EOP 如何验证发件人地址以防止钓鱼
提示
你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
网络钓鱼攻击对任何电子邮件组织都是一个持续的威胁。 除了使用 伪造 (伪造) 发件人电子邮件地址外,攻击者还经常使用违反 Internet 标准的发件人地址中的值。 为了帮助防止此类网络钓鱼,Exchange Online Protection (EOP) 和 Outlook.com 要求入站邮件包含符合 RFC 标准的发件人地址,如本文所述。
如果定期收到来自格式不正确的组织的电子邮件,如本文所述,请鼓励这些组织更新其电子邮件服务器,以符合现代安全标准。
相关“发件人”字段 (由“代表发送”和邮件列表) 不受这些要求的影响。 有关详细信息,请参阅以下博客文章:当我们 引用电子邮件的“发件人”时,我们意味着什么?。
电子邮件标准概述
标准 SMTP 电子邮件由邮件信封和邮件内容组成。 邮件信封包含在 SMTP 服务器之间传输和传递邮件所需的信息。 邮件内容包含邮件头字段(统称为邮件头)和邮件正文。 RFC 5321 中介绍了消息信封,RFC 5322 中介绍了消息头。 收件人永远不会看到实际的邮件信封,因为它是由邮件传输过程生成的,而且它实际上不是邮件的一部分。
MAIL FROM 地址 (也称为
5321.MailFrom
地址、P1 发件人或信封发件人) 是在邮件的 SMTP 传输中使用的电子邮件地址。 此电子邮件地址通常记录在邮件头 (的 “返回路径 ”标头字段中,尽管发件人可以在) 指定不同的 “返回路径 ”电子邮件地址。发件人地址 (也称为
5322.From
地址或 P2 发件人) 是 发件人 标头字段中的电子邮件地址,是电子邮件客户端中显示的发件人电子邮件地址。 “发件人”地址是本文中要求的重点。
源地址在多个 RFC (详细定义,例如 RFC 5322 部分 3.2.3、3.4 和 3.4.1 以及 RFC 3696) 。 在寻址以及被视为有效或无效的内容方面有许多变化。 为简单起见,建议使用以下格式和定义:
From: "Display Name" <EmailAddress>
显示名称:描述电子邮件地址所有者的可选短语。
- 建议始终将显示名称括在双引号 (“) 中,如下所示。 如果显示名称包含逗号, 则必须 按 RFC 5322 将字符串括在双引号中。
- 如果 From 地址包含显示名称,则 EmailAddress 值必须括在尖括号中, <> () 如下所示。
- Microsoft强烈建议在显示名称和电子邮件地址之间插入空格。
EmailAddress:电子邮件地址使用格式
local-part@domain
:- local-part:标识与地址关联的邮箱的字符串。 此值在域中是唯一的。 通常使用邮箱所有者的用户名或 GUID。
- domain:完全限定的域名 (FQDN) 托管由电子邮件地址的本地部分标识的邮箱的电子邮件服务器。
此外:
- 仅一个电子邮件地址。
- 建议不要用空格分隔尖括号。
- 电子邮件地址后不要包含文本。
“发件人”地址的“好”和“坏”示例
下表包含有效 From 地址的示例:
地址 | Comments |
---|---|
From: sender@contoso.com |
确定 |
From: <sender@contoso.com> |
确定 |
From: < sender@contoso.com > |
可以,但不建议这样做,因为尖括号和电子邮件地址之间有空格。 |
From: "Sender, Example" <sender.example@contoso.com> |
确定 |
From: "Microsoft 365" <sender@contoso.com> |
确定 |
From: Microsoft 365 <sender@contoso.com> |
正常,但不建议这样做,因为显示名称未用双引号引起来。 |
下表包含无效的 From 地址的示例:
地址 | Comments |
---|---|
否发件人地址 | 当邮件到达 Microsoft 365 或没有发件人地址 Outlook.com 时,我们尝试将 MAIL FROM 地址分配给发件人地址,以确保邮件可送达。 目前,即使原始发件人地址为 From: <> ,服务也接受这些消息。 |
From: <firstname lastname@contoso.com> |
电子邮件地址包含一个空格。 |
From: Microsoft 365 sender@contoso.com |
显示名称存在,但电子邮件地址未用尖括号括起来。 |
From: "Microsoft 365" <sender@contoso.com> (Sent by a process) |
电子邮件地址后面的文本。 |
From: Sender, Example <sender.example@contoso.com> |
显示名称包含逗号,但不用双引号引起来。 |
From: "Microsoft 365 <sender@contoso.com>" |
整个值错误地用双引号括起来。 |
From: "Microsoft 365 <sender@contoso.com>" sender@contoso.com |
显示名称存在,但电子邮件地址未用尖括号括起来。 |
From: Microsoft 365<sender@contoso.com> |
显示名称与左尖括号之间没有空格。 |
From: "Microsoft 365"<sender@contoso.com> |
右双引号和左尖括号之间没有空格。 |
禁止自动答复自定义域
不能使用 值 From: <>
来取消自动答复。 相反,你需要为自定义域设置 空 MX 记录 。 设置空 MX 记录后, 所有 答复都会自然被禁止,因为响应服务器没有要向其发送邮件的已发布地址。
对于空 MX 记录,请选择无法接收电子邮件的电子邮件域。 例如,如果主域 contoso.com,则可以选择 noreply.contoso.com。 此域的 null MX 记录由单个句点组成。 例如:
noreply.contoso.com IN MX .
有关设置 MX 记录的详细信息,请参阅 在任何 DNS 托管提供程序上为 Microsoft 365 创建 DNS 记录。
有关发布 null MX 的详细信息,请参阅 RFC 7505。
替代源地址强制实施
若要绕过入站电子邮件的发件人地址要求,可以使用 IP 允许列表 (连接筛选) 或邮件流规则 (也称为传输规则) ,如 在 Microsoft 365 中创建安全发件人列表中所述。 Outlook.com 不允许任何形式的替代,即使通过支持请求也是如此。
无法覆盖从 Microsoft 365 或 Outlook.com 发送的出站电子邮件的发件人地址要求。
Microsoft 365 中防止和防范网络犯罪的其他方法
有关如何加强组织抵御网络钓鱼、垃圾邮件、数据泄露和其他威胁的详细信息,请参阅 保护 Microsoft 365 商业版计划的最佳做法。