Konfigurera betrodda ARC-förseglare

Email autentisering hjälper till att verifiera e-post som skickas till och från din Microsoft 365-organisation för att förhindra falska avsändare som används i hot mot affärsmeddelanden (BEC), utpressningstrojaner och andra nätfiskeattacker.

Men vissa legitima e-posttjänster kan ändra meddelanden innan de levereras till din Microsoft 365-organisation. Att ändra inkommande meddelanden under överföring kan och kommer sannolikt att orsaka följande fel vid e-postautentisering i Microsoft 365:

  • SPF misslyckas på grund av den nya meddelandekällan (IP-adress).
  • DKIM misslyckas på grund av innehållsändring.
  • DMARC misslyckas på grund av SPF- och DKIM-felen.

Autentiserad mottagen kedja (ARC) hjälper till att minska inkommande e-postautentiseringsfel från meddelandeändring av legitima e-posttjänster. ARC bevarar den ursprungliga e-postautentiseringsinformationen i e-posttjänsten. Du kan konfigurera din Microsoft 365-organisation så att den litar på tjänsten som ändrade meddelandet och att använda den ursprungliga informationen i e-postautentiseringskontroller.

När ska man använda betrodda ARC-förseglare?

En Microsoft 365-organisation behöver bara identifiera betrodda ARC-förseglare när meddelanden som levereras till Microsoft 365-mottagare regelbundet påverkas på följande sätt:

  • Mellanhandstjänsten ändrar meddelandehuvudet eller e-postinnehållet.
  • Meddelandeändringarna gör att autentiseringen misslyckas av andra skäl (till exempel genom att ta bort bifogade filer).

När en administratör har lagt till en betrodd ARC-förseglare i Defender-portalen använder Microsoft 365 den ursprungliga e-postautentiseringsinformationen som ARC-förseglaren tillhandahåller för att verifiera de meddelanden som skickas via tjänsten till Microsoft 365.

Tips

Lägg bara till legitima, nödvändiga tjänster som betrodda ARC-förseglare i din Microsoft 365-organisation. Den här åtgärden hjälper berörda meddelanden att klara e-postautentiseringskontroller och förhindrar att legitima meddelanden levereras till mappen Junk Email, sätts i karantän eller avvisas på grund av e-postautentiseringsfel.

Vad behöver jag veta innan jag börjar?

Använd Microsoft Defender-portalen för att lägga till betrodda ARC-tätningar

  1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till Email & Samarbetsprinciper>& Regler>Hotprinciper>Email Autentiseringsinställningar i avsnittet >ReglerARC . Om du vill gå direkt till sidan Email autentiseringsinställningar använder du https://security.microsoft.com/authentication.

  2. På sidan Email autentiseringsinställningar kontrollerar du att fliken ARC är markerad och väljer sedan Lägg till.

    Tips

    Om Betrodda förseglare redan visas på arc-fliken väljer du Redigera.

  3. I den utfällbara menyn Lägg till betrodda ARC-förseglare som öppnas anger du den betrodda signeringsdomänen i rutan (till exempel fabrikam.com).

    Domännamnet måste matcha domänen som visas i d-värdet i rubrikerna ARC-Seal och ARC-Message-Signature i berörda meddelanden. Använd följande metoder för att visa meddelandehuvudet:

    Upprepa det här steget så många gånger det behövs. Om du vill ta bort en befintlig post väljer du bredvid posten.

    När du är klar med den utfällbara menyn Lägg till betrodda ARC-förseglare väljer du Spara

Använda Exchange Online PowerShell för att lägga till betrodda ARC-tätningar

Om du hellre vill använda PowerShell för att visa, lägga till eller ta bort betrodda ARC-förseglare ansluter du till Exchange Online PowerShell för att köra följande kommandon.

  • Visa befintliga betrodda ARC-förseglare

    Get-ArcConfig

    Om inga betrodda ARC-förseglare har konfigurerats returnerar kommandot inga resultat.

  • Lägga till eller ta bort betrodda ARC-förseglare

    Om du vill ersätta befintliga ARC-tätningar med de värden som du anger använder du följande syntax:

    Set-ArcConfig -Identity [TenantId\]Default -ArcTrustedSealers "Domain1","Domain2",..."DomainN"

    TenantId\-värdet krävs inte i din egen organisation, endast i delegerade organisationer. Det är ett GUID som visas i många url:er för administratörsportalen i Microsoft 365 ( tid= värdet). Till exempel a32d39e2-3702-4ff5-9628-31358774c091.

    Det här exemplet konfigurerar "cohovineyard.com" och "tailspintoys.com" som de enda betrodda ARC-förseglarna i organisationen.

    Set-ArcConfig -Identity Default -ArcTrustedSealers "cohovineyard.com","tailspintoys.com"

    För att bevara befintliga värden måste du inkludera ARC-tätningarna som du vill behålla tillsammans med de nya ARC-tätningarna som du vill lägga till.

    Om du vill lägga till eller ta bort ARC-förseglare utan att påverka de andra posterna kan du läsa avsnittet Exempel i Set-ArcConfig.

Verifiera en betrodd ARC-förseglare

Om det finns en ARC-tätning från en tjänst innan meddelandet når Microsoft 365 kontrollerar du meddelandehuvudet för de senaste ARC-huvudena när meddelandet har levererats.

Leta efter arc=pass och oda=1i det senaste ARC-Authentication-Results-huvudet. Dessa värden anger:

  • Den tidigare ARC har verifierats.
  • Den tidigare ARC-förseglaren är betrodd.
  • Det tidigare passresultatet kan användas för att åsidosätta det aktuella DMARC-felet.

Till exempel:

ARC-Authentication-Results: i=2; mx.microsoft.com 1; spf=pass (sender ip is
172.17.17.17) smtp.rcpttodomain=microsoft.com
smtp.mailfrom=sampledoamin.onmicrosoft.com; dmarc=bestguesspass action=none
header.from=sampledoamin.onmicrosoft.com; dkim=none (message not signed);
arc=pass (0 oda=1 ltdi=1
spf=[1,1,smtp.mailfrom=sampledoamin.onmicrosoft.com]
dkim=[1,1,header.d=sampledoamin.onmicrosoft.com]
dmarc=[1,1,header.from=sampledoamin.onmicrosoft.com])

Om du vill kontrollera om ARC-resultatet användes för att åsidosätta ett DMARC-fel letar compauth=pass du upp och reason=130 i det senaste autentiseringsresultathuvudet . Till exempel:

Authentication-Results: spf=fail (sender IP is 10.10.10.10)
smtp.mailfrom=contoso.com; dkim=fail (body hash did not verify)
header.d=contoso.com;dmarc=fail action=none
header.from=contoso.com;compauth=pass reason=130

E-postflödesdiagram för betrodda ARC-förseglare

Diagrammen i det här avsnittet kontrasterar e-postflödet och påverkan på e-postautentiseringsresultat med och utan en betrodd ARC-förseglare. I båda diagrammen använder Microsoft 365-organisationen en legitim e-posttjänst som ändrar inkommande e-post innan den levereras till Microsoft 365. Den här ändringen avbryter e-postflödet, vilket kan orsaka fel vid e-postautentisering genom att ändra käll-IP-adressen och uppdatera e-postmeddelandets sidhuvud.

Det här diagrammet visar resultatet utan en betrodd ARC-tätning:

Contoso publicerar SPF, DKIM och DMARC. En avsändare som använder SPF skickar e-post inifrån contoso.com för att fabrikam.com, och det här meddelandet passerar genom en legitim tredjepartstjänst som ändrar den sändande IP-adressen i e-posthuvudet. Under DNS-kontrollen på Microsoft 365 misslyckas meddelandet med SPF på grund av den ändrade IP-adressen och DKIM misslyckas eftersom innehållet ändrades. DMARC misslyckas på grund av SPF- och DKIM-felen. Meddelandet levereras till mappen Junk Email, i karantän eller avvisas.

Det här diagrammet visar resultatet med en betrodd ARC-tätning:

Contoso publicerar SPF, DKIM och DMARC, men konfigurerar även nödvändiga betrodda ARC-förseglare. En avsändare som använder SPF skickar e-post inifrån contoso.com för att fabrikam.com, och det här meddelandet passerar genom en legitim tredjepartstjänst som ändrar den sändande IP-adressen i e-posthuvudet. Tjänsten använder ARC-tätning och eftersom tjänsten definieras som en betrodd ARC-tätning i Microsoft 365 godkänns ändringen. SPF misslyckas för den nya IP-adressen. DKIM misslyckas på grund av innehållsändringen. DMARC misslyckas på grund av tidigare fel. Men ARC känner igen ändringarna, utfärdar ett pass och accepterar ändringarna. Förfalskning får också ett passerkort. Meddelandet levereras till inkorgen.

Nästa steg

Kontrollera DINA ARC-huvuden med Analysverktyg för meddelanderubrik på https://mha.azurewebsites.net.

Granska konfigurationsprocedurerna SPF, DKIM, DMARC.