Az SPF beállítása a Microsoft 365-tartomány érvényes e-mail-forrásainak azonosításához

• A következőre érvényes::

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.

A küldőházirend-keretrendszer (SPF) az e-mail-hitelesítés egyik módszere, amely segít ellenőrizni a Microsoft 365-szervezettől küldött leveleket, hogy megakadályozza az üzleti e-mailek feltöréséhez (BEC), zsarolóprogramokhoz és egyéb adathalász támadásokhoz használt hamis feladókat.

Az SPF elsődleges célja egy tartomány e-mail-forrásainak ellenőrzése. Az SPF egy TXT rekordot használ a DNS-ben a tartomány érvényes levelezési forrásainak azonosításához. A fogadó levelezőrendszerek az SPF TXT rekord használatával ellenőrzik, hogy az üzenet SMTP-továbbítása során használt feladói címről (más néven MAIL FROM címről, címről, 5321.MailFrom P1 feladóról vagy borítékküldőről) származó e-mail az adott tartomány ismert, kijelölt feladójától származik-e.

Ha például a Microsoft 365 e-mail-tartománya contoso.com, hozzon létre egy SPF TXT rekordot a DNS-ben a contoso.com tartományhoz, hogy a Microsoft 365-öt a contoso.com engedélyezett levelezési forrásaként azonosíthassa. A cél levelezőrendszerek ellenőrzik az SPF TXT rekordot contoso.com annak megállapításához, hogy az üzenet contoso.com e-mail hivatalos forrásából származik-e.

Mielőtt elkezdenénk, az alábbiakat kell tudnia a Microsoft 365 SPF szolgáltatásáról az e-mail-tartománya alapján:

• Ha csak a Microsoft Online Email Útválasztási cím (MOERA) tartományt használja a levelezéshez (például contoso.onmicrosoft.com): Semmit sem kell tennie. Az SPF TXT rekord már konfigurálva van. A onmicrosoft.com tartomány a Microsoft tulajdonában van, ezért mi vagyunk a felelősök a dns-rekordok létrehozásáért és karbantartásáért az adott tartományban és altartományokban. A *.onmicrosoft.com tartományokkal kapcsolatos további információkért lásd: Miért rendelkezem "onmicrosoft.com" tartománnyal?

• Ha egy vagy több egyéni tartományt használ a levelezéshez (például contoso.com): A Microsoft 365 regisztrációs folyamata már megköveteli, hogy az egyéni tartományhoz tartozó SPF TXT rekordot hozzon létre vagy módosítsa a DNS-ben a Microsoft 365 hivatalos levelezési forrásként való azonosításához. A maximális e-mail-védelem érdekében azonban még több teendője van:

  • Altartományokkal kapcsolatos szempontok:

    • A közvetlen felügyelet alá nem tartozó e-mail-szolgáltatások (például tömeges e-mail-szolgáltatások) esetében azt javasoljuk, hogy a fő e-mail-tartomány (például contoso.com) helyett altartományt (például marketing.contoso.com) használjon. Nem szeretné, hogy az e-mail-szolgáltatásokból küldött levelekkel kapcsolatos problémák befolyásolják a fő levelezési tartomány alkalmazottai által küldött levelek hírnevét. További információ az altartományok hozzáadásáról: Felvehetek egyéni altartományokat vagy több tartományt a Microsoft 365-be?

    • Minden olyan altartományhoz, amelyet a Microsoft 365-ből való e-mail-küldéshez használ, saját SPF TXT rekordra van szükség. A contoso.com SPF TXT rekordja például nem fedi le marketing.contoso.com; marketing.contoso.com saját SPF TXT rekordra van szüksége.

      Tipp

      Email nem definiált altartományok hitelesítési védelmét a DMARC fedezi. A (definiált vagy nem definiált) altartományok öröklik a szülőtartomány DMARC-beállításait (amelyek altartományonként felülbírálhatók). További információ: A DMARC beállítása a Feladó címtartományának ellenőrzéséhez a Microsoft 365-ben.

  • Ha regisztrált, de nem használt tartományokkal rendelkezik: Ha olyan regisztrált tartományokkal rendelkezik, amelyeket nem használ levelezéshez, vagy bármi máshoz (más néven parkolt tartományokhoz), konfigurálja az SPF TXT rekordokat annak jelzésére, hogy soha ne érkezzenek e-mailek ezekből a tartományokból a cikk későbbi részében leírtak szerint.

• Az SPF önmagában nem elég. Az egyéni tartományokhoz a legjobb szintű e-mail-védelem érdekében a DKIM-et és a DMARC-t is konfigurálnia kell az általános e-mail-hitelesítési stratégia részeként. További információért tekintse meg a cikk végén található Következő lépések szakaszt.

  Fontos

  Az összetett szervezetekben, ahol nehéz azonosítani a tartomány összes érvényes levelezési forrását, fontos, hogy gyorsan konfigurálja a DKIM-aláírást és a DMARC-t (művelet nélküli módban) a tartományhoz. A DMARC jelentéskészítési szolgáltatás nagyon hasznos a tartomány e-mail-forrásainak és SPF-hibáinak azonosításához.

A cikk további része azokat az SPF TXT rekordokat ismerteti, amelyeket egyéni tartományokhoz kell létrehoznia a Microsoft 365-ben.

Tipp

A Microsoft 365-ben nincsenek felügyeleti portálok vagy PowerShell-parancsmagok az SPF rekordok kezeléséhez a tartományban. Ehelyett az SPF TXT rekordot a tartományregisztrálónál vagy a DNS-szolgáltatónál (gyakran ugyanazzal a vállalattal) hozza létre.

Útmutatást nyújtunk a Microsoft 365 tartománytulajdonosi TXT rekordjának létrehozásához számos tartományregisztrálónál. Ezeket az utasításokat kiindulási pontként használhatja az SPF TXT rekord értékének létrehozásához. További információ: DNS-rekordok hozzáadása a tartomány csatlakoztatásához.

Ha nem ismeri a DNS-konfigurációt, forduljon a tartományregisztrálójához, és kérjen segítséget.

SPF TXT rekordok szintaxisa

Az SPF TXT rekordok részletes leírása az RFC 7208-ban található.

Egy egyéni tartomány SPF TX rekordjának alapszintaxisa a Microsoft 365-ben:

v=spf1 <valid mail sources> <enforcement rule>

Vagy:

v=spf1 [<ip4>|<ip6>:<PublicIPAddress1> <ip4>|<ip6>:<PublicIPAddress2>... <ip4>|<ip6>:<PublicIPAddressN>] [include:<DomainName1> include:<DomainName1>... include:<DomainNameN>] <-all | ~all>

Például:

v=spf1 ip4:192.168.0.10 ip4:192.168.0.12 include:spf.protection.outlook.com -all

• v=spf1 A A TXT rekordot SPF TXT rekordként azonosítja.

• Érvényes levelezési források: A tartományhoz megadott érvényes levelezési források. Tartományokat, IP-címeket vagy mindkettőt használ:

  • Tartományok: include: az értékek más szolgáltatásokat vagy tartományokat határoznak meg érvényes levelezési forrásként az eredeti tartományból. Ezek az értékek végül DNS-kereséseket használó IP-címhez vezetnek.

    A legtöbb Microsoft 365-szervezetnek szüksége van include:spf.protection.outlook.com a tartomány SPF TXT rekordjára. Más külső levelezőszolgáltatásokhoz gyakran további include: értékre van szükség ahhoz, hogy a szolgáltatást érvényes e-mail-forrásként azonosíthassa az eredeti tartományból.

  • IP-címek: Az IP-cím értéke az alábbi elemek egyikét tartalmazza:

    • Az IP-cím ip4:ip6: típusának vagy értékének azonosítása.
    • A forrás levelezőrendszer nyilvánosan feloldható IP-címe. Például:
      • Egy egyéni IP-cím (például 192.168.0.10).
      • Egy OSZTÁLY NÉLKÜLI Inter-Domain Útválasztás (CIDR) jelölést használó IP-címtartomány (például 192.168.0.1/26). Győződjön meg arról, hogy a tartomány nem túl nagy vagy túl kicsi.

    A Microsoft 365-ben általában csak akkor használ IP-címeket az SPF TXT rekordban, ha helyszíni levelezési kiszolgálói a Microsoft 365 tartományból küldenek leveleket (például Exchange Server hibrid telepítéseket). Egyes külső levelezőszolgáltatások az SPF TXT rekordban lévő érték helyett IP-címtartományt include: is használhatnak.

• Kényszerítési szabály: Közli a cél levelezőrendszerekkel, hogy mi a teendő a tartomány SPF TXT rekordjában nem megadott forrásokból érkező üzenetekkel. Az érvényes értékek a következők:

  • -all (sikertelen): Az SPF TXT rekordban nem megadott források nem jogosultak e-mailek küldésére a tartomány számára, ezért az üzeneteket el kell utasítani. Hogy valójában mi történik az üzenetekkel, az a cél levelezőrendszertől függ, de az üzenetek általában el lesznek vetve.

    Microsoft 365-tartományok esetén a (sikertelen) használatot javasoljuk -all , mert a DKIM és a DMARC használatát is javasoljuk a tartományhoz. A DMARC-szabályzat határozza meg, hogy mi a teendő a sikertelen SPF- vagy DKIM-üzenetekkel, és a DMARC-jelentések lehetővé teszik az eredmények ellenőrzését.

    Tipp

    Amint azt korábban jeleztük, a DMARC jelentéskészítési szolgáltatással konfigurált DMARC nagyban segít azonosítani a tartomány e-mail-forrásait és SPF-hibáit.

  • ~all (helyreállítható hiba): Az SPF TXT rekordban nem megadott források valószínűleg nem jogosultak e-mailek küldésére a tartomány számára, ezért az üzeneteket el kell fogadni, de meg kell jelölni. Hogy valójában mi történik az üzenetekkel, az a cél levelezőrendszertől függ. Előfordulhat például, hogy az üzenet levélszemétként van karanténba helyezve, a Levélszemét Email mappába kerül, vagy a Beérkezett üzenetek mappába kerül egy azonosítóval, amely hozzá van adva a Tárgy vagy az üzenet törzséhez.

    Mivel a Microsoft 365-tartományokhoz a DKIM és a DMARC használatát is javasoljuk, a (sikertelen) és ~all a (helyreállítható hiba) közötti -all különbségek hatékonyan megszűnnek (a DMARC mindkét eredményt SPF-hibaként kezeli). A DMARC az SPF használatával megerősíti, hogy a MAIL FROM és a From címben lévő tartományok igazodnak egymáshoz, és az üzenet a Feladó tartomány érvényes forrásából származik.

  Tipp

  ?all A (semleges) lehetőség arra is rendelkezésre áll, hogy semmilyen konkrét műveletet ne javasoljon az azonosítatlan forrásokból érkező üzenetekre vonatkozóan. Ez az érték teszteléshez használatos, éles környezetekben nem javasoljuk ezt az értéket.

Fontos megjegyeznivalók:

• A DNS-ben minden definiált tartományhoz vagy altartományhoz SPF TXT rekord szükséges, és tartományonként vagy altartományonként csak egy SPF rekord engedélyezett. Email nem definiált altartományok hitelesítési védelmét a DMARC kezeli a legjobban.
• A *.onmicrosoft.com tartomány meglévő SPF TXT rekordja nem módosítható.
• Amikor a cél levelezőrendszer ellenőrzi az SPF rekordban szereplő érvényes e-mail-forrásokat, az SPF ellenőrzése sikertelen lesz, ha az ellenőrzés túl sok DNS-keresést igényel. További információt a cikk későbbi, Az SPF TXT rekordok hibaelhárítása című szakaszában talál.

SPF TXT rekordok egyéni tartományokhoz a Microsoft 365-ben

Tipp

Ahogy azt a cikkben már említettük, a tartomány tartományregisztrálójában hozza létre az SPF TXT rekordot egy tartományhoz vagy altartományhoz. A Microsoft 365-ben nem érhető el SPF TXT rekordkonfiguráció.

• Forgatókönyv: A Microsoft 365-ben contoso.com használ e-mailekhez, és a Microsoft 365 az egyetlen forrás a contoso.com e-mailjeihez.

  SPF TXT rekord contoso.com a Microsoft 365-ben és a Microsoft 365 Kormányzati közösségi felhőben (GCC)::

  v=spf1 include:spf.protection.outlook.com -all
  

  A Microsoft 365 Government Community Cloud High (GCC High) és a Microsoft 365 Védelmi Minisztérium (DoD) contoso.com SPF TXT rekordja:

  v=spf1 include:spf.protection.office365.us -all
  

  A 21Vianet által üzemeltetett Microsoft 365 contoso.com SPF TXT rekordja

  v=spf1 include:spf.protection.partner.outlook.cn -all
  

• Forgatókönyv: A Microsoft 365-ben contoso.com használ e-mailekhez, és már konfigurálta az SPF TXT rekordot contoso.com a tartományból származó összes e-mail-forrással. A tartományok contoso.net és contoso.org is Öné, de nem használja őket e-mailekhez. Meg szeretné adni, hogy senki se küldjön e-mailt contoso.net vagy contoso.org.

  SPF TXT rekord contoso.net:

  v=spf1 -all
  

  SPF TXT rekord contoso.org:

  v=spf1 -all
  

• Forgatókönyv: A Microsoft 365-ben contoso.com használ e-mailekhez. A következő forrásokból szeretne leveleket küldeni:

  • Egy helyszíni e-mail-kiszolgáló a 192.168.0.10 külső e-mail-címmel. Mivel ön közvetlenül szabályozhatja ezt az e-mail-forrást, a kiszolgálót a contoso.com tartományban lévő feladók számára célszerű használni.
  • Az Adatum tömeges levelezési szolgáltatása. Mivel nincs közvetlen vezérlése az e-mail-forrás felett, javasoljuk, hogy használjon egy altartományt, így ehhez marketing.contoso.com kell létrehoznia. Az Adatum szolgáltatás dokumentációja szerint hozzá kell adnia include:servers.adatum.com a tartomány SPF TXT rekordjához.

  SPF TXT rekord a contoso.com:

  v=spf1 ip4:192.168.0.10 include:spf.protection.outlook.com -all
  

  SPF TXT rekord a marketing.contoso.com:

  v=spf1 include:servers.adatum.com include:spf.protection.outlook.com -all
  

SPF TXT-rekordok hibaelhárítása

• Tartományonként vagy altartományonként egy SPF rekord: Ugyanazon tartomány vagy altartomány több SPF TXT rekordja okozza az SPF sikertelen DNS-keresési ciklusát, ezért tartományonként vagy altartományonként csak egy SPF rekordot használjon.

• Kevesebb mint 10 DNS-keresés: Amikor a cél levelezőrendszerek lekérdezik az SPF TXT rekordot a MAIL FROM címtartomány érvényes forrásaihoz, a lekérdezés a rekordBAN lévő IP-címeket és include: utasításokat vizsgálja, amíg az üzenetforrás (végső soron egy IP-cím) nem egyezik a megadott források egyikével. Ha a DNS-keresések száma (amely eltérhet a DNS-lekérdezések számától) nagyobb, mint 10, az üzenet állandó hibával (más néven permerror) meghiúsul az SPF-ben. A cél levelezőrendszer elutasítja az üzenetet egy sikertelen kézbesítésről szóló jelentésben (más néven sikertelen kézbesítésről szóló vagy visszapattanó üzenetben) az alábbi hibák valamelyikével:

  • Az üzenet túllépte az ugrások számát.
  • Az üzenethez túl sok keresésre volt szükség.

  Az SPF TXT rekordban az egyes IP-címek vagy IP-címtartományok nem okoznak DNS-kereséseket. Minden include: utasításhoz legalább egy DNS-keresés szükséges, és több keresésre lehet szükség, ha az include: érték beágyazott erőforrásokra mutat. Más szóval a 10-nél include: kevesebb utasítás nem garantálja, hogy 10-nél kevesebb DNS-keresés van.

  Azt is vegye figyelembe, hogy a cél levelezőrendszerek balról jobbra értékelik az SPF TXT rekord forrásait. A kiértékelés leáll az üzenetforrás ellenőrzésekor, és nincs több forrás ellenőrizve. Ezért előfordulhat, hogy egy SPF TXT rekord elegendő információt tartalmaz ahhoz, hogy 10-nél több DNS-keresést okozzon, de egyes e-mail-források egyes célhelyek általi érvényesítése nem elég mélyre ás a rekordban ahhoz, hogy hibát okozzon.

  Amellett, hogy megőrizte a fő e-mail-tartománya hírnevét, a DNS-keresések számának meg nem haladása egy másik ok arra, hogy altartományokat használjon más, ön által nem szabályozott e-mail-szolgáltatásokhoz.

Ingyenes online eszközökkel megtekintheti tartománya SPF TXT rekordját és egyéb DNS-rekordjait. Egyes eszközök még az SPF TXT rekordhoz szükséges DNS-rekordkeresések számát is kiszámítják.

Következő lépések

Az SPF, a DKIM és a DMARC együttműködése az e-mail-feladók hitelesítése érdekében című cikkben leírtak szerint az SPF önmagában nem elegendő a Microsoft 365-tartomány hamisításának megakadályozásához. A lehető legjobb védelem érdekében a DKIM-et és a DMARC-t is konfigurálnia kell. Az utasításokat itt találja:

• A DKIM használata az egyéni tartományból küldött kimenő e-mailek ellenőrzéséhez
• E-mailek ellenőrzése a DMARC segítségével

A Microsoft 365-be érkező e-mailek esetében előfordulhat, hogy megbízható ARC-tömítőket is konfigurálnia kell, ha olyan szolgáltatásokat használ, amelyek módosítják az átvitt üzeneteket a szervezetnek való kézbesítés előtt. További információ: Megbízható ARC-tömítők konfigurálása.