Konfigurer SPF for å identifisere gyldige e-postkilder for Microsoft 365-domenet

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

Struktur for avsenderpolicy (SPF) er en metode for e-postgodkjenning som bidrar til å validere e-post sendt fra Microsoft 365-organisasjonen for å forhindre falske avsendere som brukes i forretnings-e-postkompromisse (BEC), løsepengevirus og andre phishing-angrep.

Hovedformålet med SPF er å validere e-postkilder for et domene. SPF bruker en TXT-post i DNS til å identifisere gyldige e-postkilder for domenet. Mottak av e-postsystemer bruker SPF TXT-posten til å bekrefte at e-post fra avsenderadressen som brukes under SMTP-overføringen av meldingen (kjent som MAIL FROM-adressen, 5321.MailFrom adressen, P1-avsenderen eller konvoluttavsenderen) er fra en kjent, angitt e-postkilde for dette domenet.

Hvis for eksempel e-postdomenet i Microsoft 365 er contoso.com, oppretter du en SPF TXT-post i DNS for det contoso.com domenet for å identifisere Microsoft 365 som en autorisert e-postkilde fra contoso.com. Mål-e-postsystemer sjekker SPF TXT-posten i contoso.com for å finne ut om meldingen kom fra en autorisert kilde for contoso.com e-post.

Før vi begynner, må du vite følgende om SPF i Microsoft 365 basert på e-postdomenet ditt:

  • Hvis du bare bruker domenet Microsoft Online Email Routing Address (MOERA) for e-post (for eksempel contoso.onmicrosoft.com): Du trenger ikke å gjøre noe. SPF TXT-posten er allerede konfigurert for deg. Microsoft eier domenet onmicrosoft.com, så vi er ansvarlige for å opprette og vedlikeholde DNS-postene i domenet og underdomenene. Hvis du vil ha mer informasjon om *.onmicrosoft.com domener, kan du se Hvorfor har jeg et «onmicrosoft.com»-domene?.

  • Hvis du bruker ett eller flere egendefinerte domener for e-post (for eksempel contoso.com): Registreringsprosessen for Microsoft 365 krevde allerede at du opprettet eller endret SPF TXT-posten i DNS for det egendefinerte domenet for å identifisere Microsoft 365 som en autorisert e-postkilde. Men du har fortsatt mer arbeid å gjøre for maksimal e-postbeskyttelse:

    • Vurderinger av underdomene:

      • For e-posttjenester som ikke er under din direkte kontroll (for eksempel massetjenester for e-post), anbefaler vi at du bruker et underdomene (for eksempel marketing.contoso.com) i stedet for hoved-e-postdomenet (for eksempel contoso.com). Du vil ikke at problemer med e-post som sendes fra disse e-posttjenestene, skal påvirke omdømmet til e-post som sendes av ansatte i hoved-e-postdomenet. Hvis du vil ha mer informasjon om hvordan du legger til underdomener, kan du se Kan jeg legge til egendefinerte underdomener eller flere domener i Microsoft 365?.

      • Hvert underdomene som du bruker til å sende e-post fra Microsoft 365, krever sin egen SPF TXT-post. SPF TXT-posten for contoso.com dekker for eksempel ikke marketing.contoso.com. marketing.contoso.com trenger sin egen SPF TXT-post.

        Tips

        E-postgodkjenningsbeskyttelse for udefinerte underdomener dekkes av DMARC. Alle underdomener (definert eller ikke) arver DMARC-innstillingene for det overordnede domenet (som kan overstyres per underdomene). Hvis du vil ha mer informasjon, kan du se Konfigurere DMARC til å validere Fra-adressedomenet for avsendere i Microsoft 365.

    • Hvis du eier registrerte, men ubrukte domener: Hvis du eier registrerte domener som ikke brukes til e-post eller noe i det hele tatt (også kjent som parkerte domener), konfigurerer du SPF TXT-poster for å angi at ingen e-post noensinne skal komme fra disse domenene som beskrevet senere i denne artikkelen.

  • SPF alene er ikke nok. For det beste nivået av e-postbeskyttelse for dine egendefinerte domener, må du også konfigurere DKIM og DMARC som en del av den generelle strategien for e-postgodkjenning . Hvis du vil ha mer informasjon, kan du se neste trinn-delen på slutten av denne artikkelen.

    Viktig

    I komplekse organisasjoner der det er vanskelig å identifisere alle gyldige e-postkilder for domenet, er det viktig at du raskt konfigurerer DKIM-signering og DMARC (i «ikke gjør noe»-modus) for domenet. En DMARC-rapporteringstjeneste er svært nyttig for å identifisere e-postkilder og SPF-feil for domenet.

Resten av denne artikkelen beskriver SPF TXT-postene du må opprette for egendefinerte domener i Microsoft 365.

Tips

Det finnes ingen administrasjonsportaler eller PowerShell-cmdleter i Microsoft 365 som du kan bruke til å administrere SPF-poster i domenet. I stedet oppretter du SPF TXT-posten hos domeneregistratoren eller DNS-vertstjenesten (ofte samme firma).

Vi gir instruksjoner for å opprette bevis på TXT-posten for domeneeierskap for Microsoft 365 hos mange domeneregistratorer. Du kan bruke disse instruksjonene som utgangspunkt for å opprette SPF TXT-postverdien. Hvis du vil ha mer informasjon, kan du se Legge til DNS-poster for å koble til domenet.

Hvis du ikke er kjent med DNS-konfigurasjonen, kontakter du domeneregistratoren og ber om hjelp.

Syntaks for SPF TXT-poster

SPF TXT-poster er fullstendig beskrevet i RFC 7208.

Den grunnleggende syntaksen for SPF TX-posten for et egendefinert domene i Microsoft 365 er:

v=spf1 <valid mail sources> <enforcement rule>

Eller:

v=spf1 [<ip4>|<ip6>:<PublicIPAddress1> <ip4>|<ip6>:<PublicIPAddress2>... <ip4>|<ip6>:<PublicIPAddressN>] [include:<DomainName1> include:<DomainName1>... include:<DomainNameN>] <-all | ~all>

Eksempel:

v=spf1 ip4:192.168.0.10 ip4:192.168.0.12 include:spf.protection.outlook.com -all
  • v=spf1 identifiserer TXT-posten som en SPF TXT-post.

  • Gyldige e-postkilder: Angitte gyldige e-postkilder for domenet. Bruker domener, IP-adresser eller begge deler:

    • Domener: include: verdier angir andre tjenester eller domener som gyldige e-postkilder fra det opprinnelige domenet. Disse verdiene fører til slutt til en IP-adresse ved hjelp av DNS-oppslag.

      De fleste Microsoft 365-organisasjoner krever include:spf.protection.outlook.com I SPF TXT-posten for domenet. Andre tredjeparts e-posttjenester krever ofte en ekstra include: verdi for å identifisere tjenesten som en gyldig e-postkilde fra det opprinnelige domenet.

    • IP-adresser: En IP-adresseverdi inneholder begge følgende elementer:

      • Verdien ipv4: eller ipv6: for å identifisere typen IP-adresse.
      • Den offentlig løsbare IP-adressen til kilde-e-postsystemet. Eksempel:
        • En individuell IP-adresse (for eksempel 192.168.0.10).
        • Et IP-adresseområde som bruker cidr-notasjon (Classless Inter-Domain Routing) (for eksempel 192.168.0.1/26). Pass på at området ikke er for stort eller for lite.

      I Microsoft 365 bruker du vanligvis IP-adresser i SPF TXT-posten bare hvis du har lokale e-postservere som sender e-post fra Microsoft 365-domenet (for eksempel Exchange Server hybriddistribusjoner). Noen tredjeparts e-posttjenester kan også bruke et IP-adresseområde i stedet for en include: verdi i SPF TXT-posten.

  • Håndhevelsesregel: Forteller mål-e-postsystemer hva de skal gjøre med meldinger fra kilder som ikke er angitt i SPF TXT-posten for domenet. Gyldige verdier er:

    • -all (vanskelig mislykket): Kilder som ikke er angitt i SPF TXT-posten, er ikke autorisert til å sende e-post for domenet, så meldingene bør avvises. Hva som faktisk skjer med meldingen, avhenger av mål-e-postsystemet, men meldingene forkastes vanligvis.

      For Microsoft 365-domener anbefaler -all vi (hard fail) fordi vi også anbefaler DKIM og DMARC for domenet. DMARC-policyen angir hva du skal gjøre med meldinger som mislykkes med SPF eller DKIM, og DMARC-rapporter lar deg validere resultatene.

      Tips

      Som tidligere angitt, hjelper DMARC som er konfigurert med en DMARC-rapporteringstjeneste, i stor grad med å identifisere e-postkilder og SPF-feil for domenet.

    • ~all (myk feil): Kilder som ikke er angitt i SPF TXT-posten, er sannsynligvis ikke autorisert til å sende e-post for domenet, så meldingene bør godtas, men merkes. Hva som faktisk skjer med meldingen, avhenger av mål-e-postsystemet. Meldingen kan for eksempel settes i karantene som søppelpost, leveres til Søppelpost-mappen eller leveres til innboksen med en identifikator lagt til i emneteksten eller meldingsteksten.

      Siden vi også anbefaler DKIM og DMARC for Microsoft 365-domener, blir forskjellene mellom -all (hard fail) og ~all (soft fail) effektivt eliminert (DMARC behandler begge resultatene som en SPF-feil). DMARC bruker SPF til å bekrefte at domenene i E-POST FRA- og Fra-adressene justeres , og meldingen kom fra en gyldig kilde for Fra-domenet.

    Tips

    ?all (nøytral) er også tilgjengelig for å foreslå ingen spesifikk handling på meldinger fra uidentifiserte kilder. Denne verdien brukes til testing, og vi anbefaler ikke denne verdien i produksjonsmiljøer.

Viktige punkter å huske:

  • Hvert definerte domene eller underdomene i DNS krever en SPF TXT-post, og bare én SPF-post er tillatt per domene eller underdomene. Godkjenningsbeskyttelse for e-post for udefinerte underdomener håndteres best av DMARC.
  • Du kan ikke endre den eksisterende SPF TXT-posten for *.onmicrosoft.com-domenet.
  • Når mål-e-postsystemet kontrollerer de gyldige e-postkildene i SPF-posten, mislykkes SPF-validering hvis kontrollen krever for mange DNS-oppslag. Hvis du vil ha mer informasjon, kan du se avsnittet Feilsøking av SPF TXT-poster senere i denne artikkelen.

SPF TXT-poster for egendefinerte domener i Microsoft 365

Tips

Som tidligere nevnt i denne artikkelen, oppretter du SPF TXT-posten for et domene eller underdomene hos domeneregistratoren for domenet. Ingen SPF TXT-postkonfigurasjon er tilgjengelig i Microsoft 365.

  • Scenario: Du bruker contoso.com for e-post i Microsoft 365, og Microsoft 365 er den eneste kilden til e-post fra contoso.com.

    SPF TXT-post for contoso.com i Microsoft 365 og Microsoft 365 Government Community Cloud (GCC):

    v=spf1 include:spf.protection.outlook.com -all
    

    SPF TXT-post for contoso.com i Microsoft 365 Government Community Cloud High (GCC High) og Microsoft 365 Department of Defense (DoD):

    v=spf1 include:spf.protection.office365.us -all
    

    SPF TXT-post for contoso.com i Microsoft 365 drevet av 21Vianet

    v=spf1 include:spf.protection.partner.outlook.cn -all
    
  • Scenario: Du bruker contoso.com for e-post i Microsoft 365, og du har allerede konfigurert SPF TXT-posten i contoso.com med alle e-postkilder fra domenet. Du eier også domenene contoso.net og contoso.org, men du bruker dem ikke til e-post. Du vil angi at ingen har tillatelse til å sende e-post fra contoso.net eller contoso.org.

    SPF TXT-post for contoso.net:

    v=spf1 -all
    

    SPF TXT-post for contoso.org:

    v=spf1 -all
    
  • Scenario: Du bruker contoso.com for e-post i Microsoft 365. Du planlegger å sende e-post fra følgende kilder:

    • En lokal e-postserver med den eksterne e-postadressen 192.168.0.10. Fordi du har direkte kontroll over denne e-postkilden, anser vi det som OK å bruke serveren for avsendere i det contoso.com domenet.
    • Masseutsendelsestjenesten for Adatum. Fordi du ikke har direkte kontroll over denne e-postkilden, anbefaler vi at du bruker et underdomene, så du oppretter marketing.contoso.com for dette formålet. Ifølge dokumentasjonen for Adatum-tjenesten må du legge include:servers.adatum.com til SPF TXT-posten for domenet ditt.

    SPF TXT-post for contoso.com:

    v=spf1 ipv4:192.168.0.10 include:spf.protection.outlook.com -all
    

    SPF TXT-post for marketing.contoso.com:

    v=spf1 include:servers.adatum.com include:spf.protection.outlook.com -all
    

Feilsøking av SPF TXT-poster

  • Én SPF-post per domene eller underdomene: Flere SPF TXT-poster for samme domene eller underdomene forårsaker en DNS-oppslagsløkke som gjør at SPF mislykkes, så bruk bare én SPF-post per domene eller underdomene.

  • Mindre enn 10 DNS-oppslag: Når mål-e-postsystemer spør SPF TXT-posten etter gyldige kilder for E-POST FRA-adressedomenet, skanner spørringen gjennom IP-adressene og include: setningene i posten til meldingskilden (til slutt en IP-adresse) samsvarer med en av de angitte kildene. Hvis antall DNS-oppslag (som kan være forskjellig fra antall DNS-spørringer) er større enn 10, mislykkes SPF med en permanent feil (også kjent som en permerror). Mål-e-postsystemet avviser meldingen i en rapport om manglende levering (også kjent som en NDR- eller returmelding) med én av følgende feil:

    • Meldingen overskred antall mellomhopp.
    • Meldingen krevde for mange oppslag.

    I SPF TXT-posten forårsaker ikke individuelle IP-adresser eller IP-adresseområder DNS-oppslag. Hver include: setning krever minst ett DNS-oppslag, og flere oppslag kan være nødvendig hvis include: verdien peker til nestede ressurser. Med andre ord, å ha mindre enn 10 include: setninger garanterer ikke mindre enn 10 DNS-oppslag.

    Husk også: mål-e-postsystemer evaluerer kildene i SPF TXT-posten fra venstre mot høyre. Evalueringen stopper når meldingskilden valideres, og ingen flere kilder kontrolleres. Derfor kan en SPF TXT-post inneholde nok informasjon til å forårsake mer enn 10 DNS-oppslag, men valideringen av enkelte e-postkilder fra enkelte mål går ikke dypt nok i posten til å resultere i en feil.

    I tillegg til å bevare omdømmet til hoved-e-postdomenet, er det ikke en annen grunn til å bruke underdomener for andre e-posttjenester som du ikke kontrollerer.

Du kan bruke gratis nettbaserte verktøy til å vise SPF TXT-posten og andre DNS-poster for domenet. Noen verktøy beregner til og med antall DNS-postoppslag som SPF TXT-posten krever.

Neste trinn

Som beskrevet i Hvordan SPF, DKIM og DMARC fungerer sammen for å godkjenne avsendere av e-postmeldinger, er ikke SPF alene nok til å forhindre forfalskning av Microsoft 365-domenet. Du må også konfigurere DKIM og DMARC for best mulig beskyttelse. Hvis vil ha instruksjoner, kan du se:

For e-post som kommer inn i Microsoft 365, må du kanskje også konfigurere klarerte ARC-sealers hvis du bruker tjenester som endrer meldinger i transitt før levering til organisasjonen. Hvis du vil ha mer informasjon, kan du se Konfigurere klarerte ARC-tetninger.