MÄÄRITÄ SPF tunnistamaan Microsoft 365 -toimialueen kelvolliset sähköpostilähteet
Vihje
Tiesitkö, että voit kokeilla Microsoft Defender for Office 365 palvelupaketin 2 ominaisuuksia maksutta? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.
Lähettäjän käytäntökehys (SPF) on sähköpostin todennusmenetelmä , joka auttaa vahvistamaan Microsoft 365 -organisaatioltasi lähetettyjä sähköpostiviestejä, jotta estetään huijatut lähettäjät, joita käytetään yrityssähköpostien kompromississa (BEC), kiristyshaittaohjelmassa ja muissa tietojenkalasteluhyökkäyksissä.
SPF:n ensisijainen tarkoitus on vahvistaa toimialueen sähköpostilähteet. TARKEMMIN SANOTTUNA SPF käyttää TXT-tietuetta DNS:ssä tunnistaakseen toimialueen kelvolliset sähköpostilähteet. Sähköpostijärjestelmien vastaanottamisessa käytetään SPF TXT -tietuetta sen varmistamiseksi, että sähköpostiviestin SMTP-lähetyksen aikana käytetystä lähettäjän osoitteesta (jota kutsutaan MAIL FROM -osoitteeksi, 5321.MailFrom
osoitteeksi, P1-lähettäjäksi tai kirjekuoren lähettäjäksi) on peräisin kyseiselle toimialueelle määritetystä sähköpostilähteestä.
Jos esimerkiksi Microsoft 365:n sähköpostitoimialue on contoso.com, luot SPF TXT -tietueen DNS:ssä contoso.com toimialueelle, jotta Microsoft 365 tunnistetaan contoso.com valtuutetuksi sähköpostilähteeksi. Kohdesähköpostijärjestelmät tarkistavat contoso.com SPF TXT -tietueen selvittääkseen, tuliko viesti valtuutetusta lähteestä contoso.com sähköpostiviestiä varten.
Ennen kuin aloitamme, sinun on tiedettävä SPF Microsoft 365:ssä sähköpostisi toimialueen perusteella:
Jos käytät sähköpostissa vain Microsoft Online Email Routing Address (MOERA) -toimialuetta (esimerkiksi contoso.onmicrosoft.com): Sinun ei tarvitse tehdä mitään. SPF TXT -tietue on jo määritetty sinulle. Microsoft omistaa onmicrosoft.com toimialueen, joten olemme vastuussa DNS-tietueiden luomisesta ja ylläpidosta kyseisellä toimialueella ja alitoimialueilla. Lisätietoja *.onmicrosoft.com-toimialueista on artikkelissa Miksi minulla on onmicrosoft.com toimialue?.
Jos käytät sähköpostia varten yhtä tai useampaa mukautettua toimialuetta (esimerkiksi contoso.com): Microsoft 365 -rekisteröintiprosessi edellytti jo SPF TXT -tietueen luomista tai muokkaamista DNS:ssä, jotta mukautettu toimialue tunnistaisi Microsoft 365:n valtuutetuksi sähköpostilähteeksi. Sinulla on kuitenkin vielä enemmän työtä sähköpostin enimmäissuojauksen puolesta:
Huomioitavaa alitoimialueista:
Jos käytät sähköpostipalveluja, jotka eivät ole suorassa hallinnassasi (esimerkiksi joukkosähköpostipalvelut), suosittelemme käyttämään alitoimialuetta (esimerkiksi marketing.contoso.com) pääsähköpostitoimialueen (esimerkiksi contoso.com) sijaan. Et halua, että kyseisistä sähköpostipalveluista lähetettyjen sähköpostien ongelmat vaikuttavat pääsähköpostitoimialueen työntekijöiden lähettämien sähköpostien maineeseen. Lisätietoja alitoimialueiden lisäämisestä on artikkelissa Mukautettujen alitoimialueiden tai useiden toimialueiden lisääminen Microsoft 365:een?.
Jokainen alitoimialue, jolla lähetät sähköpostia Microsoft 365:stä, edellyttää omaa SPF TXT -tietuetta. Esimerkiksi contoso.com SPF TXT -tietue ei kata marketing.contoso.com; marketing.contoso.com tarvitsee oman SPF TXT -tietueen.
Vihje
DMARC kattaa sähköpostin todennuksen suojauksen määrittämättömille alitoimialueille. Kaikki alitoimialueet (määritetty tai ei) perivät päätoimialueen DMARC-asetukset (jotka voidaan ohittaa alitoimialuetta kohti). Lisätietoja on artikkelissa DMARC:n määrittäminen vahvistamaan Lähettäjän osoite -toimialue lähettäjille Microsoft 365:ssä.
Jos omistat rekisteröityjä mutta käyttämättömiä toimialueita: Jos omistat rekisteröityjä toimialueita, joita ei käytetä sähköpostiin tai mihinkään (kutsutaan myös säilytetyiksi toimialueiksi), määritä SPF TXT -tietueet osoittamaan, että kyseisiltä toimialueilta ei pitäisi koskaan tulla sähköpostia, kuten jäljempänä tässä artikkelissa kuvataan.
Pelkkä SPF ei riitä. Jotta voit suojata sähköpostisi mahdollisimman hyvin mukautetuilla toimialueilla, sinun on myös määritettävä DKIM ja DMARC osana yleistä sähköpostin todennusstrategiaasi . Lisätietoja on tämän artikkelin lopussa olevassa Seuraavat vaiheet - osiossa.
Tärkeää
Monimutkaisissa organisaatioissa, joissa on vaikea tunnistaa kaikkia toimialueen kelvollisia sähköpostilähteitä, on tärkeää määrittää toimialueelle nopeasti DKIM-allekirjoitus ja DMARC (älä tee mitään -tilassa). DMARC-raportointipalvelu on erittäin hyödyllinen tunnistettaessa sähköpostilähteitä ja SPF-virheitä toimialueella.
Tämän artikkelin loppuosassa kuvataan SPF TXT -tietueet, jotka sinun on luotava mukautetuille toimialueille Microsoft 365:ssä.
Vihje
Microsoft 365:ssä ei ole hallintaportaaleja tai PowerShellin cmdlet-komentoja, joiden avulla voit hallita toimialueesi SPF-tietueita. Sen sijaan luot SPF TXT -tietueen toimialuerekisteröijässä tai DNS-isännöintipalvelussa (usein sama yritys).
Microsoft antaa ohjeet toimialueen omistajuuden TXT-tietueen TXT-tietueen luomiseen Microsoft 365:lle useissa toimialuerekisteröijissä. Voit luoda SPF TXT -tietuearvon näiden ohjeiden avulla. Lisätietoja on artikkelissa DNS-tietueiden lisääminen toimialueen yhdistämiseksi.
Jos et tunne DNS-määritystä, ota yhteyttä toimialuerekisteröijään ja pyydä apua.
SPF TXT -tietueiden syntaksi
SPF TXT -tietueet kuvataan tyhjentävästi kohdassa RFC 7208.
Microsoft 365:n mukautetun toimialueen SPF TX -tietueen perussyntaksi on seuraava:
v=spf1 <valid mail sources> <enforcement rule>
Tai:
v=spf1 [<ip4>|<ip6>:<PublicIPAddress1> <ip4>|<ip6>:<PublicIPAddress2>... <ip4>|<ip6>:<PublicIPAddressN>] [include:<DomainName1> include:<DomainName1>... include:<DomainNameN>] <-all | ~all>
Esimerkki:
v=spf1 ip4:192.168.0.10 ip4:192.168.0.12 include:spf.protection.outlook.com -all
v=spf1
määrittää TXT-tietueen SPF TXT -tietueeksi.Kelvolliset sähköpostilähteet: Määritetty kelvolliset postilähteet toimialueelle. Käyttää toimialueita, IP-osoitteita tai molempia:
Toimialueet:
include:
arvot määrittävät muut palvelut tai toimialueet alkuperäisen toimialueen kelvollisiksi sähköpostilähteiksi. Nämä arvot johtavat lopulta IP-osoitteeseen DNS-hakujen avulla.Useimmat Microsoft 365 -organisaatiot tarvitsevat
include:spf.protection.outlook.com
TOIMIalueen SPF TXT -tietueen. Muut kolmannen osapuolen sähköpostipalvelut edellyttävät usein lisäarvoainclude:
, jotta palvelu voidaan tunnistaa kelvolliseksi sähköpostilähteeksi alkuperäisestä toimialueesta.IP-osoitteet: IP-osoitteen arvo sisältää molemmat seuraavista elementeistä:
-
ip4:
Arvo taiip6:
IP-osoitteen tyypin tunnistaminen. - Lähdesähköpostijärjestelmän julkisesti ratkaistava IP-osoite. Esimerkki:
- Yksittäinen IP-osoite (esimerkiksi 192.168.0.10).
- IP-osoitealue, jossa käytetään Luokkatonta Inter-Domain Reititys (CIDR) -merkintätapa (esimerkiksi 192.168.0.1/26). Varmista, että alue ei ole liian suuri tai liian pieni.
Microsoft 365:ssä käytät YLEENSÄ SPF TXT -tietueen IP-osoitteita vain, jos sinulla on paikallisia sähköpostipalvelimia, jotka lähettävät sähköpostia Microsoft 365 -toimialueelta (esimerkiksi Exchange Server yhdistelmäkäyttöönotot). Jotkin kolmannen osapuolen sähköpostipalvelut saattavat myös käyttää IP-osoitealuetta SPF TXT -tietueen
include:
arvon sijaan.-
Pakotussääntö: Kertoo kohdesähköpostijärjestelmille, mitä tehdä viesteille lähteistä, joita ei ole määritetty toimialueen SPF TXT -tietueessa. Kelvolliset arvot ovat:
-all
(kova virhe): LÄHTEILLÄ, joita ei ole määritetty SPF TXT -tietueessa, ei ole toimialueen sähköpostin lähettämiseen oikeuksia, joten viestit on hylättävä. Se, mitä viestille todellisuudessa tapahtuu, riippuu kohdesähköpostijärjestelmästä, mutta viestit yleensä hylätään.Microsoft 365 -toimialueissa suosittelemme
-all
(kova epäonnistuminen), koska suosittelemme toimialueelle myös DKIM- ja DMARC-suodattimia. DMARC-käytäntö määrittää, mitä tehdä viesteille, joissa SPF tai DKIM epäonnistuu, ja DMARC-raporttien avulla voit vahvistaa tulokset.Vihje
Kuten aiemmin todettiin, DMARC-määritys DMARC-raportointipalvelun avulla auttaa suuresti tunnistamaan sähköpostilähteitä ja SPF-virheitä toimialueella.
~all
(pehmeä virhe): Lähteillä, joita ei ole määritetty SPF TXT -tietueessa, ei todennäköisesti ole toimialueen sähköpostin lähetyslupaa, joten viestit on hyväksyttävä, mutta ne on merkittävä. Se, mitä viestille todella tapahtuu, riippuu kohdesähköpostijärjestelmästä. Viesti voidaan esimerkiksi asettaa karanteeniin roskapostina, toimittaa Roskaposti-kansioon tai toimittaa Saapuneet-kansioon niin, että Aihe- tai viestin tekstiosaan on lisätty tunnus.Koska suosittelemme myös DKIM: ää ja DMARC: tä Microsoft 365 -toimialueille, erot
-all
(kova epäonnistuminen) ja~all
(pehmeä epäonnistuminen) poistetaan tehokkaasti (DMARC käsittelee jompaakumpaa tulosta SPF-virheenä). DMARC tarkistaa SPF:n avulla, että MAIL FROM- ja From-osoitteiden toimialueet on tasattu , ja viesti on peräisin kelvollisen Lähteestä-toimialueen lähteestä.
Vihje
?all
(neutraali) on myös käytettävissä ehdottamaan mitään erityisiä toimia tunnistamattomista lähteistä peräisin oleviin viesteihin. Tätä arvoa käytetään testaukseen, eikä tätä arvoa suositella tuotantoympäristöissä.
Tärkeitä muistettavaa seikkaa:
- Jokainen DNS:n määritetty toimialue tai alitoimialue edellyttää SPF TXT -tietuetta, ja vain yksi SPF-tietue sallitaan toimialuetta tai alitoimialuetta kohden. DMARC käsittelee parhaiten määrittämättömien alitoimialueiden sähköpostin todennuksen suojauksen.
- Et voi muokata aiemmin luotua SPF TXT -tietuetta *.onmicrosoft.com toimialueelle.
- Kun kohdesähköpostijärjestelmä tarkistaa SPF-tietueen kelvolliset sähköpostilähteet, SPF-vahvistus epäonnistuu, jos tarkistus edellyttää liian monta DNS-hakua. Lisätietoja on tämän artikkelin kohdassa SPF TXT -tietueiden vianmääritys .
Microsoft 365:n mukautettujen toimialueiden SPF TXT -tietueet
Vihje
Kuten aiemmin tässä artikkelissa mainittiin, luot SPF TXT -tietueen toimialueelle tai alitoimialueelle toimialueen rekisteröijässä. SPF TXT -tietuemäärityksiä ei ole käytettävissä Microsoft 365:ssä.
Skenaario: Käytät contoso.com sähköpostissa Microsoft 365:ssä, ja Microsoft 365 on ainoa contoso.com sähköpostin lähde.
SPF TXT-tietue contoso.com Microsoft 365:ssä ja Microsoft 365 Government Community Cloudissa (GCC):
v=spf1 include:spf.protection.outlook.com -all
SPF TXT -tietue contoso.com Microsoft 365 Government Community Cloud Highissa (GCC High) ja Microsoft 365 Department of Defensessa (DoD):
v=spf1 include:spf.protection.office365.us -all
SPF TXT-tietue contoso.com Microsoft 365:ssä, jota operoi 21Vianet
v=spf1 include:spf.protection.partner.outlook.cn -all
Skenaario: Käytät contoso.com sähköpostissa Microsoft 365:ssä, ja olet jo määrittänyt SPF TXT -tietueen contoso.com kaikkiin toimialueen sähköpostilähteisiin. Omistat myös contoso.net ja contoso.org, mutta et käytä niitä sähköpostina. Haluat määrittää, että kukaan ei saa lähettää sähköpostia contoso.net tai contoso.org.
contoso.net SPF TXT -tietue:
v=spf1 -all
contoso.org SPF TXT -tietue:
v=spf1 -all
Skenaario: käytät contoso.com sähköpostina Microsoft 365:ssä. Aiot lähettää viestejä seuraavista lähteistä:
- Paikallinen sähköpostipalvelin, jonka ulkoinen sähköpostiosoite on 192.168.0.10. Koska sinulla on suorat oikeudet tähän sähköpostilähteeseen, palvelimen käyttäminen contoso.com toimialueella lähettäjissä on ok.
- Adatumin joukkopostipalvelu. Koska sinulla ei ole suoraa hallintaa tähän sähköpostilähteeseen, suosittelemme alitoimitilan käyttöä, joten luot marketing.contoso.com tätä tarkoitusta varten. Adatum-palveludokumentaation mukaan sinun on lisättävä
include:servers.adatum.com
toimialueesi SPF TXT -tietueeseen.
contoso.com SPF TXT -tietue:
v=spf1 ip4:192.168.0.10 include:spf.protection.outlook.com -all
marketing.contoso.com SPF TXT -tietue:
v=spf1 include:servers.adatum.com include:spf.protection.outlook.com -all
SPF TXT -tietueiden vianmääritys
Yksi SPF-tietue toimialuetta tai alitoimialuetta kohti: Useat SPF TXT -tietueet samalle toimialueelle tai alitoimialueelle aiheuttavat DNS-hakusilmukan, joka saa SPF:n epäonnistumaan, joten käytä vain yhtä SPF-tietuetta toimialuetta tai alitoimialuetta kohden.
Alle 10 DNS-hakua: Kun kohdesähköpostijärjestelmät kyselevät SPF TXT -tietueelta kelvollisia lähteitä MAIL FROM address -toimialueelle, kysely tarkistaa tietueen IP-osoitteet ja
include:
lausekkeet, kunnes viestilähde (viime kädessä IP-osoite) vastaa jotakin määritetyistä lähteistä. Jos DNS-hakujen määrä (joka voi olla eri kuin DNS-kyselyiden määrä) on suurempi kuin 10, viesti epäonnistuu SPF:n kanssa pysyvällä virheellä (kutsutaan myös nimelläpermerror
). Kohdesähköpostijärjestelmä hylkää viestin toimittamattomassa raportissa (tunnetaan myös NDR-ilmoituksena tai pomppuviestinä), jossa on jokin seuraavista virheistä:- Viesti ylitti hyppyjen määrän.
- Viesti vaati liian monta hakua.
SPF TXT -tietueessa yksittäiset IP-osoitteet tai IP-osoitealueet eivät aiheuta DNS-hakuja. Jokainen
include:
lauseke edellyttää vähintään yhtä DNS-hakua, ja useampia hakuja saatetaan tarvita, josinclude:
arvo viittaa sisäkkäisiin resursseihin. Toisin sanoen alle 10include:
lausekkeen pitäminen ei takaa alle 10 DNS-hakua.Muista myös, että kohdesähköpostijärjestelmät arvioivat SPF TXT -tietueen lähteitä vasemmalta oikealle. Arviointi pysähtyy, kun sanomalähde on vahvistettu, eikä enempää lähteitä tarkisteta. Tämän vuoksi SPF TXT -tietue saattaa sisältää tarpeeksi tietoja yli 10 DNS-haun aiheuttamiseksi, mutta joidenkin postilähteiden vahvistus joissakin kohteissa ei mene niin syvälle tietueeseen, että se aiheuttaisi virheen.
Pääsähköpostitoimialueesi maineen säilyttämisen lisäksi DNS-hakujen määrän ylittäminen on toinen syy käyttää alitoimialueita muissa sähköpostipalveluissa, joita et hallitse.
Voit käyttää maksuttomia verkkotyökaluja SPF TXT -tietueen ja muiden toimialueesi DNS-tietueiden tarkastelemiseen. Jotkin työkalut laskevat jopa SPF TXT -tietueen vaatimien DNS-tietueiden hakujen määrän.
Seuraavat vaiheet
Kuten artikkelissa Miten SPF, DKIM ja DMARC toimivat yhdessä sähköpostiviestien lähettäjien todentamiseksi, SPF ei yksin riitä estämään Microsoft 365 -toimialueen tekeytymistä. Sinun on myös määritettävä DKIM ja DMARC parhaan mahdollisen suojauksen takaamiseksi. Ohjeita on ohjeaiheissa:
- Toimialueeltasi lähetettyjen sähköpostiviestien vahvistaminen DKIM:n avulla
- Sähköpostien vahvistaminen DMARC:n avulla
Microsoft 365:een tulevaa sähköpostia varten sinun on ehkä myös määritettävä luotetut ARC-sulkejat, jos käytät palveluja, jotka muokkaavat siirrettävia viestejä ennen toimitusta organisaatioosi. Lisätietoja on kohdassa Luotettujen ARC-sinettien määrittäminen.