Configurare sealer ARC attendibili

Nelle organizzazioni di Microsoft 365 con cassette postali in organizzazioni Exchange Online o Exchange Online Protection autonome (EOP) senza cassette postali Exchange Online, l'autenticazione tramite posta elettronica (SPF, DKIM e DMARC) verifica i mittenti di posta elettronica per la sicurezza dei destinatari.

Tuttavia, alcuni servizi legittimi potrebbero apportare modifiche al messaggio tra il mittente e il destinatario. Ad esempio, le modifiche apportate al messaggio potrebbero causare la modifica dell'indirizzo IP di origine del messaggio, che può causare i seguenti errori di autenticazione della posta elettronica:

  • SPF ha esito negativo a causa del nuovo indirizzo IP.
  • DKIM ha esito negativo a causa della modifica del contenuto.
  • DMARC ha esito negativo a causa degli errori SPF e DKIM.

Authenticated Received Chain (ARC) consente di ridurre gli errori di recapito dovuti a modifiche legittime dei messaggi di posta elettronica mantenendo le informazioni di autenticazione della posta elettronica originali. È possibile configurare l'organizzazione di Microsoft 365 considerare attendibile il servizio che ha modificato il messaggio e usare tali informazioni originali per consentire al messaggio di passare l'autenticazione tramite posta elettronica.

ARC in Microsoft Defender per Office 365

I servizi che modificano il contenuto del messaggio in transito prima del recapito possono invalidare le firme di posta elettronica DKIM e influire sull'autenticazione del messaggio. Questi servizi possono usare ARC per fornire i dettagli dell'autenticazione originale prima che si verificasse la modifica. L'organizzazione può quindi considerare attendibili questi dettagli per consentire l'autenticazione del messaggio.

I sealer ARC attendibili consentono agli amministratori di aggiungere un elenco di intermediari attendibili nel portale di Microsoft Defender. I sealer ARC attendibili consentono a Microsoft di rispettare le firme ARC di questi intermediari attendibili, impedendo a questi messaggi legittimi di non riuscire nella catena di autenticazione.

Nota

I sealer ARC attendibili sono un elenco creato dall'amministratore di domini intermedi che usano il sealing ARC. Quando un messaggio di posta elettronica viene indirizzato a Microsoft 365 tramite un intermediario attendibile ARC, Microsoft 365 convalida la firma ARC e , in base ai risultati ARC, può rispettare i dettagli di autenticazione forniti.

Quando usare sealer ARC attendibili?

Le organizzazioni di Microsoft 365 necessitano di un elenco di sealer ARC attendibili solo quando gli intermediari sono una parte regolare del flusso di posta e quando i messaggi sono interessati nei modi seguenti:

  • L'intermediario modifica l'intestazione o il contenuto del messaggio di posta elettronica.
  • Le modifiche di posta elettronica causano l'esito negativo dell'autenticazione per altri motivi,ad esempio rimuovendo gli allegati.

Quando un amministratore aggiunge un sealer ARC attendibile, Microsoft 365 convalida e considera attendibili i risultati di autenticazione forniti dal sealer ARC durante la distribuzione della posta all'organizzazione.

Nota

Aggiungere solo i servizi legittimi e obbligatori come sealer ARC attendibili nell'organizzazione. In questo modo, i messaggi interessati passano i controlli di autenticazione tramite posta elettronica e impediscono il recapito dei messaggi legittimi alla cartella Email indesiderata, in quarantena o rifiutati a causa di errori di autenticazione.

Che cosa è necessario sapere prima di iniziare?

Usare il portale di Microsoft Defender per aggiungere sealer ARC attendibili

  1. Nel portale di Microsoft Defender in https://security.microsoft.compassare a Email &Criteri di collaborazione >& Regoleper> le minacce >Email Impostazioni di autenticazione nella sezione >RegoleARC . In alternativa, per passare direttamente alla pagina delle impostazioni di autenticazione Email, usare https://security.microsoft.com/authentication.

  2. Nella pagina Email impostazioni di autenticazione verificare che sia selezionata la scheda ARC e quindi selezionare Aggiungi.

    Consiglio

    Se i sealer attendibili sono già elencati nella scheda ARC , selezionare Modifica.

  3. Nel riquadro a comparsa Aggiungi sealers ARC attendibili visualizzato immettere il dominio di firma attendibile nella casella (ad esempio, fabrikam.com).

    Il nome di dominio deve corrispondere al dominio visualizzato nel tag nelle d intestazioni ARC-Seal e ARC-Message-Signature nei messaggi di posta elettronica interessati. È possibile usare Outlook per visualizzare queste intestazioni. Per istruzioni, vedere Visualizzare le intestazioni dei messaggi Internet in Outlook.

    Ripetere questo passaggio tutte le volte necessarie. Per rimuovere una voce esistente, selezionare accanto alla voce.

    Al termine del riquadro a comparsa Aggiungi sealer ARC attendibili , selezionare Salva

Usare Exchange Online PowerShell per aggiungere sealer ARC attendibili

Se si preferisce usare PowerShell per visualizzare, aggiungere o rimuovere sealer ARC attendibili, connettersi a Exchange Online PowerShell per eseguire i comandi seguenti.

  • Visualizzare i sealer ARC attendibili esistenti

    Get-ArcConfig

    Se non sono configurati sealer ARC attendibili, il comando non restituisce alcun risultato.

  • Aggiungere o rimuovere sealer ARC attendibili

    Per sostituire eventuali sealer ARC esistenti con i valori specificati, usare la sintassi seguente:

    Set-ArcConfig -Identity [TenantId\]Default -ArcTrustedSealers "Domain1","Domain2",..."DomainN"

    Il valore TenantId\ non è necessario nella propria organizzazione, solo nelle organizzazioni delegate. Si tratta di un GUID visibile in molti URL del portale di amministrazione in Microsoft 365 (il valore tid=). Ad esempio, a32d39e2-3702-4ff5-9628-31358774c091.

    Questo esempio configura "cohovineyard.com" e "tailspintoys.com" come unici sealer ARC attendibili nell'organizzazione.

    Set-ArcConfig -Identity Default -ArcTrustedSealers "cohovineyard.com","tailspintoys.com"

    Per mantenere i valori esistenti, assicurarsi di includere i sealer ARC da mantenere insieme ai nuovi sealer ARC che si desidera aggiungere.

    Per aggiungere o rimuovere sealer ARC senza influire sulle altre voci, vedere la sezione Esempi in Set-ArcConfig.

Convalidare un sealer ARC attendibile

Se è presente un seal ARC di terze parti prima che il messaggio raggiunga Microsoft 365, controllare l'intestazione del messaggio per le intestazioni ARC più recenti dopo il recapito del messaggio.

Nell'ultima intestazione ARC-Authentication-Results cercare arc=pass e oda=1. Questi valori indicano:

  • L'ARC precedente è stato verificato.
  • Il sealer ARC precedente è attendibile.
  • Il risultato del passaggio precedente può essere usato per eseguire l'override dell'errore DMARC corrente.

Ad esempio:

ARC-Authentication-Results: i=2; mx.microsoft.com 1; spf=pass (sender ip is
40.107.65.78) smtp.rcpttodomain=microsoft.com
smtp.mailfrom=sampledoamin.onmicrosoft.com; dmarc=bestguesspass action=none
header.from=sampledoamin.onmicrosoft.com; dkim=none (message not signed);
arc=pass (0 oda=1 ltdi=1
spf=[1,1,smtp.mailfrom=sampledoamin.onmicrosoft.com]
dkim=[1,1,header.d=sampledoamin.onmicrosoft.com]
dmarc=[1,1,header.from=sampledoamin.onmicrosoft.com])

Per verificare se il risultato ARC è stato usato per eseguire l'override di un errore DMARC, cercare compauth=pass e reason=130 nell'ultima intestazione ARC-Authentication-Results . Ad esempio:

Authentication-Results: spf=fail (sender IP is 51.163.158.241)
smtp.mailfrom=contoso.com; dkim=fail (body hash did not verify)
header.d=contoso.com;dmarc=fail action=none
header.from=contoso.com;compauth=pass reason=130

Diagrammi del flusso di posta del sealer ARC attendibile

Questi diagrammi contrastano le operazioni del flusso di posta con e senza un sealer ARC attendibile quando si usa l'autenticazione tramite posta elettronica SPF, DKIM e DMARC. In entrambi i diagrammi, l'organizzazione di Microsoft 365 usa servizi legittimi che devono interrompere il flusso di posta elettronica, che possono violare gli standard di autenticazione della posta elettronica modificando l'IP di origine e aggiornare l'intestazione del messaggio di posta elettronica.

Questo diagramma illustra il risultato senza un sealer ARC attendibile:

Contoso pubblica SPF, DKIM e DMARC. Un mittente che usa SPF invia un messaggio di posta elettronica dall'interno contoso.com a fabrikam.com e questo messaggio passa attraverso un servizio di terze parti legittimo che modifica l'indirizzo IP di invio nell'intestazione di posta elettronica. Durante il controllo DNS in Microsoft 365, il messaggio ha esito negativo SPF a causa dell'IP modificato e non riesce DKIM perché il contenuto è stato modificato. DMARC ha esito negativo a causa degli errori SPF e DKIM. Il messaggio viene recapitato alla cartella Junk Email, messa in quarantena o rifiutata.

Questo diagramma illustra il risultato con un sealer ARC attendibile:

Contoso pubblica SPF, DKIM e DMARC, ma configura anche i sealer ARC attendibili necessari. Un mittente che usa SPF invia un messaggio di posta elettronica dall'interno contoso.com a fabrikam.com e questo messaggio passa attraverso un servizio di terze parti legittimo che modifica l'indirizzo IP di invio nell'intestazione di posta elettronica. Il servizio usa il sealing ARC e, poiché il servizio è definito come sealer ARC attendibile in Microsoft 365, la modifica viene accettata. SPF ha esito negativo per il nuovo indirizzo IP. DKIM ha esito negativo a causa della modifica del contenuto. DMARC ha esito negativo a causa degli errori precedenti. Arc riconosce tuttavia le modifiche, genera un pass e accetta le modifiche. Spoof riceve anche un pass. Il messaggio viene recapitato alla posta in arrivo.

Passaggi successivi: dopo aver configurato ARC per Defender per Office 365

Dopo l'installazione, controllare le intestazioni ARC con Message Header Analyzer all'indirizzo https://mha.azurewebsites.net.

Esaminare i passaggi di configurazione SPF, DKIM, DMARC.