Konfigurer SPF for å forhindre forfalskning

  • Artikkel
  • 6 minutter å lese

Denne artikkelen beskriver hvordan du oppdaterer en DNS-post (Domain Name Service), slik at du kan bruke SPF-e-postgodkjenning (Sender Policy Framework) med det egendefinerte domenet i Office 365.

SPF bidrar til å validere utgående e-post som sendes fra det egendefinerte domenet (kommer fra hvem det står det er). Det er et første trinn i å konfigurere de fullstendige anbefalte godkjenningsmetodene for e-post for SPF, DKIM og DMARC.

Forutsetninger

Viktig

Hvis du er en liten bedrift eller ikke er kjent med IP-adresser eller DNS-konfigurasjon, kan du ringe domeneregistratoren for Internett (f.eks. GoDaddy, Bluehost, web.com) & og be om hjelp med DNS-konfigurasjonen av SPF (og annen e-postgodkjenningsmetode).

Hvis du ikke bruker en egendefinert nettadresse (og nettadressen som brukes for Office 365 slutter på onmicrosoft.com), er SPF allerede konfigurert for deg i Office 365-tjenesten.

La oss komme i gang.

SPF TXT-posten for Office 365 gjøres i ekstern DNS for eventuelle egendefinerte domener eller underdomener. Du trenger litt informasjon for å gjøre posten. Samle inn denne informasjonen:

  • SPF TXT-posten for det egendefinerte domenet, hvis det finnes en. Hvis du vil ha instruksjoner, kan du se Samle inn informasjonen du trenger for å opprette Office 365 DNS-poster.

  • Gå til meldingsserveren(e) og finn ut de eksterne IP-adressene (kreves fra alle lokale meldingsservere). Eksempel: 131.107.2.200.

  • Domenenavn som skal brukes for alle tredjepartsdomener som du må inkludere i SPF TXT-posten. Noen leverandører av masseutsendelse av e-post har konfigurert underdomener som skal brukes for kundene sine. Firmaet MailChimp har for eksempel konfigurert servers.mcsv.net.

  • Finn ut hvilken håndhevelsesregel du vil bruke for SPF TXT-posten. -all-regelen anbefales. Hvis du vil ha detaljert informasjon om andre syntaksalternativer, kan du se SPF TXT-postsyntaks for Office 365.

Viktig

Hvis du vil bruke et egendefinert domene, krever Office 365 at du legger til en TXT-post for avsenderpolicy (SPF) i DNS-posten for å forhindre forfalskning.

Opprette eller oppdatere SPF TXT-posten

  1. Kontroller at du er kjent med SPF-syntaksen i tabellen nedenfor.

    Element Hvis du bruker ... Vanlig for kunder? Legg til dette...
    1 Alle e-postsystem (obligatorisk) Vanlige. Alle SPF TXT-poster starter med denne verdien v=spf1
    2 Exchange Online Vanlige include:spf.protection.outlook.com
    3 bare Exchange Online dedikert Ikke vanlig ip4:23.103.224.0/19
    ip4:206.191.224.0/19
    ip4:40.103.0.0/16
    include:spf.protection.outlook.com
    4 bare Office 365 Tyskland, Microsoft Cloud Germany Ikke vanlig include:spf.protection.outlook.de
    5 Tredjeparts e-postsystem Ikke vanlig include:<domain_name>

    <> domain_name er domenet til tredjeparts e-postsystem.
    6 Lokalt e-postsystem. For eksempel Exchange Online Protection pluss et annet e-postsystem Ikke vanlig Bruk ett av disse for hvert ekstra e-postsystem:

    ip4:<IP_address>
    ip6:<IP_address>
    include:<domain_name>

    <> IP_address og <domain_name> er IP-adressen og domenet til det andre e-postsystemet som sender e-post på vegne av domenet.
    7 Alle e-postsystem (obligatorisk) Vanlige. Alle SPF TXT-poster slutter med denne verdien <enforcement rule>

    Dette kan være én av flere verdier. Vi anbefaler verdien -all.

  2. Hvis du ikke allerede har gjort det, kan du danne SPF TXT-posten ved hjelp av syntaksen fra tabellen.

    Hvis du for eksempel driftes fullstendig i Office 365, det vil si at du ikke har noen lokale e-postservere, vil SPF TXT-posten inneholde rad 1, 2 og 7 og vil se slik ut:

    v=spf1 include:spf.protection.outlook.com -all

    Eksemplet ovenfor er den vanligste SPF TXT-posten. Denne posten fungerer for nesten alle, uavhengig av om Microsoft-datasenteret er plassert i USA eller i Europa (inkludert Tyskland) eller på et annet sted.

    Hvis du imidlertid kjøpte Office 365 Tyskland, en del av Microsoft Cloud Germany, bør du bruke inkluderingssetningen fra linje 4 i stedet for linje 2. Hvis du for eksempel driftes fullstendig i Office 365 Tyskland, det vil si at du ikke har noen lokale e-postservere, vil SPF TXT-posten inneholde rad 1, 4 og 7 og vil se slik ut:

    v=spf1 include:spf.protection.outlook.de -all

    Hvis du allerede er distribuert i Office 365 og har konfigurert SPF TXT-postene for det egendefinerte domenet, og du overfører til Office 365 Tyskland, må du oppdatere SPF TXT-posten. Hvis du vil gjøre dette, endrer du include:spf.protection.outlook.com til include:spf.protection.outlook.de.

  3. Når du har dannet SPF TXT-posten, må du oppdatere posten i DNS. Du kan bare ha én SPF TXT-post for et domene. Hvis det finnes en SPF TXT-post, må du oppdatere den eksisterende posten i stedet for å legge til en ny post. Gå til Opprett DNS-poster for Office 365, og velg deretter koblingen for DNS-verten.

  4. Test SPF TXT-posten.

Hvordan håndtere underdomener?

Det er viktig å være oppmerksom på at du må opprette en egen post for hvert underdomene, da underdomener ikke arver SPF-posten for domenet på øverste nivå.

Det kreves en jokertegn-SPF-post (*.) for hvert domene og underdomene for å hindre at angripere sender e-post som hevder å være fra ikke-eksisterende underdomener. For eksempel,

*.subdomain.contoso.com. IN TXT "v=spf1 -all"

Feilsøking av SPF

Har du problemer med SPF TXT-posten? Les feilsøking: Anbefalte fremgangsmåter for SPF i Office 365.

Hva gjør SPF-e-postgodkjenning egentlig?

SPF identifiserer hvilke e-postservere som kan sende e-post på dine vegne. I utgangspunktet bidrar SPF, sammen med DKIM, DMARC og andre teknologier som støttes av Office 365, til å forhindre forfalskning og phishing. SPF legges til som en TXT-post som brukes av DNS til å identifisere hvilke e-postservere som kan sende e-post på vegne av det egendefinerte domenet. Mottakerpostsystemer refererer til SPF TXT-posten for å finne ut om en melding fra det egendefinerte domenet kommer fra en autorisert meldingsserver.

La oss for eksempel si at det egendefinerte domenet contoso.com bruker Office 365. Du legger til en SPF TXT-post som viser Office 365 meldingsservere som legitime e-postservere for domenet. Når den mottakende meldingsserveren får en melding fra joe@contoso.com, slår serveren opp SPF TXT-posten for contoso.com og finner ut om meldingen er gyldig. Hvis mottakerserveren finner ut at meldingen kommer fra en annen server enn Office 365 meldingsservere som er oppført i SPF-posten, kan den mottakende e-postserveren velge å avvise meldingen som søppelpost.

Hvis det egendefinerte domenet ikke har en SPF TXT-post, kan det hende at noen mottakende servere avviser meldingen direkte. Dette er fordi mottakerserveren ikke kan validere at meldingen kommer fra en autorisert meldingsserver.

Hvis du allerede har konfigurert e-post for Office 365, har du allerede inkludert Microsofts meldingsservere i DNS som en SPF TXT-post. Det finnes imidlertid noen tilfeller der du kanskje må oppdatere SPF TXT-posten i DNS. For eksempel,

  • Tidligere måtte du legge til en annen SPF TXT-post i det egendefinerte domenet hvis du brukte SharePoint Online. Dette er ikke lenger nødvendig. Denne endringen bør redusere risikoen for at SharePoint Online-varslingsmeldinger havner i Søppelpost-mappen. Oppdater SPF TXT-posten hvis du har nådd oppslagsgrensen på 10 og mottar feil som sier ting som «overskred oppslagsgrensen» og «for mange hopp».

  • Hvis du har et hybridmiljø med Office 365 og Exchange lokalt.

  • Du har tenkt å konfigurere DKIM og DMARC (anbefales).

Mer informasjon om SPF

For avanserte eksempler, en mer detaljert diskusjon om støttet SPF-syntaks, forfalsking, feilsøking og hvordan Office 365 støtter SPF, kan du se Hvordan SPF fungerer for å forhindre forfalskning og phishing i Office 365.

Neste trinn: DKIM og DMARC

SPF er utformet for å forhindre forfalskning, men det finnes forfalskningsteknikker som SPF ikke kan beskytte mot. Hvis du vil forsvare deg mot disse, bør du konfigurere DKIM og DMARC for Office 365 når du har konfigurert SPF.

Målet med DKIM-e-postgodkjenning er å bevise at innholdet i e-posten ikke har blitt manipulert.

Målet med DMARC-e-postgodkjenning er å sørge for at SPF- og DKIM-informasjon samsvarer med Fra-adressen.

Hvis du vil ha avanserte eksempler og en mer detaljert diskusjon om støttet SPF-syntaks, kan du se Hvordan SPF fungerer for å forhindre forfalskning og phishing i Office 365.

Bruk klarerte ARC-avsendere for legitime e-postflyter

Velg «Denne siden» under «Tilbakemelding» hvis du har tilbakemelding om denne dokumentasjonen.