждая пятая компания страдает от утечки данных из-за потери или кражи учетных данных.
Действительно ли вам нужен DMARC при использовании Office 365?
Существует распространенное заблуждение среди компаний: они считают, что Office 365 обеспечивает безопасность от спама и мошеннических писем. Однако в мае 2020 года серия фишинговых атак была совершена на несколько страховых компаний Ближнего Востока. Злоумышленники использовали Office 365, что привело к значительной потере данных и нарушению безопасности. Вот что мы извлекли из этого:
Причина 1: Решение Microsoft по обеспечению безопасности не является надежным.
Вот почему просто полагаться на интегрированные решения безопасности Microsoft недостаточно. Необходимо приложить внешние усилия для защиты своего домена, что может стать большой ошибкой.
Причина 2: Необходимо настроить DMARC для Office 365 для защиты от исходящих атак
Хотя интегрированные решения безопасности Office 365 могут обеспечить защиту от угроз входящей электронной почты и попыток фишинга, вам все равно нужно убедиться, что исходящие сообщения, отправленные из вашего собственного домена, проходят эффективную проверку подлинности, прежде чем попасть в почтовые ящики ваших клиентов и партнеров. Именно здесь на помощь приходит DMARC для Office 365.
Причина 3: DMARC поможет вам контролировать каналы электронной почты
DMARC не только защищает ваш домен от прямой подмены домена и фишинговых атак. Он также помогает контролировать каналы электронной почты. Независимо от того, используете ли вы принудительную политику, например "отклонить/карантин", или более мягкую, например "нет", вы можете отслеживать результаты аутентификации с помощью отчеты DMARC. Эти отчеты отправляются либо на ваш адрес электронной почты, либо на анализатор отчетов DMARC инструмент. Мониторинг гарантирует успешную доставку ваших легитимных писем.
Как работает DMARC в Office 365?
Чтобы реализовать DMARC в Office 365, владельцам доменов необходимо опубликовать записи DMARC в настройках DNS. Они могут указать предпочтительную политику (нет, карантин или отклонение). Они даже могут настроить поддельные сообщения электронной почты Office 365 так, чтобы они отклонялись серверами-получателями.
Администраторы Office 365 могут управлять настройками DMARC через центр администрирования Exchange или команды PowerShell.
Вы также можете настроить DMARC в Office 365, чтобы запрашивать отчеты о том, как электронная почта вашего домена обрабатывается третьими лицами.
Что происходит, если политика DMARC не включена в Office 365?
Если вы не включите DMARC для Office 365, вы рискуете получить поддельный домен.
DMARC разработан для защиты вашего домена от подделки отправителями электронной почты, которые хотят получить доступ к вашим почтовым системам и использовать их для мошенничества или фишинга.
Если политика не определена, ваша запись неактивна. Если вы не включите политику DMARC для электронной почты Office 365, это означает, что любой человек может отправлять электронные сообщения от имени вашего домена, даже если у него нет на это разрешения. Это также делает невозможным определение того, кто отправил сообщение и пришло ли оно от авторизованного источника.
Как владелец домена, вы всегда должны быть начеку: угрожающие субъекты запускают атаки на подмену домена и фишинговые атаки, чтобы использовать ваш домен или имя бренда для осуществления вредоносных действий. Независимо от того, какое решение для обмена электронной почтой вы используете, защита вашего домена от подмены и самозванства является обязательным условием для обеспечения авторитета бренда и поддержания доверия среди ваших уважаемых клиентов.
Зачем использовать PowerDMARC с Office 365?
Microsoft Office 365 предоставляет пользователям множество "облачных" служб и решений, а также встроенные фильтры защиты от спама. Однако, несмотря на различные преимущества, вот недостатки, с которыми вы можете столкнуться при его использовании с точки зрения безопасности:
- Нет решения для проверки исходящих сообщений, отправленных с вашего домена.
- Отсутствует механизм отчётности для писем, не прошедших проверку подлинности.
- Отсутствие видимости в экосистеме электронной почты
- Отсутствие панели управления для управления и мониторинга входящей и исходящей электронной почты
- Нет механизма, гарантирующего, что ваша SPF-запись всегда находится под лимитом в 10 запросов.
Отчетность и мониторинг DMARC с PowerDMARC
PowerDMARC легко интегрируется с Office 365, предоставляя владельцам доменов передовые решения для аутентификации, которые защищают от сложных атак социальной инженерии, таких как BEC и прямая подмена домена.
Когда вы подписываетесь на PowerDMARC, вы подписываетесь на многопользовательскую SaaS-платформу, которая не только объединяет все лучшие практики аутентификации электронной почты (SPF, DKIM, DMARC, MTA-STS, TLS-RPT и BIMI), но и предоставляет обширный и глубокий механизм отчетов dmarc, который обеспечивает полную видимость вашей почтовой экосистемы. Отчеты DMARC на приборной панели PowerDMARC генерируются в двух форматах:
- Совокупные отчёты
- Судебно-медицинские заключения
Мы стремимся сделать процесс аутентификации лучше для вас, решая различные проблемы отрасли. Мы обеспечиваем шифрование ваших отчетов DMARC, а также отображаем сводные отчеты в 7 различных видах для повышения удобства и наглядности.
PowerDMARC помогает отслеживать поток электронной почты и сбои аутентификации, а также заносить в черный список вредоносные IP-адреса со всего мира. Наш анализатор DMARC поможет вам правильно настроить DMARC для вашего домена и в кратчайшие сроки перейти от мониторинга к внедрению. Это поможет вам включить DMARC в Office 365, не беспокоясь о сложностях, связанных с этим.
FAQ по DMARC для Office 365
Обзор содержания и процесс проверки фактов
Информация о процессе настройки Office 365 DMARC была взята из официальной документации Microsoft. Документ может быть обновлен в будущем в зависимости от изменений, внесенных разработчиками на портале Microsoft. Рекомендации, приведенные в статье, основаны на том, что сработало для наших клиентов в реальном времени, и могут помочь и вам.
Эксперт по безопасности доменов и электронной почты в PowerDMARC
Юнес - руководитель группы операций в PowerDMARC, обладающий экспертными знаниями в области аутентификации и безопасности электронной почты. Юнес имеет сертификат Microsoft Azure Administrator Associate, а также сертификаты CompTIA A+ и многие другие.
Последние сообщения Юнеса Тарады (см. все)
- Уязвимости DNS: 5 лучших угроз и стратегии их устранения - 24 декабря 2024 г.
- Представляем временную шкалу DNS и историю баллов безопасности - 10 декабря 2024 г.
- Автоматическая публикация DNS в PowerDMARC одним кликом с помощью Entri - 10 декабря 2024 г.
