Konfigurace důvěryhodných zapečetěčů ARC
Email ověřování pomáhá ověřovat poštu poslanou do a z vaší organizace Microsoft 365, aby se zabránilo zfalšovaným odesílatelům, kteří se používají při ohrožení obchodních e-mailů (BEC), ransomwaru a dalších phishingových útocích.
Některé legitimní e-mailové služby ale můžou zprávy před doručením do vaší organizace Microsoft 365 upravit. Úprava příchozích zpráv při přenosu může a pravděpodobně způsobí následující selhání ověřování e-mailu v Microsoftu 365:
- SPF selže kvůli novému zdroji zpráv (IP adrese).
- DKIM selže kvůli úpravě obsahu.
- DMARC selže kvůli selhání SPF a DKIM.
Protokol ARC (Authenticated Received Chain) pomáhá omezit počet neúspěšných příchozích e-mailových ověřování způsobených úpravami zpráv legitimními e-mailovými službami. ARC zachová původní ověřovací informace e-mailu v e-mailové službě. Organizaci Microsoft 365 můžete nakonfigurovat tak, aby důvěřovala službě, která zprávu upravila, a použila tyto původní informace při kontrolách ověřování e-mailů.
Kdy použít důvěryhodné těsnicí moduly ARC?
Organizace Microsoft 365 musí identifikovat důvěryhodné zapečetěče ARC pouze v případech, kdy jsou zprávy doručované příjemcům Microsoftu 365 pravidelně ovlivněny následujícími způsoby:
- Zprostředkovatelská služba upraví záhlaví zprávy nebo obsah e-mailu.
- Úpravy zpráv způsobí selhání ověřování z jiných důvodů (například odebráním příloh).
Poté, co správce na portálu Defender přidá důvěryhodný zapečetěč ARC, Použije Microsoft 365 původní ověřovací informace e-mailu, které poskytuje zapečetěč ARC, k ověření zpráv odeslaných prostřednictvím služby do Microsoftu 365.
Tip
Jako důvěryhodné zapečetěče ARC ve vaší organizaci Microsoft 365 přidejte jenom legitimní a požadované služby. Tato akce pomáhá ovlivněným zprávám projít kontrolami ověření e-mailu a zabraňuje doručení legitimních zpráv do složky Nevyžádaná Email pošta, jejich umístění do karantény nebo zamítnutí kvůli selhání ověřování e-mailu.
Co potřebujete vědět, než začnete?
Portál Microsoft Defender otevřete na adrese https://security.microsoft.com. Pokud chcete přejít přímo na stránku nastavení ověřování Email, použijte .https://security.microsoft.com/authentication
Pokud se chcete připojit k Exchange Online PowerShellu, přečtěte si téma Připojení k Exchange Online PowerShellu. Informace o připojení k samostatnému prostředí PowerShell EOP najdete v tématu Připojení k Exchange Online Protection PowerShellu.
Abyste mohli provádět postupy v tomto článku, musíte mít přiřazená oprávnění. Máte následující možnosti:
- Microsoft Defender XDR Jednotné řízení přístupu na základě role (RBAC) (Pokud Email & spolupráce>Defender pro Office 365 oprávnění jsou aktivní. Ovlivňuje jenom portál Defender, ne PowerShell: Autorizace a nastavení / Nastavení zabezpečení / Základní nastavení zabezpečení (správa) nebo Autorizace a nastavení / Nastavení zabezpečení / Základní nastavení zabezpečení (čtení).
- Exchange Online oprávnění: Členství ve skupinách rolí Správa organizace nebo Správce zabezpečení.
- Microsoft Entra oprávnění: Členství v rolích globálního správce nebo správce zabezpečení poskytuje uživatelům požadovaná oprávnění a oprávnění pro další funkce v Microsoftu 365.
Použití portálu Microsoft Defender k přidání důvěryhodných zapečetěčů ARC
Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte na zásady spolupráce>Email & & pravidla>zásady> hrozeb Email Nastavení ověřování v části >PravidlaARC . Pokud chcete přejít přímo na stránku nastavení ověřování Email, použijte .https://security.microsoft.com/authentication
Na stránce nastavení ověřování Email ověřte, že je vybraná karta ARC, a pak vyberte Přidat.
Tip
Pokud jsou důvěryhodné těsnicí moduly již uvedené na kartě ARC , vyberte Upravit.
V rozevíracím seznamu Přidat důvěryhodné zapečetěcí moduly ARC , který se otevře, zadejte do pole důvěryhodnou podpisovou doménu (například fabrikam.com).
Název domény se musí shodovat s doménou, která je zobrazená v hodnotě d v hlavičkách ARC-Seal a ARC-Message-Signature v ovlivněných zprávách. K zobrazení záhlaví zprávy použijte následující metody:
- Zobrazení záhlaví internetových zpráv v Outlooku
- Použijte Analyzátor hlaviček zpráv na adrese https://mha.azurewebsites.net.
Tento krok opakujte tolikrát, kolikrát je to potřeba. Pokud chcete odebrat existující položku, vyberte vedle položky.
Až skončíte v informačním rámečku Přidat důvěryhodné zapečetěcí moduly ARC, vyberte Uložit.
Použití Exchange Online PowerShellu k přidání důvěryhodných zapečetěčů ARC
Pokud chcete k zobrazení, přidání nebo odebrání důvěryhodných zapečetěčů ARC raději použít PowerShell, připojte se k Exchange Online PowerShellu a spusťte následující příkazy.
Zobrazení existujících důvěryhodných zapečetěčů ARC
Get-ArcConfig
Pokud nejsou nakonfigurovány žádné důvěryhodné zapečetěče ARC, příkaz nevrátí žádné výsledky.
Přidání nebo odebrání důvěryhodných zatěsovačů ARC
Pokud chcete nahradit existující zatěsovací moduly ARC zadanými hodnotami, použijte následující syntaxi:
Set-ArcConfig -Identity [TenantId\]Default -ArcTrustedSealers "Domain1","Domain2",..."DomainN"
Hodnota TenantId\ se nevyžaduje ve vaší vlastní organizaci, pouze v delegovaných organizacích. Jedná se o identifikátor GUID, který je viditelný v mnoha adresách URL portálu
tid=
pro správu v Microsoftu 365 (hodnota). Například a32d39e2-3702-4ff5-9628-31358774c091.Tento příklad nakonfiguruje "cohovineyard.com" a "tailspintoys.com" jako jediné důvěryhodné zapečetěče ARC v organizaci.
Set-ArcConfig -Identity Default -ArcTrustedSealers "cohovineyard.com","tailspintoys.com"
Chcete-li zachovat existující hodnoty, nezapomeňte zahrnout těsnicí rutiny ARC, které chcete zachovat spolu s novými těsnicími rutinami ARC, které chcete přidat.
Pokud chcete přidat nebo odebrat těsnicí moduly ARC, aniž by to mělo vliv na ostatní položky, přečtěte si část Příklady v tématu Set-ArcConfig.
Ověření důvěryhodného zatěsovači ARC
Pokud služba před doručením zprávy do Microsoftu 365 zapečetí ARC, zkontrolujte v záhlaví zprávy nejnovější hlavičky ARC po doručení zprávy.
V poslední hlavičce ARC-Authentication-Results vyhledejte arc=pass
a oda=1
. Tyto hodnoty označují:
- Předchozí služba ARC byla ověřena.
- Předchozí zapečetěč ARC je důvěryhodný.
- Předchozí výsledek průchodu lze použít k přepsání aktuálního selhání DMARC.
Příklady:
ARC-Authentication-Results: i=2; mx.microsoft.com 1; spf=pass (sender ip is
172.17.17.17) smtp.rcpttodomain=microsoft.com
smtp.mailfrom=sampledoamin.onmicrosoft.com; dmarc=bestguesspass action=none
header.from=sampledoamin.onmicrosoft.com; dkim=none (message not signed);
arc=pass (0 oda=1 ltdi=1
spf=[1,1,smtp.mailfrom=sampledoamin.onmicrosoft.com]
dkim=[1,1,header.d=sampledoamin.onmicrosoft.com]
dmarc=[1,1,header.from=sampledoamin.onmicrosoft.com])
Pokud chcete zkontrolovat, jestli se výsledek ARC použil k přepsání selhání DMARC, vyhledejte compauth=pass
a reason=130
v poslední hlavičce Authentication-Results . Příklady:
Authentication-Results: spf=fail (sender IP is 10.10.10.10)
smtp.mailfrom=contoso.com; dkim=fail (body hash did not verify)
header.d=contoso.com;dmarc=fail action=none
header.from=contoso.com;compauth=pass reason=130
Diagramy toku pošty důvěryhodného těsnicího nástroje ARC
Diagramy v této části kontrastují tok pošty a vliv na výsledky ověřování e-mailů s důvěryhodným zapečetěčem ARC a bez. V obou diagramech organizace Microsoft 365 používá legitimní e-mailovou službu, která upravuje příchozí poštu před doručením do Microsoftu 365. Tato úprava přeruší tok pošty, což může způsobit selhání ověřování e-mailů změnou zdrojové IP adresy a aktualizací záhlaví e-mailové zprávy.
Tento diagram znázorňuje výsledek bez důvěryhodného těsnicího nástroje ARC:
Tento diagram znázorňuje výsledek s důvěryhodným zapečetěčem ARC:
Další kroky
Zkontrolujte hlavičky ARC pomocí Analyzátoru hlaviček zpráv na adrese https://mha.azurewebsites.net.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro