Nastavení specifikace SPF, aby se zabránilo falšování identity

• Platí pro:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 plan 1 and plan 2, ✅ Microsoft 365 Defender

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v programu Microsoft 365 Defender for Office 365 Plan 2? Využijte 90denní zkušební verzi programu Defender for Office 365 v centru zkušebních verzí portálu Microsoft 365 Defender. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.

Tento článek popisuje, jak aktualizovat záznam DNS (Domain Name Service), abyste mohli používat ověřování e-mailů SPF (Sender Policy Framework) s vlastní doménou v Office 365.

SPF pomáhá ověřit odchozí e-maily odeslané z vaší vlastní domény (pochází od toho, o koho se jedná). Jedná se o první krok při nastavování všech doporučených metod ověřování e-mailů SPF, DKIM a DMARC.

• Požadavky
• Vytvoření nebo aktualizace záznamu TXT SPF
  • Jak zpracovávat subdomény?
• Co ověřování e-mailů SPF ve skutečnosti dělá?
  • Řešení potíží se SPF
• Další informace o SPF

Požadavky

Důležité

Pokud jste malá firma nebo neznáte IP adresy nebo konfiguraci DNS, obraťte se na svého internetového doménového registrátora (např. GoDaddy, Bluehost, web.com) & a požádejte o pomoc s konfigurací DNS SPF (a jakoukoli jinou metodou ověřování e-mailu).

Pokud nepoužíváte vlastní adresu URL (a adresa URL použitá pro Office 365 končí onmicrosoft.com), služba SPF už je pro vás ve službě Office 365 nastavená.

Pusťme se do toho.

Záznam SPF TXT pro Office 365 se vytvoří v externím DNS pro všechny vlastní domény nebo subdomény. K vytvoření záznamu potřebujete nějaké informace. Shromážděte tyto informace:

• Záznam TXT SPF pro vaši vlastní doménu, pokud existuje. Pokyny najdete v tématu Shromáždění informací potřebných k vytvoření Office 365 záznamů DNS.

• Přejděte na své servery pro zasílání zpráv a zjistěte externí IP adresy (potřebné ze všech místních serverů pro zasílání zpráv). Například 131.107.2.200.

• Názvy domén, které se mají používat pro všechny domény třetích stran, které potřebujete zahrnout do záznamu SPF TXT. Někteří poskytovatelé hromadné pošty nastavili subdomény, které budou používat pro své zákazníky. Například společnost MailChimp nastavila servers.mcsv.net.

• Zjistěte, jaké pravidlo vynucení chcete použít pro záznam TXT SPF. Doporučuje se pravidlo -all . Podrobné informace o dalších možnostech syntaxe najdete v tématu Syntaxe záznamů TXT SPF pro Microsoft 365.

Důležité

Abyste mohli použít vlastní doménu, Office 365 vyžaduje, abyste do záznamu DNS přidali txt záznam SPF (Sender Policy Framework), aby se zabránilo falšování identity.

Vytvoření nebo aktualizace záznamu TXT SPF

1. Ujistěte se, že znáte syntaxi SPF v následující tabulce.

   Prvek	Pokud používáte...	Běžné pro zákazníky?	Přidat toto...
   1	Libovolný e-mailový systém (povinné)	Společné. Všechny záznamy SPF TXT začínají touto hodnotou.	v=spf1
   2	Exchange Online	Společné	include:spf.protection.outlook.com
   3	Exchange Online pouze vyhrazené	Není běžné	ip4:23.103.224.0/19 ip4:206.191.224.0/19 ip4:40.103.0.0/16 include:spf.protection.outlook.com
   4	Office 365 Německo, pouze Microsoft Cloud Germany	Není běžné	include:spf.protection.outlook.de
   5	E-mailový systém třetích stran	Není běžné	include:<domain_name> <> domain_name je doména e-mailového systému třetí strany.
   6	Místní e-mailový systém. Například Exchange Online Protection plus jiný e-mailový systém	Není běžné	Pro každý další poštovní systém použijte jednu z těchto možností: ip4:<IP_address> ip6:<IP_address> include:<domain_name> <> IP_address a <domain_name> jsou IP adresa a doména druhého e-mailového systému, který odesílá poštu jménem vaší domény.
   7	Libovolný e-mailový systém (povinné)	Společné. Všechny záznamy SPF TXT končí touto hodnotou.	<enforcement rule> Může se jednat o jednu z několika hodnot. Doporučujeme hodnotu -all.

2. Pokud jste to ještě neudělali, vytvořte záznam TXT SPF pomocí syntaxe z tabulky.

   Pokud jste například hostovaní výhradně v Office 365, to znamená, že nemáte žádné místní poštovní servery, váš záznam TXT SPF by obsahoval řádky 1, 2 a 7 a vypadal by takto:

   v=spf1 include:spf.protection.outlook.com -all
   

   Výše uvedený příklad je nejběžnějším záznamem SPF TXT. Tento záznam funguje pro každého bez ohledu na to, jestli se vaše datové centrum Microsoftu nachází v USA, v Evropě (včetně Německa) nebo na jiném místě.

   Pokud jste si ale koupili Office 365 Německo, která je součástí Microsoft Cloud Germany, měli byste místo řádku 2 použít příkaz include z řádku 4. Pokud jste například hostovaní výhradně v Office 365 Německu, to znamená, že nemáte žádné místní poštovní servery, váš záznam TXT SPF by obsahoval řádky 1, 4 a 7 a vypadal by takto:

   v=spf1 include:spf.protection.outlook.de -all
   

   Pokud jste již nasazeni v Office 365, nastavili jste záznamy SPF TXT pro vlastní doménu a migrujete do Office 365 Německu, musíte aktualizovat záznam TXT SPF. Uděláte to tak, že změníte include:spf.protection.outlook.com na include:spf.protection.outlook.de.

3. Jakmile vytvoříte záznam TXT SPF, musíte ho aktualizovat v DNS. Pro doménu můžete mít jenom jeden záznam TXT SPF. Pokud existuje záznam TXT SPF, musíte místo přidání nového záznamu aktualizovat existující záznam. Přejděte na Vytvořit záznamy DNS pro Office 365 a pak vyberte odkaz na svého hostitele DNS.

4. Otestujte záznam TXT SPF.

Jak zpracovávat subdomény?

Je důležité si uvědomit, že pro každou subdoménu je potřeba vytvořit samostatný záznam, protože subdomény nedědí záznam SPF své domény nejvyšší úrovně.

Pro každou doménu a subdoménu se vyžaduje záznam SPF se zástupným znakem (*.), aby útočníci nemohli odesílat e-maily s tvrzením, že pocházejí z neexistujících subdomén. Příklady:

*.subdomain.contoso.com. IN TXT "v=spf1 -all"

Řešení potíží se SPF

Máte potíže se záznamem TXT SPF? Viz Řešení potíží: Osvědčené postupy pro SPF v Microsoftu 365.

Co ověřování e-mailů SPF ve skutečnosti dělá?

SPF určuje, které poštovní servery můžou odesílat poštu vaším jménem. SPF společně s DKIM, DMARC a dalšími technologiemi podporovanými Office 365 v podstatě pomáhají zabránit falšování identity a útokům phishing. SPF se přidá jako záznam TXT, který dns používá k identifikaci poštovních serverů, které můžou posílat poštu jménem vaší vlastní domény. Poštovní systémy příjemců odkazují na záznam TXT SPF a určují, jestli zpráva z vaší vlastní domény pochází od autorizovaného serveru pro zasílání zpráv.

Řekněme například, že vaše vlastní doména contoso.com používá Office 365. Přidáte záznam TXT SPF, který uvádí servery Office 365 pro zasílání zpráv jako legitimní poštovní servery pro vaši doménu. Když přijímající server pro zasílání zpráv obdrží zprávu od joe@contoso.comserveru , vyhledá v záznamu TXT SPF contoso.com a zjistí, jestli je zpráva platná. Pokud přijímající server zjistí, že zpráva pochází z jiného serveru, než je server Office 365 pro zasílání zpráv uvedený v záznamu SPF, může se přijímající poštovní server rozhodnout zprávu odmítnout jako spam.

Pokud vaše vlastní doména nemá záznam TXT SPF, některé přijímající servery můžou zprávu rovnou odmítnout. Je to proto, že přijímající server nemůže ověřit, že zpráva pochází z autorizovaného serveru pro zasílání zpráv.

Pokud jste už nastavili poštu pro Office 365, zahrnuli jste servery microsoftu pro zasílání zpráv do DNS jako záznam TXT SPF. V některých případech ale může být potřeba aktualizovat záznam TXT SPF v DNS. Příklady:

• Dříve jste museli přidat jiný záznam SPF TXT do vlastní domény, pokud jste používali SharePoint Online. To už není potřeba. Tato změna by měla snížit riziko, že oznámení SharePointu Online skončí ve složce Nevyžádaná pošta Email. Aktualizujte záznam SPF TXT, pokud dosáhnete limitu 10 vyhledávání a dochází k chybám, které říkají, že jste překročili limit vyhledávání nebo že jste příliš mnoho segmentů směrování.

• Pokud máte hybridní prostředí s Office 365 a místním Exchangem.

• Máte v úmyslu nastavit DKIM a DMARC (doporučeno).

Další informace o SPF

Podrobnější informace o podporované syntaxi SPF, falšování identity, řešení potíží a o tom, jak Office 365 podporuje SPF, najdete v článku Jak funguje SPF, aby se zabránilo falšování identity a útokům phishing v Microsoftu 365.

Další kroky: DKIM a DMARC

SPF je navržený tak, aby zabránil falšování identity, ale existují techniky falšování identity, před kterými se SPF nedokáže chránit. Pokud se chcete těmto chybám bránit, měli byste po nastavení SPF nakonfigurovat DKIM a DMARC pro Office 365.

Cílem ověřování e-mailu DKIM je prokázat, že s obsahem e-mailu nebylo manipulováno.

Cílem ověřování e-mailů DMARC je zajistit, aby informace SPF a DKIM odpovídaly adrese Odesílatele.

Pokročilé příklady a podrobnější informace o podporované syntaxi SPF najdete v tématu Jak funguje SPF, aby se zabránilo falšování identity a útokům phishing v Office 365.

Použití důvěryhodných odesílatelů ARC pro legitimní toky pošty

Pokud máte zpětnou vazbu k této dokumentaci, vyberte v části Zpětná vazba možnost Tato stránka.