Konfigurer SPF til at identificere gyldige mailkilder for dit Microsoft 365-domæne

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.

SPF (Sender Policy Framework) er en metode til godkendelse af mail , der hjælper med at validere mails, der sendes fra din Microsoft 365-organisation, for at forhindre forfalskede afsendere, der bruges i beC (business email compromise), ransomware og andre phishing-angreb.

Det primære formål med SPF er at validere mailkilder for et domæne. SPF bruger specifikt en TXT-post i DNS til at identificere gyldige mailkilder for domænet. Modtagelse af mailsystemer bruger SPF TXT-posten til at bekræfte, at mail fra afsenderadressen, der bruges under SMTP-overførslen af meddelelsen (kendt som MAIL FROM-adressen, 5321.MailFrom adressen, P1-afsenderen eller afsenderkonvolutten), er fra en kendt, angivet mailkilde for det pågældende domæne.

Hvis dit maildomæne i Microsoft 365 f.eks. er contoso.com, skal du oprette en SPF TXT-post i DNS for det contoso.com domæne for at identificere Microsoft 365 som en godkendt mailkilde fra contoso.com. Destinationsmailsystemer kontrollerer SPF TXT-posten i contoso.com for at afgøre, om meddelelsen kom fra en godkendt kilde til contoso.com mail.

Før vi går i gang, skal du vide følgende om SPF i Microsoft 365 baseret på dit maildomæne:

  • Hvis du kun bruger domænet MOERA (Microsoft Online Email Routing Address) til mail (f.eks. contoso.onmicrosoft.com): Du behøver ikke at foretage dig noget. SPF TXT-posten er allerede konfigureret for dig. Microsoft ejer det onmicrosoft.com domæne, så vi er ansvarlige for at oprette og vedligeholde DNS-posterne i det pågældende domæne og underdomæner. Du kan få flere oplysninger om *.onmicrosoft.com domæner under Hvorfor har jeg et "onmicrosoft.com"-domæne?.

  • Hvis du bruger et eller flere brugerdefinerede domæner til mail (f.eks. contoso.com): Tilmeldingsprocessen til Microsoft 365 kræver allerede, at du opretter eller ændrer SPF TXT-posten i DNS for dit brugerdefinerede domæne for at identificere Microsoft 365 som en godkendt mailkilde. Men du har stadig mere arbejde at udføre for at opnå maksimal mailbeskyttelse:

    • Overvejelser i forbindelse med underdomæne:

      • For mailtjenester, der ikke er under din direkte kontrol (f.eks. massemailtjenester), anbefaler vi, at du bruger et underdomæne (f.eks. marketing.contoso.com) i stedet for dit primære maildomæne (f.eks. contoso.com). Du ønsker ikke, at problemer med mails, der sendes fra disse mailtjenester, skal påvirke omdømmet for mails, der sendes af medarbejdere i dit primære maildomæne. Du kan få flere oplysninger om tilføjelse af underdomæner under Kan jeg føje brugerdefinerede underdomæner eller flere domæner til Microsoft 365?.

      • Hvert underdomæne, du bruger til at sende mail fra Microsoft 365, kræver sin egen SPF TXT-post. SPF TXT-posten for contoso.com dækker f.eks. ikke marketing.contoso.com. marketing.contoso.com skal bruge sin egen SPF TXT-post.

        Tip

        Beskyttelse mod mailgodkendelse for ikke-afgrænsede underdomæner er dækket af DMARC. Alle underdomæner (defineret eller ej) nedarver DMARC-indstillingerne for det overordnede domæne (som kan tilsidesættes pr. underdomæne). Du kan finde flere oplysninger under Konfigurer DMARC til at validere domænet Fra-adresse for afsendere i Microsoft 365.

    • Hvis du ejer registrerede, men ubrugte domæner: Hvis du ejer registrerede domæner, der ikke bruges til mail eller noget (også kendt som parkerede domæner), skal du konfigurere SPF TXT-poster for at angive, at ingen mail nogensinde skal komme fra disse domæner, som beskrevet senere i denne artikel.

  • SPF alene er ikke nok. For at opnå det bedste niveau af mailbeskyttelse til dine brugerdefinerede domæner, skal du også konfigurere DKIM og DMARC som en del af din overordnede mailgodkendelsesstrategi . Du kan finde flere oplysninger i afsnittet Næste trin i slutningen af denne artikel.

    Vigtigt!

    I komplekse organisationer, hvor det er svært at identificere alle gyldige mailkilder for domænet, er det vigtigt, at du hurtigt konfigurerer DKIM-signering og DMARC (i "ingen handling"-tilstand) for domænet. En DMARC-rapporteringstjeneste er meget nyttig til at identificere mailkilder og SPF-fejl for domænet.

I resten af denne artikel beskrives de SPF TXT-poster, du skal oprette til brugerdefinerede domæner i Microsoft 365.

Tip

Der er ingen administrationsportaler eller PowerShell-cmdlet'er i Microsoft 365, hvor du kan administrere SPF-poster i dit domæne. Du opretter i stedet SPF TXT-posten hos din domæneregistrator eller DNS-hostingtjeneste (ofte det samme firma).

Vi giver instruktioner til at oprette bevis for domæneejerskab TXT-posten for Microsoft 365 hos mange domæneregistratorer. Du kan bruge disse instruktioner som udgangspunkt for at oprette SPF TXT-postværdien. Du kan få flere oplysninger under Tilføj DNS-poster for at oprette forbindelse til dit domæne.

Hvis du ikke er fortrolig med DNS-konfigurationen, skal du kontakte din domæneregistrator og bede om hjælp.

Syntaks for SPF TXT-poster

SPF TXT-poster er udtømmende beskrevet i RFC 7208.

Den grundlæggende syntaks for SPF TX-posten for et brugerdefineret domæne i Microsoft 365 er:

v=spf1 <valid mail sources> <enforcement rule>

Eller:

v=spf1 [<ip4>|<ip6>:<PublicIPAddress1> <ip4>|<ip6>:<PublicIPAddress2>... <ip4>|<ip6>:<PublicIPAddressN>] [include:<DomainName1> include:<DomainName1>... include:<DomainNameN>] <-all | ~all>

Det kan f.eks. være:

v=spf1 ip4:192.168.0.10 ip4:192.168.0.12 include:spf.protection.outlook.com -all
  • v=spf1 identificerer TXT-posten som en SPF TXT-post.

  • Gyldige mailkilder: Angiv gyldige mailkilder for domænet. Bruger domæner, IP-adresser eller begge dele:

    • Domæner: include: Værdier angiver andre tjenester eller domæner som gyldige mailkilder fra det oprindelige domæne. Disse værdier fører i sidste ende til en IP-adresse ved hjælp af DNS-opslag.

      De fleste Microsoft 365-organisationer kræver include:spf.protection.outlook.com i SPF TXT-posten for domænet. Andre tredjepartsmailtjenester kræver ofte en ekstra include: værdi for at identificere tjenesten som en gyldig kilde til mail fra det oprindelige domæne.

    • IP-adresser: En IP-adresseværdi indeholder begge følgende elementer:

      • Værdien ipv4: eller ipv6: for at identificere typen af IP-adresse.
      • Den offentligt opløselige IP-adresse for kildemailsystemet. Det kan f.eks. være:
        • En individuel IP-adresse (f.eks. 192.168.0.10).
        • Et IP-adresseområde med CIDR-notation (Classless Inter-Domain Routing) (f.eks. 192.168.0.1/26). Sørg for, at området ikke er for stort eller for lille.

      I Microsoft 365 bruger du typisk kun IP-adresser i SPF TXT-posten, hvis du har mailservere i det lokale miljø, der sender mail fra Microsoft 365-domænet (f.eks. Exchange Server hybridinstallationer). Nogle mailtjenester fra tredjepart bruger muligvis også et IP-adresseinterval i stedet for en include: værdi i SPF TXT-posten.

  • Håndhævelsesregel: Fortæller destinationens mailsystemer, hvad de skal gøre med meddelelser fra kilder, der ikke er angivet i SPF TXT-posten for domænet. Gyldige værdier er:

    • -all (hård fejl): Kilder, der ikke er angivet i SPF TXT-posten, er ikke godkendt til at sende post til domænet, så meddelelserne bør afvises. Det, der rent faktisk sker med meddelelsen, afhænger af destinationens mailsystem, men meddelelserne kasseres typisk.

      For Microsoft 365-domæner anbefaler -all vi (mislykkes hårdt), fordi vi også anbefaler DKIM og DMARC for domænet. DMARC-politikken angiver, hvad du skal gøre med meddelelser, der ikke lykkes MED SPF eller DKIM, og DMARC-rapporter giver dig mulighed for at validere resultaterne.

      Tip

      Som tidligere angivet hjælper DMARC, der er konfigureret med en DMARC-rapporteringstjeneste, meget med at identificere mailkilder og SPF-fejl for domænet.

    • ~all (blød fejl): Kilder, der ikke er angivet i SPF TXT-posten, er sandsynligvis ikke godkendt til at sende post til domænet, så meddelelserne skal accepteres, men markeres. Hvad der rent faktisk sker med meddelelsen, afhænger af destinationens mailsystem. Meddelelsen kan f.eks. være sat i karantæne som spam, leveret til mappen Uønsket mail eller leveret til indbakken med et id, der er føjet til emne- eller meddelelsesteksten.

      Da vi også anbefaler DKIM og DMARC til Microsoft 365-domæner, fjernes forskellene mellem -all (hard fail) og ~all (soft fail) effektivt (DMARC behandler begge resultater som en SPF-fejl). DMARC bruger SPF til at bekræfte, at domænerne i POST FRA- og Fra-adresserne er justeret, og meddelelsen kom fra en gyldig kilde for domænet Fra.

    Tip

    ?all (neutral) er også tilgængelig til at foreslå ingen specifik handling på meddelelser fra uidentificerede kilder. Denne værdi bruges til test, og vi anbefaler ikke denne værdi i produktionsmiljøer.

Vigtige punkter at huske:

  • Hvert defineret domæne eller underdomæne i DNS kræver en SPF TXT-post, og kun én SPF-post er tilladt pr. domæne eller underdomæne. Beskyttelse mod mailgodkendelse for udefinerede underdomæner håndteres bedst af DMARC.
  • Du kan ikke ændre den eksisterende SPF TXT-post for domænet *.onmicrosoft.com.
  • Når destinationens mailsystem kontrollerer de gyldige mailkilder i SPF-posten, mislykkes SPF-valideringen, hvis kontrollen kræver for mange DNS-opslag. Du kan få flere oplysninger i afsnittet Fejlfinding af SPF TXT-poster senere i denne artikel.

SPF TXT-poster for brugerdefinerede domæner i Microsoft 365

Tip

Som tidligere nævnt i denne artikel skal du oprette SPF TXT-posten for et domæne eller underdomæne hos domæneregistratoren for domænet. Der er ingen konfiguration af SPF TXT-post tilgængelig i Microsoft 365.

  • Scenarie: Du bruger contoso.com til mail i Microsoft 365, og Microsoft 365 er den eneste kilde til mail fra contoso.com.

    SPF TXT-post for contoso.com i Microsoft 365 og Microsoft 365 Government Community Cloud (GCC):

    v=spf1 include:spf.protection.outlook.com -all
    

    SPF TXT-post for contoso.com i Microsoft 365 Government Community Cloud High (GCC High) og Microsoft 365 Department of Defense (DoD):

    v=spf1 include:spf.protection.office365.us -all
    

    SPF TXT-post for contoso.com i Microsoft 365 drevet af 21Vianet

    v=spf1 include:spf.protection.partner.outlook.cn -all
    
  • Scenarie: Du bruger contoso.com til mail i Microsoft 365, og du har allerede konfigureret SPF TXT-posten i contoso.com med alle kilder til mail fra domænet. Du ejer også domænerne contoso.net og contoso.org, men du bruger dem ikke til mail. Du vil angive, at ingen har tilladelse til at sende mails fra contoso.net eller contoso.org.

    SPF TXT-post for contoso.net:

    v=spf1 -all
    

    SPF TXT-post for contoso.org:

    v=spf1 -all
    
  • Scenarie: Du bruger contoso.com til mail i Microsoft 365. Du planlægger at sende mail fra følgende kilder:

    • En mailserver i det lokale miljø med den eksterne mailadresse 192.168.0.10. Da du har direkte kontrol over denne mailkilde, anser vi det for OK at bruge serveren til afsendere i det contoso.com domæne.
    • Adatum masseforsendelsestjeneste. Da du ikke har direkte kontrol over denne mailkilde, anbefaler vi, at du bruger et underdomæne, så du opretter marketing.contoso.com til dette formål. Ifølge dokumentationen til Adatum-tjenesten skal du føje include:servers.adatum.com spf TXT-posten til dit domæne.

    SPF TXT-post for contoso.com:

    v=spf1 ipv4:192.168.0.10 include:spf.protection.outlook.com -all
    

    SPF TXT-post for marketing.contoso.com:

    v=spf1 include:servers.adatum.com include:spf.protection.outlook.com -all
    

Fejlfinding af SPF TXT-poster

  • Én SPF-post pr. domæne eller underdomæne: Flere SPF TXT-poster for det samme domæne eller underdomæne forårsager en DNS-opslagsløkke, der får SPF til at mislykkes, så brug kun én SPF-post pr. domæne eller underdomæne.

  • Mindre end 10 DNS-opslag: Når destinationens mailsystemer forespørger SPF TXT-posten om gyldige kilder for domænet MAIL FROM-adresse, scanner forespørgslen gennem IP-adresserne og include: sætningerne i posten, indtil meddelelseskilden (i sidste ende en IP-adresse) svarer til en af de angivne kilder. Hvis antallet af DNS-opslag (som kan være anderledes end antallet af DNS-forespørgsler) er større end 10, mislykkes SPF med en permanent fejl i meddelelsen (også kaldet en permerror). Destinationens mailsystem afviser meddelelsen i en rapport om manglende levering (også kendt som en NDR eller bounce-meddelelse) med en af følgende fejl:

    • Meddelelsen overskred antallet af hop.
    • Meddelelsen krævede for mange opslag.

    I SPF TXT-posten medfører individuelle IP-adresser eller IP-adresseområder ikke DNS-opslag. Hver include: sætning kræver mindst ét DNS-opslag, og flere opslag kan være påkrævet, hvis værdien include: peger på indlejrede ressourcer. Med andre ord garanterer mindre end 10-sætninger include: ikke mindre end 10 DNS-opslag.

    Vær også opmærksom på, at destinationens mailsystemer evaluerer kilderne i SPF TXT-posten fra venstre mod højre. Evalueringen stopper, når meddelelseskilden valideres, og der ikke kontrolleres flere kilder. Derfor kan en SPF TXT-post indeholde tilstrækkelige oplysninger til at forårsage mere end 10 DNS-opslag, men valideringen af nogle postkilder af nogle destinationer går ikke dybt nok i posten til at resultere i en fejl.

    Ud over at bevare omdømmet for dit primære maildomæne er det en anden grund til at bruge underdomæner til andre mailtjenester, som du ikke styrer, hvis du ikke overskrider antallet af DNS-opslag.

Du kan bruge gratis onlineværktøjer til at få vist din SPF TXT-post og andre DNS-poster for dit domæne. Nogle værktøjer beregner endda antallet af DNS-postopslag, som din SPF TXT-post kræver.

Næste trin

Som beskrevet i Sådan arbejder SPF, DKIM og DMARC sammen om at godkende afsendere af mails, men SPF er ikke nok til at forhindre spoofing af dit Microsoft 365-domæne. Du skal også konfigurere DKIM og DMARC for at opnå den bedst mulige beskyttelse. Du kan finde instruktioner under:

For mails, der kommer til Microsoft 365, skal du muligvis også konfigurere ARC-beseglingsprogrammer, der er tillid til, hvis du bruger tjenester, der ændrer meddelelser under overførsel, før de leveres til din organisation. Du kan få flere oplysninger under Konfigurer ARC-sealere, der er tillid til.