Slik bruker Microsoft 365 Struktur for avsenderpolicy (SPF) for å hindre forfalskning

Tips

Visste du at du kan prøve funksjonene i Microsoft 365 Defender for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

En SPF TXT-post er en post i DNS som bidrar til å forhindre forfalskning og phishing ved å identifisere gyldige kilder til meldinger fra avsendere i domenet. SPF validerer opprinnelsen til e-postmeldinger ved å bekrefte IP-adressen til avsenderen mot den påståtte eieren av avsenderdomenet.

Obs!

SPF-posttyper ble avskrevet av Internet Engineering Task Force (IETF) i 2014. Kontroller i stedet at du bruker TXT-poster i DNS til å publisere SPF-informasjonen. Resten av denne artikkelen bruker begrepet SPF TXT-post for klarhet.

Domeneadministratorer publiserer SPF-informasjon i TXT-poster i DNS. SPF-informasjonen identifiserer autoriserte utgående e-postservere for domenet. Mål-e-postsystemer bekrefter at meldinger fra avsendere i domenet kom fra autoriserte utgående e-postservere. Hvis du allerede er kjent med SPF eller har et enkelt e-postmiljø, kan du gå til Konfigurere SPF i Microsoft 365 for å forhindre forfalskning for å opprette SPF-posten for domenet. Hvis e-postmiljøet ditt ikke er fullstendig driftet i Microsoft 365, fortsetter du å lese hvis du vil ha mer informasjon om hvordan SPF fungerer, eller hvis du vil feilsøke SPF for Microsoft 365.

Obs!

Tidligere krevde SharePoint Online en ekstra SPF TXT-post i det egendefinerte domenet. Denne ekstra SPF TXT-posten er ikke lenger nødvendig. Denne endringen bør redusere risikoen for at SharePoint Online-varslingsmeldinger havner i Søppelpost-mappen. Hvis du får feilmeldingen «for mange oppslag», endrer du SPF TXT-posten som beskrevet i Konfigurer SPF i Microsoft 365 for å forhindre forfalskning.

Slik fungerer SPF for å forhindre forfalskning og phishing i Microsoft 365

SPF bestemmer om en avsender har tillatelse til å sende på vegne av et domene. Hvis meldingskilden ikke er gyldig for domenet (meldingen mislykkes med SPF-kontrollen på mål-e-postserveren), bestemmer søppelpostpolicyen som er konfigurert på mål-e-postserveren hva du skal gjøre med meldingen.

En gyldig SPF TXT-post inneholder følgende elementer:

  • En deklarasjon om at dette er en SPF TXT-post (v=spf1).

  • IP-adresser som har tillatelse til å sende e-post fra domenet.

  • Eksterne domener som kan sendes på domenets vegne (for eksempel include:contoso.net include:contoso.org).

    Mål-e-postserveren utfører også et DNS-oppslag på SPF TXT-posten for de angitte eksterne domenene (contoso.net, deretter contoso.org), og utfører deretter flere oppslag for andre domener som er inkludert i DNS TXT-postene for disse domenene. For å forhindre tjenestenektangrep (DoS) er maksimalt antall DNS-oppslag for én enkelt e-postmelding 10. Hver include: setning i kjeden av DNS TXT-poster teller som ett DNS-oppslag. Hvis du vil ha tips om hvordan du unngår denne betingelsen, kan du se Feilsøking: Anbefalte fremgangsmåter for SPF i Microsoft 365 senere i denne artikkelen.

  • En håndhevelsesregel (hard fail -all, soft fail ~eller neutral ?all). Hvis meldinger for eksempel inneholder avsendere i contoso.com, men ikke fra de angitte IP-adressene eller eksterne domener, bør mål-e-postserveren bruke håndhevelsesregelen på meldingene.

Disse elementene beskrives i detalj senere i denne artikkelen.

SPF fungerer best når banen fra avsender til mottaker er direkte. Eksempel:

Diagram som viser hvordan SPF godkjenner e-post når den sendes direkte fra server til server.

Meldingen sender SPF-kontrollen og godkjennes på woodgrovebank.com hvis IP-adresse nr. 1 er i SPF TXT-posten for contoso.com.

I dette eksemplet bestemmer en angriper seg for å forfalske e-post fra contoso.com:

Diagram som viser hvordan SPF godkjenner e-post når den sendes fra en forfalsket server.

Meldingen feiler SPF-kontrollen på woodgrovebank.com, og woodgrovebank.com kan velge å merke meldingen som søppelpost fordi IP-adressen #12 ikke er i SPF TXT-posten for contoso.com.

Én ulempe med SPF er at den ikke fungerer på videresendt e-post. En bruker i woodgrovebank.com har for eksempel konfigurert en videresendingsregel for å sende all e-post til en outlook.com konto:

Diagram som viser hvordan SPF ikke kan godkjenne e-post når meldingen videresendes.

Meldingen sender opprinnelig SPF-kontrollen på woodgrovebank.com, men SPF-kontrollen mislykkes på outlook.com fordi IP #25 ikke er i contoso.coms SPF TXT-post. Outlook.com kan da merke meldingen som søppelpost. Du kan omgå dette problemet ved å bruke SPF med andre metoder for godkjenning av e-post, for eksempel DKIM og DMARC.

Resten av denne artikkelen forklarer elementene i en SPF TXT-post og beskriver hvordan du oppretter SPF TXT-poster i Microsoft 365.

Opprette SPF TXT-poster for Microsoft 365

Bruk informasjonen i denne artikkelen til å opprette SPF TXT-posten for det egendefinerte domenet. Selv om det finnes andre syntaksalternativer som ikke er nevnt her, beskriver denne artikkelen de mest brukte alternativene.

Hvis du vil ha informasjon om domenene du må inkludere for Microsoft 365, kan du se Eksterne DNS-poster som kreves for SPF. Bruk de trinnvise instruksjonene for å oppdatere SPF-poster (TXT) hos domeneregistratoren.

SPF TXT-postsyntaks for Microsoft 365

En vanlig SPF TXT-post har følgende syntaks:

v=spf1 [<ip4>|<ip6>:<IPAddress1> <ip4>|<ip6>:<IPAddress2>... <ip4>|<ip6>:<AddressN>] [include:<DomainName1> include:<DomainName1>... include:<DomainNameN>] <enforcement rule>

Eksempel:

v=spf1 ip4:192.168.0.1 ip4:192.168.0.2 include:spf.protection.outlook.com -all

  • v=spf1 er obligatorisk. Denne teksten identifiserer TXT-posten som en SPF TXT-post.

  • ipv4: eller ipv6: angir hvilken type IP-adresse du bruker.

  • VANLIGVIS er IP-adressene du angir, de utgående e-postserverne for organisasjonen. I stedet for individuelle IP-adresser kan du også angi IP-adresseområder ved hjelp av CIDR-notasjon, for eksempel ip4:192.168.0.1/26.

  • Bruk include: setninger til å legge til domener som legitime avsendere. Et egendefinert domene med postbokser i Microsoft 365 krever for eksempel verdien include:spf.protection.outlook.com. Hvis du vil ha en liste over domenenavn du bør inkludere for Microsoft 365, kan du se Eksterne DNS-poster som kreves for SPF.

  • Håndhevelsesregelen er én av følgende verdier:

    • -all: Hardt mislykkes. Merk meldingen med «hard fail» i meldingskonvolutten, og følg mål-e-postserverens konfigurerte søppelpostpolicy for denne typen melding. Vi anbefaler denne verdien i følgende scenarioer:

      • Du vet alle de autoriserte IP-adressene for e-post i domenet, og disse IP-adressene er oppført i SPF TXT-posten.
      • Du bruker bare SPF, ikke DMARC eller DKIM.

    • ~all: Myk feil. Merk meldingen med «myk feil» i meldingskonvolutten. Vanligvis er e-postservere konfigurert til å levere disse meldingene. De fleste sluttbrukere ser ikke dette merket. Vi anbefaler denne verdien bare i følgende scenarioer. Ellers anbefaler -allvi:

      • Du er usikker på om du har den fullstendige listen over autoriserte IP-adresser for e-post i domenet.
      • Du bruker DMARC med p=quarantine eller p=reject.

    • ?all:Nøytral. Ikke gjør noe (ikke merk meldingskonvolutten). Brukes til å teste SPF. Vi anbefaler ikke å bruke denne verdien i produksjonsmiljøet.

Eksempel: SPF TXT-post når all e-post sendes av Microsoft 365

Hvis du har postbokser i Microsoft 365, må SPF TXT-posten for det egendefinerte domenet inneholde verdien include:spf.protection.outlook.com. Hvis ingen andre enheter, tjenester eller tredjepartstjenester (for eksempel masseutsendelsestjenester) er autorisert til å sende e-post fra domenet, bruker du håndhevelsesverdien -all (hard fail) som beskrevet tidligere. SPF TXT-posten ser slik ut:

v=spf1 include:spf.protection.outlook.com -all

Eksempel: SPF TXT-post i hybridmiljøer

I hybridmiljøer med lokale postbokser og postbokser i Microsoft 365 må du også angi IP-adressene til alle e-postservere, enheter eller tredjepartstjenester som er autorisert til å sende e-post fra domenet ditt. I dette eksemplet er det 192.168.0.1, 192.168.0.2 og 192.168.0.3. Hvis du er sikker på at du har identifisert alle autoriserte e-postkilder for domenet, kan du bruke håndhevelsesverdien -all (hard fail). SPF TXT-posten ser omtrent slik ut:

v=spf1 ip4:192.168.0.1 ip4:192.168.0.2 ip4:192.168.0.3 include:spf.protection.outlook.com -all

Neste trinn

Følg trinnene i Konfigurer SPF i Microsoft 365 for å forhindre forfalskning for å legge til SPF TXT-posten for det egendefinerte domenet hos domeneregistratoren.

For å beskytte deg mot phishing- og forfalskningsteknikker som SPF ikke kan, bør du også konfigurere DKIM- og DMARC DNS-poster i domenet. For å komme i gang kan du se Bruke DKIM til å validere utgående e-post sendt fra det egendefinerte domenet i Microsoft 365 og bruke DMARC til å validere e-post i Microsoft 365.

Feilsøking: Anbefalte fremgangsmåter for SPF i Microsoft 365

Et domene støtter bare én SPF TXT-post. Flere DNS TXT-poster for samme domene forårsaker en DNS-oppslagsløkke som gjør at SPF mislykkes. Du kan unngå dette scenarioet ved å opprette en separat DNS TXT-post for hvert underdomene. Du kan for eksempel opprette én DNS TXT-post for contoso.com og en annen DNS TXT-post for bulkmail.contoso.com.

Som tidligere beskrevet, hvis en e-postmelding forårsaker mer enn 10 DNS-oppslag for SPF, svarer mål-e-postserveren med en permanent feil (også kalt en permerror) som fører til at meldingen mislykkes SPF. Mål-e-postserveren kan også returnere meldingen i en rapport om manglende levering (også kjent som en NDR- eller returmelding) som inneholder én av følgende feil:

  • Meldingen overskred antall mellomhopp.
  • Meldingen krevde for mange oppslag.

Hvis du vil unngå disse feilene, kan du kreve at brukere i organisasjonen sender masseutsendt e-post fra et underdomene som er utformet for dette formålet (for eksempel bulkmail.contoso.com). Deretter oppretter du en annen SPF TXT-post for underdomenet som inneholder masse-e-postkildene. De fleste avsendere av masseutsendere av e-post har et bestemt domene eller underdomene som du må legge til som en include: verdi i SPF TXT-posten. Du kan for eksempel exacttarget.com dirigere du legger til eller bruker include:cust-spf.exacttarget.com i SPF TXT-posten.

Vis gjeldende SPF TXT-post, og bestem antall oppslag som kreves

Du kan bruke nslookup til å vise DNS-postene, inkludert SPF TXT-posten. Det finnes mange gratis nettbaserte verktøy som du kan bruke til å vise innholdet i SPF TXT-posten. Ved å se på SPF TXT-posten og følge kjeden med include: setninger og omadresseringer, kan du finne ut hvor mange DNS-oppslag som kreves. Noen nettbaserte verktøy teller til og med og viser disse oppslagene for deg. Å holde oversikt over dette tallet bidrar til å forhindre SPF-feil.

Hvis du vil ha mer informasjon

Trenger du hjelp med å legge til SPF TXT-posten? Les Opprette DNS-poster hos en DNS-vertstjenesteleverandør for Microsoft 365 for detaljert informasjon om hvordan du bruker SPF med det egendefinerte domenet i Microsoft 365. Meldingshoder for søppelpost inneholder syntaksen og overskriftsfeltene som brukes av Microsoft 365 for SPF-kontroller.