Page Shape Page Shape Page Shape Page Shape Page Shape

如何在Office 365中设置DMARC?一步一步的指南

微软支持并鼓励 Office 365 用户采用电子邮件验证协议,如 DMARC等电子邮件验证协议。在本博客中,我们将介绍如何设置 DMARC 以验证 Office 365 电子邮件:

  1. 微软在线电子邮件路由地址 
  2. 在管理中心添加自定义域
  3. 停放或不活动但已注册的域名 

截至 2023 年 12 月、 报告显示全球 Office 365 的活跃用户数量每天超过 90 万,付费会员达 3.45 亿。2023 年第二季度,微软被各种消息来源称为网络钓鱼诈骗中被冒充最多的品牌。网络犯罪分子通过智取微软的集成安全解决方案来实施电子邮件欺诈,而微软的集成安全解决方案单凭一己之力不足以防范所有攻击。因此,像 DMARC 这样的附加协议对于加强防御机制是必不可少的。

为什么要设置Office 365的DMARC? 

Office 365 配备了反垃圾邮件解决方案和 电子邮件安全网关已集成到其安全套件中。那么,为什么需要使用 DMARC Office 365 进行身份验证呢?这是因为这些解决方案只能防止入站的 钓鱼电子邮件发送到您的域。DMARC 身份验证协议是您的出站网络钓鱼防范解决方案。它允许域所有者向接收邮件服务器指定如何响应从您的域发送的未通过身份验证的电子邮件。DMARC 还能降低合法邮件落入垃圾邮件文件夹的风险。

DMARC 使用两种标准验证方法,即SPF 和 DKIM。它们可验证电子邮件的真实性。您的 Office 365DMARC 策略在执行时可以提供更强的保护,防止冒充攻击和欺骗。

在当前情况下,为 Office 365 电子邮件设置 DMARC 比以往任何时候都更加重要,因为: 

  1. 联邦机构已发出警告,防止黑客利用缺失或薄弱的 弱的 DMARC 政策发出警告
  2. 必须遵守 DMARC 规定 雅虎和谷歌群发器
  3. 联邦调查局 联邦调查局的 IC3 报告指出美国是受网络钓鱼攻击影响最严重的国家
  4. IBM 报告称每五家公司中就有一家因凭证丢失或被盗而受到数据泄露的影响

使用 Office 365 时真的需要 DMARC 吗?

企业有一个普遍的误解:他们认为 Office 365 可以确保安全,免受垃圾邮件和欺诈性电子邮件的侵害。然而,在 2020 年 5 月 一系列网络钓鱼攻击攻击。攻击者使用了 Office 365,造成了严重的数据丢失和安全漏洞。下面是我们从中了解到的情况:

原因1:微软的安全解决方案并非万无一失 

这就是为什么仅仅依靠微软的集成安全解决方案是不够的。必须通过外部努力来保护您的域,否则就会铸成大错。 

原因 2:您需要设置 DMARC Office 365 以防范出站攻击

虽然 Office 365 的集成安全解决方案可以提供针对入站电子邮件威胁和网络钓鱼企图的保护,但您仍然需要确保从自己的域发送的出站邮件在进入客户和合作伙伴的收件箱之前得到有效验证。这就是 Office 365 DMARC 的作用所在。

理由3:DMARC将帮助你监控你的电子邮件渠道 

DMARC 不仅能保护您的域名免受直接域名欺骗和网络钓鱼攻击。它还能帮助您监控电子邮件渠道。无论您使用的是 "拒绝/隔离 "这样的强制策略,还是 "无 "这样的宽松策略,您都可以通过以下方式跟踪验证结果 DMARC 报告.这些报告既可以发送到您的电子邮件地址,也可以发送到 DMARC 报告分析器工具。监控可确保您的合法电子邮件成功送达。

DMARC 在 Office 365 中如何工作? 

要在 Office 365 中实施 DMARC,域所有者需要在其 DNS 设置中发布 DMARC 记录。他们可以指定自己的首选策略(无、隔离或拒绝)。他们甚至可以将欺骗的 Office 365 电子邮件配置为被接收服务器拒绝。

Office 365 管理员可以通过 Exchange 管理中心或 PowerShell 命令管理 DMARC 设置。

您还可以配置 DMARC Office 365,要求提供有关第三方如何处理您的域名电子邮件的报告。

现在让我们看看如何实施 DMARC Office 365: 

开始前的注意事项

根据 微软的文件:

  • 如果您使用以 onmicrosoft.com 结尾的 MOERA(Microsoft 在线电子邮件路由地址),SPF 和 DKIM 将已为其配置。不过,您需要使用 Microsoft 365 管理中心创建 DMARC 记录。 
  • 如果您使用的是 example.com 等自定义域,则需要为您的域手动配置 SPF、DKIM 和 DMARC。 
  • 对于您的停放域(非活动域),Microsoft 建议您确保明确指定不得从这些域发送电子邮件。否则,这些域可能会被用于欺骗和网络钓鱼攻击。
  • 对于转发或修改中的报文,您必须设置 ARC.这有助于在修改后保留原始电子邮件验证标题,以进行准确验证。

如何为Office 365设置DMARC?

DMARC 或基于域的消息验证、报告和一致性(Domain-based Message Authentication, Reporting, and Conformance)以 TXT 记录的形式存在于域名的 DNS 中。DMARC 的主要作用是抵御来自自己域的电子邮件威胁。在配置 DMARC 之前,您的域必须包含 SPF 或 DKIM 记录,或者最好同时包含这两种记录,以提供高级保护。

如果使用的是自定义域,创建DMARC 记录的步骤如下。请注意,并非必须同时配置 SPF 和 DKIM 才能设置 DMARC。但建议添加额外的保护层。 

第1步:为你的域名确定有效的电子邮件来源

这些将是您希望允许代表您发送电子邮件的源 IP 地址(包括第三方)。 

dmarc office 365

第2步:为你的域名设置SPF

现在您需要配置 SPF进行发件人验证。为此,请创建一个 SPF TXT 记录,其中包括所有有效的发送源,包括外部电子邮件供应商。

dmarc office 365

第3步:为你的域名设置DKIM

要启用 DMARC Office 365,您需要为您的域配置 SPF 或 DKIM。我们建议设置 DKIM为您的域的电子邮件增加一层安全保护。

dmarc office 365

第 4 步:创建 DMARC TXT 记录

使用正确的语法立即生成一条记录,发布到您的 DNS 中,并为您的域配置 DMARC!

请注意,只有 拒绝执行策略才能有效防止冒充攻击。我们建议您从 策略,并定期监控电子邮件流量。这样做一段时间后,再最终转向执行。

对于 DMARC 记录,请定义策略模式(无/隔离/拒绝),如果希望接收 DMARC 报告,请在 "rua "字段中定义电子邮件地址。

如果希望接收 DMARC 报告,请在 "rua "字段中输入电子邮件地址。

dmarc office 365

您的 DMARC 记录语法可能如下: 

v=DMARC1; p=reject; rua=mailto:reporting@example.com;

该记录的强制策略为 "拒绝",并为域启用了 DMARC 汇总报告。 

使用 Microsoft 管理中心添加 Office 365 DMARC 记录的步骤

要为以下对象添加 Office 365 DMARC 记录 MOERA 域(*onmicrosoft.com 域)添加您的 Office 365 DMARC 记录。步骤如下:

1.登录 Microsoft 管理中心 

2.转到 显示全部 > 设置 > 域名

3.在 "域 "页面的域列表中选择*onmicrosoft.com 域,打开 "域详细信息 "页面

4.单击该页面上的 DNS 记录选项卡,然后选择 + 添加记录 

5.添加新 DMARC 记录的文本框将出现,其中包含多个字段。下面是您应该填写的特定字段的值: 

类型:TXT

名称:_dmarc

TTL:1 小时

(粘贴您创建的 DMARC 记录的值)

6.点击保存 

为自定义域添加 Office 365 DMARC 记录

如果您有一个自定义域,如 example.com,我们已经提供了关于 如何设置 DMARC.您可以按照我们指南中的步骤轻松配置协议。在为自定义域配置 DMARC 时,微软提出了一些有价值的建议。我们同意这些建议,并将其推荐给我们的客户!让我们来了解一下这些建议:

  • 配置 DMARC 时,从 "无 "策略开始 
  • 慢慢过渡到隔离,然后拒绝 
  • 您也可以将政策影响的百分比 (pct) 值保持在较低水平,从 10 开始,慢慢增加到 100
  • 确保您已启用 DMARC 报告功能,以便定期监控您的电子邮件渠道 

为非活动域添加 Office 365 DMARC 记录

我们为您提供了一份详细指南,内容涉及 使用 SPF、DKIM 和 DMARC 确保不活动/停用域的安全SPF、DKIM 和 DMARC 的详细指南。您可以在那里查看详细步骤,但只需简要了解一下,即使是您的非活动域也需要配置 DMARC。

只需访问不活动域的 DNS 管理控制台,即可发布 DMARC 记录。如果您无法访问 DNS,请立即联系您的DNS 提供商。可以对该记录进行配置,以拒绝来自未通过 DMARC 的非活动域的所有邮件: 

v=DMARC1; p=reject; 

如果 Office 365 中未启用 DMARC 策略会发生什么情况?

如果不启用 Office 365 DMARC 策略,您的域名就有被欺骗的风险。

DMARC旨在帮助保护你的域名不被那些想进入你的电子邮件系统并利用其进行欺诈或网络钓鱼的电子邮件发送者欺骗。

如果没有定义策略,您的记录就等于未激活。如果不为 Office 365 电子邮件启用 DMARC 策略,就意味着任何人都可以代表您的域发送电子邮件,即使他们没有权限这样做。这也使您无法确定是谁发送了邮件,以及邮件是否来自授权来源。

作为域名所有者,您需要时刻提防威胁者发起域名欺骗攻击和网络钓鱼攻击,利用您的域名或品牌名称进行恶意活动。无论您使用哪种电子邮件交换解决方案,都必须保护您的域名免遭欺骗和假冒,以确保品牌信誉并维护尊敬的客户群对您的信任。

使用 Microsoft Office 365 时需要 PowerDMARC 的 5 个原因

Microsoft Office 365 为用户提供了大量基于云的服务和解决方案,并集成了反垃圾邮件过滤器。不过,尽管微软 Office 365 具有各种优势,但从安全角度来看,您在使用它时可能会面临以下缺点:

  • 没有验证从你的域名发出的外发信息的解决方案
  • 没有关于认证检查失败的电子邮件的报告机制
  • 对你的电子邮件生态系统没有可见性
  • 没有仪表板来管理和监控您的入站邮件和出站邮件流
  • 没有确保 SPF 记录始终低于 10 次查询限制的机制

 

最新博客