Sdílet prostřednictvím

Konfigurace důvěryhodných zapečetěčů ARC

Ověřování e-mailu pomáhá ověřovat poštu poslanou do a z vaší organizace Microsoft 365, aby se zabránilo zfalšovaným odesílatelům, kteří se používají při obchodních e-mailových útocích (BEC), ransomwaru a dalších phishingových útocích.

Některé legitimní e-mailové služby ale můžou zprávy před doručením do vaší organizace Microsoft 365 upravit. Úprava příchozích zpráv při přenosu může a pravděpodobně způsobí následující selhání ověřování e-mailu v Microsoftu 365:

  • SPF selže kvůli novému zdroji zpráv (IP adrese).
  • DKIM selže kvůli úpravě obsahu.
  • DMARC selže kvůli selhání SPF a DKIM.

Protokol ARC (Authenticated Received Chain) pomáhá omezit počet neúspěšných příchozích e-mailových ověřování způsobených úpravami zpráv legitimními e-mailovými službami. ARC zachová původní ověřovací informace e-mailu v e-mailové službě. Organizaci Microsoft 365 můžete nakonfigurovat tak, aby důvěřovala službě, která zprávu upravila, a použila tyto původní informace při kontrolách ověřování e-mailů.

Kdy použít důvěryhodné těsnicí moduly ARC?

Organizace Microsoft 365 musí identifikovat důvěryhodné zapečetěče ARC pouze v případech, kdy jsou zprávy doručované příjemcům Microsoftu 365 pravidelně ovlivněny následujícími způsoby:

  • Zprostředkovatelská služba upraví záhlaví zprávy nebo obsah e-mailu.
  • Úpravy zpráv způsobí selhání ověřování z jiných důvodů (například odebráním příloh).

Poté, co správce na portálu Defender přidá důvěryhodný zapečetěč ARC, Použije Microsoft 365 původní ověřovací informace e-mailu, které poskytuje zapečetěč ARC, k ověření zpráv odeslaných prostřednictvím služby do Microsoftu 365.

Tip

Jako důvěryhodné zapečetěče ARC ve vaší organizaci Microsoft 365 přidejte jenom legitimní a požadované služby. Tato akce pomáhá ovlivněným zprávám projít kontrolami ověření e-mailu a zabraňuje doručení legitimních zpráv do složky Nevyžádaná pošta, jejich umístění do karantény nebo zamítnutí kvůli selhání ověřování e-mailu.

Co potřebujete vědět, než začnete?

  • Portál Microsoft Defender otevřete na adrese https://security.microsoft.com. Pokud chcete přejít přímo na stránku nastavení ověřování e-mailem , použijte https://security.microsoft.com/authentication.

  • Pokud se chcete připojit k Exchange Online PowerShellu, přečtěte si téma Připojení k Exchange Online PowerShellu. Pokud se chcete připojit k samostatnému prostředí PowerShell EOP, přečtěte si téma Připojení k PowerShellu pro Exchange Online Protection.

  • Abyste mohli provádět postupy v tomto článku, musíte mít přiřazená oprávnění. Máte následující možnosti:

    • Jednotné řízení přístupu na základě role (RBAC) v Programu Microsoft Defender XDR (Pokud je oprávněníDefenderu pro Office 365 pro e-mail & spolupráce>aktivní. Ovlivňuje jenom portál Defender, ne PowerShell: Autorizace a nastavení / Nastavení zabezpečení / Základní nastavení zabezpečení (správa) nebo Autorizace a nastavení / Nastavení zabezpečení / Základní nastavení zabezpečení (čtení).

    • Oprávnění Exchange Online: Členství ve skupinách rolí Správa organizace nebo Správce zabezpečení .

    • Oprávnění Microsoft Entra: Členství v rolích globálního správce* nebo správce zabezpečení poskytuje uživatelům požadovaná oprávnění a oprávnění pro další funkce v Microsoftu 365.

      Důležité

      * Microsoft doporučuje používat role s nejmenším oprávněním. Používání účtů s nižším oprávněním pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

Použití portálu Microsoft Defender k přidání důvěryhodných zapečetěčů ARC

  1. Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte na Zásady spolupráce & E-mail& Zásady> ochrany >před hrozbami>Nastavení ověřování e-mailů v části >PravidlaARC . Nebo pokud chcete přejít přímo na stránku nastavení ověřování e-mailem, použijte .https://security.microsoft.com/authentication

  2. Na stránce Nastavení ověřování e-mailem ověřte, že je vybraná karta ARC , a pak vyberte Přidat.

    Tip

    Pokud jsou důvěryhodné těsnicí moduly již uvedené na kartě ARC , vyberte Upravit.

  3. V rozevíracím seznamu Přidat důvěryhodné zapečetěcí moduly ARC , který se otevře, zadejte do pole důvěryhodnou podpisovou doménu (například fabrikam.com).

    Název domény se musí shodovat s doménou, která je zobrazená v hodnotě d v hlavičkách ARC-Seal a ARC-Message-Signature v ovlivněných zprávách. K zobrazení záhlaví zprávy použijte následující metody:

    Tento krok opakujte tolikrát, kolikrát je to potřeba. Pokud chcete odebrat existující položku, vyberte vedle položky.

    Až skončíte v informačním rámečku Přidat důvěryhodné zapečetěcí moduly ARC, vyberte Uložit.

Přidání důvěryhodných zapečetěčů ARC pomocí PowerShellu pro Exchange Online

Pokud chcete k zobrazení, přidání nebo odebrání důvěryhodných zapečetění ARC raději použít PowerShell, připojte se k Exchange Online PowerShellu a spusťte následující příkazy.

  • Zobrazení existujících důvěryhodných zapečetěčů ARC

    Get-ArcConfig

    Pokud nejsou nakonfigurovány žádné důvěryhodné zapečetěče ARC, příkaz nevrátí žádné výsledky.

  • Přidání nebo odebrání důvěryhodných zatěsovačů ARC

    Pokud chcete nahradit existující zatěsovací moduly ARC zadanými hodnotami, použijte následující syntaxi:

    Set-ArcConfig -Identity [TenantId\]Default -ArcTrustedSealers "Domain1","Domain2",..."DomainN"

    Hodnota TenantId\ se nevyžaduje ve vaší vlastní organizaci, pouze v delegovaných organizacích. Jedná se o identifikátor GUID, který je viditelný v mnoha adresách URL portálu tid= pro správu v Microsoftu 365 (hodnota). Například a32d39e2-3702-4ff5-9628-31358774c091.

    Tento příklad nakonfiguruje "cohovineyard.com" a "tailspintoys.com" jako jediné důvěryhodné zapečetěče ARC v organizaci.

    Set-ArcConfig -Identity Default -ArcTrustedSealers "cohovineyard.com","tailspintoys.com"

    Chcete-li zachovat existující hodnoty, nezapomeňte zahrnout těsnicí rutiny ARC, které chcete zachovat spolu s novými těsnicími rutinami ARC, které chcete přidat.

    Pokud chcete přidat nebo odebrat těsnicí moduly ARC, aniž by to mělo vliv na ostatní položky, přečtěte si část Příklady v tématu Set-ArcConfig.

Ověření důvěryhodného zatěsovači ARC

Pokud služba před doručením zprávy do Microsoftu 365 zapečetí ARC, zkontrolujte v záhlaví zprávy nejnovější hlavičky ARC po doručení zprávy.

V poslední hlavičce ARC-Authentication-Results vyhledejte arc=pass a oda=1. Tyto hodnoty označují:

  • Předchozí služba ARC byla ověřena.
  • Předchozí zapečetěč ARC je důvěryhodný.
  • Předchozí výsledek průchodu lze použít k přepsání aktuálního selhání DMARC.

Příklady:

ARC-Authentication-Results: i=2; mx.microsoft.com 1; spf=pass (sender ip is
172.17.17.17) smtp.rcpttodomain=microsoft.com
smtp.mailfrom=sampledoamin.onmicrosoft.com; dmarc=bestguesspass action=none
header.from=sampledoamin.onmicrosoft.com; dkim=none (message not signed);
arc=pass (0 oda=1 ltdi=1
spf=[1,1,smtp.mailfrom=sampledoamin.onmicrosoft.com]
dkim=[1,1,header.d=sampledoamin.onmicrosoft.com]
dmarc=[1,1,header.from=sampledoamin.onmicrosoft.com])

Pokud chcete zkontrolovat, jestli se výsledek ARC použil k přepsání selhání DMARC, vyhledejte compauth=pass a reason=130 v poslední hlavičce Authentication-Results . Příklady:

Authentication-Results: spf=fail (sender IP is 10.10.10.10)
smtp.mailfrom=contoso.com; dkim=fail (body hash did not verify)
header.d=contoso.com;dmarc=fail action=none
header.from=contoso.com;compauth=pass reason=130

Diagramy toku pošty důvěryhodného těsnicího nástroje ARC

Diagramy v této části kontrastují tok pošty a vliv na výsledky ověřování e-mailů s důvěryhodným zapečetěčem ARC a bez. V obou diagramech organizace Microsoft 365 používá legitimní e-mailovou službu, která upravuje příchozí poštu před doručením do Microsoftu 365. Tato úprava přeruší tok pošty, což může způsobit selhání ověřování e-mailů změnou zdrojové IP adresy a aktualizací záhlaví e-mailové zprávy.

Tento diagram znázorňuje výsledek bez důvěryhodného těsnicího nástroje ARC:

Společnost Contoso publikuje SPF, DKIM a DMARC. Odesílatel používající SPF odesílá e-maily z contoso.com fabrikam.com a tato zpráva prochází legitimní službou třetí strany, která upravuje odesílající IP adresu v záhlaví e-mailu. Během kontroly DNS v Microsoftu 365 selže zpráva SPF kvůli změněné IP adrese a selže DKIM, protože se změnil obsah. DMARC selže kvůli selhání SPF a DKIM. Zpráva se doručí do složky Nevyžádaná pošta, umístí do karantény nebo odmítne.

Tento diagram znázorňuje výsledek s důvěryhodným zapečetěčem ARC:

Společnost Contoso publikuje SPF, DKIM a DMARC, ale také nakonfiguruje požadované důvěryhodné zapečetěče ARC. Odesílatel používající SPF odesílá e-maily z contoso.com fabrikam.com a tato zpráva prochází legitimní službou třetí strany, která upravuje odesílající IP adresu v záhlaví e-mailu. Služba používá zapečetění ARC, a protože je služba v Microsoftu 365 definovaná jako důvěryhodný zapečetěč ARC, je změna přijata. SPF selže pro novou IP adresu. DKIM selže kvůli úpravě obsahu. DMARC selže kvůli dřívějším selháním. Arc ale změny rozpozná, vydá pass a změny přijme. Spoof také obdrží průchod. Zpráva se doručí do složky Doručená pošta.

Další kroky

Zkontrolujte hlavičky ARC pomocí Analyzátoru hlaviček zpráv na adrese https://mha.azurewebsites.net.

Projděte si konfigurační postupy SPF, DKIM, DMARC.