Nastavení SPF pro identifikaci platných zdrojů e-mailu pro vaši doménu Microsoftu 365

• Platí pro:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.

Sender Policy Framework (SPF) je metoda ověřování e-mailů , která pomáhá ověřovat poštu poslanou z vaší organizace Microsoft 365, aby se zabránilo zfalšovaným odesílatelům, kteří se používají při ohrožení obchodních e-mailů (BEC), ransomwaru a dalších phishingových útocích.

Primárním účelem SPF je ověřit zdroje e-mailů pro doménu. Konkrétně SPF používá záznam TXT v DNS k identifikaci platných zdrojů pošty pro doménu. Přijímající e-mailové systémy pomocí záznamu SPF TXT ověřují, že e-maily z adresy odesílatele použité při přenosu zprávy přes protokol SMTP (známé jako adresa MAIL FROM, 5321.MailFrom adresa, odesílatel P1 nebo odesílatel obálek) pocházejí ze známého, určeného zdroje pošty pro danou doménu.

Pokud je například vaše e-mailová doména v Microsoftu 365 contoso.com, vytvoříte v DNS záznam TXT SPF pro contoso.com doménu, abyste identifikovali Microsoft 365 jako autorizovaný zdroj pošty z contoso.com. Cílové e-mailové systémy kontrolují záznam SPF TXT v contoso.com a určují, jestli zpráva přišla z autorizovaného zdroje pro contoso.com e-mail.

Než začneme, potřebujete vědět o SPF v Microsoftu 365 na základě vaší e-mailové domény:

• Pokud pro e-mail používáte jenom doménu MOERA (Microsoft Online Email Routing Address) (například contoso.onmicrosoft.com), nemusíte nic dělat. Záznam TXT SPF je již nakonfigurovaný. Onmicrosoft.com doménu vlastní Microsoft, takže zodpovídáme za vytváření a správu záznamů DNS v této doméně a subdoménách. Další informace o doménách *.onmicrosoft.com najdete v tématu Proč mám doménu "onmicrosoft.com"?

• Pokud pro e-mail používáte jednu nebo více vlastních domén (například contoso.com): Proces registrace Microsoftu 365 už vyžadoval vytvoření nebo úpravu záznamu SPF TXT v DNS pro vaši vlastní doménu, abyste identifikovali Microsoft 365 jako autorizovaný zdroj pošty. Pro maximální ochranu e-mailu ale ještě musíte udělat víc práce:

  • Důležité informace o subdoméně:

    • U e-mailových služeb, které nemáte pod přímou kontrolou (například hromadné e-mailové služby), doporučujeme místo hlavní e-mailové domény (například contoso.com) použít subdoménu (například marketing.contoso.com). Nechcete, aby problémy s poštou odesílanou z těchto e-mailových služeb ovlivnily pověst pošty odeslané zaměstnanci ve vaší hlavní e-mailové doméně. Další informace o přidávání subdomén najdete v článku Můžu do Microsoftu 365 přidat vlastní subdomény nebo více domén?

    • Každá subdoména, kterou používáte k odesílání e-mailů z Microsoftu 365, vyžaduje vlastní záznam TXT SPF. Například záznam SPF TXT pro contoso.com nepokrývá marketing.contoso.com; marketing.contoso.com potřebuje vlastní záznam TXT SPF.

      Tip

      Email ochranu ověřování pro nedefinované subdomény pokrývá DMARC. Všechny subdomény (definované nebo ne) dědí nastavení DMARC nadřazené domény (které je možné přepsat na každou subdoménu). Další informace najdete v tématu Nastavení DMARC pro ověření domény adresy Odesílatele pro odesílatele v Microsoftu 365.

  • Pokud vlastníte registrované, ale nepoužívané domény: Pokud vlastníte registrované domény, které se nepoužívají pro e-mail nebo nic jiného ( označované také jako zaparkované domény), nakonfigurujte záznamy SPF TXT tak, aby indikovaly, že z těchto domén by nikdy neměly pocházet žádné e-maily, jak je popsáno dále v tomto článku.

• Samotný SPF nestačí. Pro zajištění nejlepší úrovně ochrany e-mailu pro vlastní domény je také potřeba nakonfigurovat DKIM a DMARC jako součást celkové strategie ověřování e-mailu . Další informace najdete v části Další kroky na konci tohoto článku.

  Důležité

  Ve složitých organizacích, kde je obtížné identifikovat všechny platné zdroje pošty pro doménu, je důležité, abyste pro doménu rychle nakonfigurovali podepisování DKIM a DMARC (v režimu neprovádět žádnou akci). Služba generování sestav DMARC je velmi užitečná při identifikaci zdrojů e-mailu a selhání SPF pro doménu.

Zbývající část tohoto článku popisuje záznamy TXT SPF, které je potřeba vytvořit pro vlastní domény v Microsoftu 365.

Tip

V Microsoftu 365 nejsou žádné portály pro správu ani rutiny PowerShellu, které by vám ve vaší doméně spravily záznamy SPF. Místo toho vytvoříte záznam TXT SPF u svého doménového registrátora nebo u hostitelské služby DNS (často ve stejné společnosti).

U mnoha doménových registrátorů poskytujeme pokyny k vytvoření záznamu TXT s dokladem o vlastnictví domény pro Microsoft 365. Tyto pokyny můžete použít jako výchozí bod k vytvoření hodnoty záznamu TXT SPF. Další informace najdete v tématu Přidání záznamů DNS pro připojení vaší domény.

Pokud konfiguraci DNS neznáte, obraťte se na svého doménového registrátora a požádejte o pomoc.

Syntaxe pro záznamy TXT SPF

Záznamy SPF TXT jsou podrobně popsány v dokumentu RFC 7208.

Základní syntaxe záznamu SPF TX pro vlastní doménu v Microsoftu 365 je:

v=spf1 <valid mail sources> <enforcement rule>

Nebo:

v=spf1 [<ip4>|<ip6>:<PublicIPAddress1> <ip4>|<ip6>:<PublicIPAddress2>... <ip4>|<ip6>:<PublicIPAddressN>] [include:<DomainName1> include:<DomainName1>... include:<DomainNameN>] <-all | ~all>

Příklady:

v=spf1 ip4:192.168.0.10 ip4:192.168.0.12 include:spf.protection.outlook.com -all

• v=spf1 identifikuje záznam TXT jako záznam SPF TXT.

• Platné zdroje pošty: Zadané platné zdroje pošty pro doménu. Používá domény, IP adresy nebo obojí:

  • Domény: include: Hodnoty určují jiné služby nebo domény jako platné zdroje pošty z původní domény. Tyto hodnoty nakonec vedou k IP adrese pomocí vyhledávání DNS.

    Většina organizací Microsoft 365 vyžaduje include:spf.protection.outlook.com pro doménu záznam TXT SPF. Jiné e-mailové služby třetích stran často vyžadují další include: hodnotu k identifikaci služby jako platného zdroje e-mailu z původní domény.

  • IP adresy: Hodnota IP adresy zahrnuje oba následující prvky:

    • Hodnota ip4: nebo ip6: k identifikaci typu IP adresy.
    • Veřejně přeložitelná IP adresa zdrojového e-mailového systému. Příklady:
      • Jednotlivá IP adresa (například 192.168.0.10).
      • Rozsah IP adres používající zápis CIDR (Classless Inter-Domain Routing) (například 192.168.0.1/26). Ujistěte se, že rozsah není příliš velký nebo příliš malý.

    V Microsoftu 365 obvykle používáte IP adresy v záznamu TXT SPF jenom v případě, že máte místní e-mailové servery, které odesílají poštu z domény Microsoft 365 (například Exchange Server hybridní nasazení). Některé e-mailové služby třetích stran můžou místo hodnoty v záznamu TXT SPF používat rozsah IP adres include: .

• Pravidlo vynucení: Říká cílovým e-mailovým systémům, co mají dělat se zprávami ze zdrojů, které nejsou zadané v záznamu SPF TXT pro doménu. Platné hodnoty jsou:

  • -all (hard fail): Zdroje, které nejsou zadané v záznamu SPF TXT, nemají oprávnění k odesílání pošty pro doménu, takže zprávy by měly být odmítnuty. Co se se zprávou skutečně stane, závisí na cílovém e-mailovém systému, ale zprávy se obvykle zahodí.

    Pro domény Microsoft 365 doporučujeme -all (hard fail), protože pro doménu doporučujeme také DKIM a DMARC. Zásady DMARC určují, co se má dělat se zprávami, které selžou SPF nebo DKIM, a sestavy DMARC umožňují ověřit výsledky.

    Tip

    Jak jsme už uvedli, DMARC nakonfigurovaný se službou generování sestav DMARC výrazně pomáhá při identifikaci zdrojů e-mailu a selhání SPF pro doménu.

  • ~all (softwarové selhání): Zdroje, které nejsou zadané v záznamu SPF TXT , pravděpodobně nemají oprávnění k odesílání pošty pro doménu, takže zprávy by měly být přijaty, ale označené. Co se se zprávou skutečně stane, závisí na cílovém e-mailovém systému. Zpráva může být například umístěna do karantény jako spam, doručena do složky Nevyžádaná pošta Email nebo doručena do složky Doručená pošta s identifikátorem přidaným do předmětu nebo textu zprávy.

    Vzhledem k tomu, že pro domény Microsoft 365 doporučujeme také DKIM a DMARC, jsou rozdíly mezi -all (hard fail) a ~all (soft fail) efektivně eliminovány (DMARC považuje oba výsledky za selhání SPF). DMARC používá SPF k potvrzení, že domény v adresách MAIL FROM a From jsou zarovnané a zpráva pochází z platného zdroje pro doménu From.

  Tip

  ?all (neutrální) je také k dispozici, aby nenavrhl žádnou konkrétní akci u zpráv z neidentifikovaných zdrojů. Tato hodnota se používá k testování a nedoporučujeme ji v produkčních prostředích.

Důležité body, které je třeba pamatovat:

• Každá definovaná doména nebo subdoména v DNS vyžaduje záznam TXT SPF a pro každou doménu nebo subdoménu je povolený jenom jeden záznam SPF. Email ochranu ověřování pro nedefinované subdomény nejlépe zvládá DMARC.
• Existující záznam TXT SPF pro doménu *.onmicrosoft.com není možné upravit.
• Když cílový e-mailový systém zkontroluje platné zdroje e-mailů v záznamu SPF, ověření SPF selže, pokud kontrola vyžaduje příliš mnoho vyhledávání DNS. Další informace najdete v části Řešení potíží se záznamy SPF TXT dále v tomto článku.

Záznamy SPF TXT pro vlastní domény v Microsoftu 365

Tip

Jak už bylo zmíněno v tomto článku, vytvoříte záznam SPF TXT pro doménu nebo subdoménu u doménového registrátora pro doménu. V Microsoft 365 není k dispozici žádná konfigurace záznamu SPF TXT.

• Scénář: Pro e-mail v Microsoftu 365 používáte contoso.com a Microsoft 365 je jediným zdrojem e-mailů z contoso.com.

  Záznam TXT SPF pro contoso.com v Microsoft 365 a Microsoft 365 Government Community Cloud (GCC):

  v=spf1 include:spf.protection.outlook.com -all
  

  Záznam SPF TXT pro contoso.com v Microsoft 365 Government Community Cloud High (GCC High) a Microsoft 365 Department of Defense (DoD):

  v=spf1 include:spf.protection.office365.us -all
  

  Záznam SPF TXT pro contoso.com v Microsoftu 365 provozovaném společností 21Vianet

  v=spf1 include:spf.protection.partner.outlook.cn -all
  

• Scénář: Pro e-mail v Microsoftu 365 jste použili contoso.com a záznam TXT SPF jste už nakonfigurovali v contoso.com se všemi zdroji e-mailu z domény. Vlastníte také domény contoso.net a contoso.org, ale nepoužíváte je pro e-mail. Chcete určit, že nikdo nemá oprávnění posílat e-maily z contoso.net nebo contoso.org.

  Záznam TXT SPF pro contoso.net:

  v=spf1 -all
  

  Záznam TXT SPF pro contoso.org:

  v=spf1 -all
  

• Scénář: Pro e-mail v Microsoftu 365 použijete contoso.com. Plánujete odesílání e-mailů z následujících zdrojů:

  • Místní e-mailový server s externí e-mailovou adresou 192.168.0.10. Vzhledem k tomu, že máte přímou kontrolu nad tímto zdrojem e-mailů, považujeme za vhodné použít server pro odesílatele v contoso.com doméně.
  • Hromadná poštovní služba Adatum. Vzhledem k tomu, že nad tímto zdrojem e-mailu nemáte přímou kontrolu, doporučujeme použít subdoménu, abyste pro tento účel vytvořili marketing.contoso.com. Podle dokumentace ke službě Adatum musíte přidat include:servers.adatum.com do záznamu TXT SPF pro vaši doménu.

  Záznam TXT SPF pro contoso.com:

  v=spf1 ip4:192.168.0.10 include:spf.protection.outlook.com -all
  

  Záznam TXT SPF pro marketing.contoso.com:

  v=spf1 include:servers.adatum.com include:spf.protection.outlook.com -all
  

Řešení potíží se záznamy TXT SPF

• Jeden záznam SPF na doménu nebo subdoménu: Několik záznamů SPF TXT pro stejnou doménu nebo subdoménu způsobí, že se nezdaří vyhledávací smyčka DNS, takže pro každou doménu nebo subdoménu používejte jenom jeden záznam SPF.

• Méně než 10 vyhledávání DNS: Když se cílové e-mailové systémy dotazují na záznam TXT SPF na platné zdroje pro doménu adresy MAIL FROM, dotaz prohledává IP adresy a include: příkazy v záznamu, dokud zdroj zprávy (nakonec IP adresa) neodpovídá jednomu ze zadaných zdrojů. Pokud je počet vyhledávání DNS (které se může lišit od počtu dotazů DNS) větší než 10, zpráva selže SPF s trvalou chybou (označovanou permerrortaké jako ). Cílový e-mailový systém odmítne zprávu v oznámení o nedoručení (označované také jako oznámení o nedoručení nebo nedoručení) s jednou z následujících chyb:

  • Zpráva překročila počet segmentů směrování.
  • Zpráva vyžadovala příliš mnoho vyhledávání.

  V záznamu SPF TXT nezpůsobí vyhledávání DNS jednotlivé IP adresy nebo rozsahy IP adres. Každý include: příkaz vyžaduje alespoň jedno vyhledávání DNS a další vyhledávání může být vyžadováno, pokud include: hodnota odkazuje na vnořené prostředky. Jinými slovy, méně než 10 include: příkazů nezaručuje méně než 10 vyhledávání DNS.

  Mějte také na paměti, že cílové e-mailové systémy vyhodnocují zdroje v záznamu TXT SPF zleva doprava. Vyhodnocení se zastaví, když se ověří zdroj zprávy, a žádné další zdroje se nekontrolují. Záznam SPF TXT proto může obsahovat dostatek informací, aby mohl způsobit více než 10 vyhledávání DNS, ale ověření některých zdrojů pošty podle některých cílů se v záznamu neprovádí dostatečně hluboko, aby mohlo dojít k chybě.

  Kromě zachování reputace hlavní e-mailové domény je další důvod, proč používat subdomény pro jiné e-mailové služby, které nemáte pod kontrolou, překročení počtu vyhledávání DNS.

K zobrazení záznamu TXT SPF a dalších záznamů DNS pro vaši doménu můžete použít bezplatné online nástroje. Některé nástroje dokonce počítají počet vyhledávání záznamů DNS, které váš záznam SPF TXT vyžaduje.

Další kroky

Jak je popsáno v tématu Jak SPF, DKIM a DMARC spolupracují při ověřování odesílatelů e-mailových zpráv, samotný SPF nestačí k tomu, aby zabránil falšování vaší domény Microsoft 365. Musíte také nakonfigurovat DKIM a DMARC pro nejlepší možnou ochranu. Pokyny najdete v těchto tématech:

• Ověření odchozích e-mailů odeslaných z vlastní domény pomocí DKIM
• Ověření e-mailů pomocí DMARC

Pro poštu přicházející do Microsoftu 365 můžete také potřebovat nakonfigurovat důvěryhodné zapečetěče ARC, pokud používáte služby, které upravují přenášené zprávy před doručením do vaší organizace. Další informace najdete v tématu Konfigurace důvěryhodných zapečetěčů ARC.