Microsoft 365 etki alanınız için geçerli e-posta kaynaklarını tanımlamak için SPF'yi ayarlama
İpucu
Office 365 Plan 2 için Microsoft Defender XDR'daki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Deneme Office 365 için Microsoft Defender'nda kimlerin kaydolabileceği ve deneme koşulları hakkında bilgi edinin.
Sender Policy Framework (SPF), microsoft 365 kuruluşunuzdan gönderilen postaların, iş e-posta güvenliğinin aşılması (BEC), fidye yazılımı ve diğer kimlik avı saldırılarında kullanılan sahte gönderenleri önlemeye yardımcı olan bir e-posta kimlik doğrulaması yöntemidir.
SPF'nin birincil amacı, bir etki alanının e-posta kaynaklarını doğrulamaktır. Özel olarak, SPF etki alanı için geçerli posta kaynaklarını tanımlamak için DNS'de bir TXT kaydı kullanır. Alıcı e-posta sistemleri, iletinin SMTP iletimi sırasında kullanılan gönderen adresinden gelen e-postanın (POSTA KIMDEN adresi, adres, 5321.MailFrom
P1 gönderen veya zarf gönderen olarak bilinir) söz konusu etki alanı için bilinen, belirlenmiş bir posta kaynağından geldiğini doğrulamak için SPF TXT kaydını kullanır.
Örneğin, Microsoft 365'teki e-posta etki alanınız contoso.com, Microsoft 365'i contoso.com'dan gelen yetkili bir posta kaynağı olarak tanımlamak üzere contoso.com etki alanı için DNS'de bir SPF TXT kaydı oluşturursunuz. Hedef e-posta sistemleri, iletinin contoso.com e-posta için yetkili bir kaynaktan gelip gelmediğini belirlemek üzere contoso.com SPF TXT kaydını denetler.
Başlamadan önce, e-posta etki alanınıza bağlı olarak Microsoft 365'teki SPF hakkında bilmeniz gerekenler şunlardır:
E-posta için yalnızca Microsoft Online Email Yönlendirme Adresi (MOERA) etki alanını kullanıyorsanız (örneğin, contoso.onmicrosoft.com): Hiçbir şey yapmanız gerekmez. SPF TXT kaydı sizin için zaten yapılandırılmış. onmicrosoft.com etki alanının sahibi Microsoft olduğundan, bu etki alanı ve alt etki alanındaki DNS kayıtlarını oluşturmak ve korumak bizim sorumluluğumuzdur. *.onmicrosoft.com etki alanları hakkında daha fazla bilgi için bkz. Neden "onmicrosoft.com" etki alanım var?.
E-posta için bir veya daha fazla özel etki alanı kullanıyorsanız (örneğin, contoso.com): Microsoft 365 kayıt işlemi, Microsoft 365'i yetkili posta kaynağı olarak tanımlamak üzere özel etki alanınız için DNS'de SPF TXT kaydını oluşturmanızı veya değiştirmenizi zaten gerektiriyordu. Ancak, en yüksek e-posta koruması için yapmanız gereken daha fazla iş var:
Alt etki alanı ile ilgili dikkat edilmesi gerekenler:
Doğrudan denetiminiz altında olmayan e-posta hizmetleri için (örneğin, toplu e-posta hizmetleri), ana e-posta etki alanınız (örneğin, contoso.com) yerine bir alt etki alanı (örneğin, marketing.contoso.com) kullanmanızı öneririz. Bu e-posta hizmetlerinden gönderilen postalarla ilgili sorunların, ana e-posta etki alanınızdaki çalışanlar tarafından gönderilen postaların itibarını etkilemesini istemezsiniz. Alt etki alanları ekleme hakkında daha fazla bilgi için bkz. Microsoft 365'e özel alt etki alanları veya birden çok etki alanı ekleyebilir miyim?.
Microsoft 365'ten e-posta göndermek için kullandığınız her alt etki alanı kendi SPF TXT kaydını gerektirir. Örneğin, contoso.com için SPF TXT kaydı marketing.contoso.com kapsamaz; marketing.contoso.com kendi SPF TXT kaydına ihtiyaç duyar.
İpucu
Tanımsız alt etki alanları için Email kimlik doğrulama koruması DMARC kapsamındadır. Herhangi bir alt etki alanı (tanımlı veya tanımlanmamış) üst etki alanının DMARC ayarlarını devralır (alt etki alanı başına geçersiz kılınabilir). Daha fazla bilgi için bkz. Microsoft 365'te gönderenler için Kimden adresi etki alanını doğrulamak için DMARC'yi ayarlama.
Kayıtlı ancak kullanılmayan etki alanlarınız varsa: E-posta veya herhangi bir şey için kullanılmayan kayıtlı etki alanlarınız varsa ( park edilmiş etki alanları olarak da bilinir), SPF TXT kayıtlarını bu makalenin devamında açıklandığı gibi bu etki alanlarından hiçbir e-posta gelmemesi gerektiğini belirtmek üzere yapılandırın.
Tek başına SPF yeterli değildir. Özel etki alanlarınız için en iyi e-posta koruması düzeyi için, genel e-posta kimlik doğrulama stratejinizin bir parçası olarak DKIM ve DMARC'yi de yapılandırmanız gerekir. Daha fazla bilgi için bu makalenin sonundaki Sonraki Adımlar bölümüne bakın.
Önemli
Etki alanı için tüm geçerli posta kaynaklarını tanımlamanın zor olduğu karmaşık kuruluşlarda, etki alanı için DKIM imzalamayı ve DMARC'yi ('eylem gerçekleştirme' modunda) hızla yapılandırmanız önemlidir. DMARC raporlama hizmeti, etki alanı için e-posta kaynaklarını ve SPF hatalarını tanımlamak için çok yararlıdır.
Bu makalenin geri kalanında, Microsoft 365'teki özel etki alanları için oluşturmanız gereken SPF TXT kayıtları açıklanmaktadır.
İpucu
Etki alanınızdaki SPF kayıtlarını yönetmeniz için Microsoft 365'te hiçbir yönetici portalı veya PowerShell cmdlet'i yoktur. Bunun yerine, etki alanı kayıt şirketinizde veya DNS barındırma hizmetinizde (genellikle aynı şirket) SPF TXT kaydını oluşturursunuz.
Birçok etki alanı kayıt şirketi için Microsoft 365 için etki alanı sahipliği TXT kaydının kanıtını oluşturmaya yönelik yönergeler sağlıyoruz. SPF TXT kayıt değerini oluşturmak için bu yönergeleri başlangıç noktası olarak kullanabilirsiniz. Daha fazla bilgi için bkz. Etki alanınıza bağlanmak için DNS kayıtları ekleme.
DNS yapılandırması konusunda bilginiz yoksa etki alanı kayıt şirketinize başvurun ve yardım isteyin.
SPF TXT kayıtlarının söz dizimi
SPF TXT kayıtları RFC 7208'de ayrıntılı olarak açıklanmıştır.
Microsoft 365'te özel bir etki alanı için SPF TX kaydının temel söz dizimi:
v=spf1 <valid mail sources> <enforcement rule>
Veya:
v=spf1 [<ip4>|<ip6>:<PublicIPAddress1> <ip4>|<ip6>:<PublicIPAddress2>... <ip4>|<ip6>:<PublicIPAddressN>] [include:<DomainName1> include:<DomainName1>... include:<DomainNameN>] <-all | ~all>
Örneğin:
v=spf1 ip4:192.168.0.10 ip4:192.168.0.12 include:spf.protection.outlook.com -all
v=spf1
TXT kaydını SPF TXT kaydı olarak tanımlar.Geçerli posta kaynakları: Etki alanı için geçerli posta kaynakları belirtildi. Etki Alanlarını, IP adreslerini veya her ikisini birden kullanır:
Etki alanları:
include:
değerler, diğer hizmetleri veya etki alanlarını özgün etki alanından geçerli posta kaynakları olarak belirtir. Bu değerler sonuçta DNS aramalarının kullanıldığı bir IP adresine yol açar.Çoğu Microsoft 365 kuruluşu, etki alanı için SPF TXT kaydına ihtiyaç duyar
include:spf.protection.outlook.com
. Diğer üçüncü taraf e-posta hizmetleri genellikle hizmeti özgün etki alanından geçerli bir e-posta kaynağı olarak tanımlamak için ekinclude:
bir değer gerektirir.IP adresleri: IP adresi değeri aşağıdaki öğelerin ikisini de içerir:
- IP adresinin türünü tanımlamak için veya
ip6:
değeriip4:
. - Kaynak e-posta sisteminin genel olarak çözümlenebilir IP adresi. Örneğin:
- Tek bir IP adresi (örneğin, 192.168.0.10).
- Sınıfsız Inter-Domain Yönlendirme (CIDR) gösterimi kullanan bir IP adresi aralığı (örneğin, 192.168.0.1/26). Aralığın çok büyük veya çok küçük olmadığından emin olun.
Microsoft 365'te genellikle SPF TXT kaydındaki IP adreslerini yalnızca Microsoft 365 etki alanından posta gönderen şirket içi e-posta sunucularınız varsa kullanırsınız (örneğin, karma dağıtımlar Exchange Server). Bazı üçüncü taraf e-posta hizmetleri, SPF TXT kaydındaki bir değer yerine bir
include:
IP adresi aralığı da kullanabilir.- IP adresinin türünü tanımlamak için veya
Zorlama kuralı: Hedef e-posta sistemlerine etki alanının SPF TXT kaydında belirtilmeyen kaynaklardan gelen iletilerle ne yapacağını bildirir. Geçerli değerler şunlardır:
-all
(sabit başarısız): SPF TXT kaydında belirtilmeyen kaynaklar etki alanı için posta gönderme yetkisine sahip değildir, bu nedenle iletiler reddedilmelidir. İletiye gerçekte ne olacağı hedef e-posta sistemine bağlıdır, ancak iletiler genellikle atılır.Microsoft 365 etki alanları için, etki alanı
-all
için DKIM ve DMARC'yi de önerdiğimiz için (sabit başarısız) öneririz. DMARC ilkesi, SPF veya DKIM'de başarısız olan iletilere ne yapacağını belirtir ve DMARC raporları sonuçları doğrulamanıza olanak sağlar.İpucu
Daha önce belirtildiği gibi, DMARC raporlama hizmetiyle yapılandırılan DMARC, etki alanı için e-posta kaynaklarını ve SPF hatalarını tanımlamaya büyük ölçüde yardımcı olur.
~all
(geçici hata): SPF TXT kaydında belirtilmeyen kaynaklar büyük olasılıkla etki alanı için posta gönderme yetkisine sahip değildir, bu nedenle iletiler kabul edilmeli ancak işaretlenmelidir. İletiye gerçekte ne olacağı hedef e-posta sistemine bağlıdır. Örneğin, ileti istenmeyen posta olarak karantinaya alınabilir, Gereksiz Email klasörüne teslim edilebilir veya Konu veya ileti gövdesine eklenmiş bir tanımlayıcıyla Gelen Kutusu'na teslim edilebilir.Microsoft 365 etki alanları için DKIM ve DMARC'yi de önerdiğimiz için, (sabit başarısız) ile
~all
(geçici başarısız) arasındaki-all
farklar etkili bir şekilde ortadan kalkar (DMARC her iki sonucu da SPF hatası olarak ele alır). DMARC, MAIL FROM ve From adreslerindeki etki alanlarının hizalanıp iletinin Kimden etki alanı için geçerli bir kaynaktan geldiğini onaylamak için SPF kullanır.
İpucu
?all
(nötr) ayrıca tanımlanamayan kaynaklardan gelen iletilerde belirli bir eylem önermek için kullanılabilir. Bu değer test için kullanılır ve üretim ortamlarında bu değeri önermeyiz.
Hatırlanması gereken önemli noktalar:
- DNS'de tanımlanan her etki alanı veya alt etki alanı bir SPF TXT kaydı gerektirir ve etki alanı veya alt etki alanı başına yalnızca bir SPF kaydına izin verilir. tanımsız alt etki alanları için Email kimlik doğrulama koruması en iyi DMARC tarafından işlenir.
- *.onmicrosoft.com etki alanı için mevcut SPF TXT kaydını değiştiremezsiniz.
- Hedef e-posta sistemi SPF kaydındaki geçerli e-posta kaynaklarını denetlediğinde, denetim çok fazla DNS araması gerektiriyorsa SPF doğrulaması başarısız olur. Daha fazla bilgi için bu makalenin devamında yer alan SPF TXT kayıtlarında sorun giderme bölümüne bakın.
Microsoft 365'te özel etki alanları için SPF TXT kayıtları
İpucu
Bu makalede daha önce belirtildiği gibi, etki alanının etki alanı kayıt şirketindeki bir etki alanı veya alt etki alanı için SPF TXT kaydını oluşturursunuz. Microsoft 365'te SPF TXT kaydı yapılandırması yoktur.
Senaryo: Microsoft 365'te e-posta için contoso.com kullanırsınız ve contoso.com tek e-posta kaynağı Microsoft 365'tir.
Microsoft 365 ve Microsoft 365 Kamu Topluluğu Bulutu'ndaki (GCC) contoso.com için SPF TXT kaydı:
v=spf1 include:spf.protection.outlook.com -all
Microsoft 365 Kamu Topluluğu Bulut Yüksek (GCC High) ve Microsoft 365 Savunma Bakanlığı'nda (DoD) contoso.com için SPF TXT kaydı:
v=spf1 include:spf.protection.office365.us -all
21Vianet tarafından sağlanan Microsoft 365'te contoso.com için SPF TXT kaydı
v=spf1 include:spf.protection.partner.outlook.cn -all
Senaryo: Microsoft 365'te e-posta için contoso.com kullanıyorsunuz ve etki alanındaki tüm e-posta kaynaklarıyla contoso.com SPF TXT kaydını zaten yapılandırmıştınız. Ayrıca etki alanlarının contoso.net ve contoso.org sahibi olursunuz, ancak bunları e-posta için kullanmazsınız. Kimsenin contoso.net veya contoso.org'dan e-posta gönderme yetkisi olmadığını belirtmek istiyorsunuz.
contoso.net için SPF TXT kaydı:
v=spf1 -all
contoso.org için SPF TXT kaydı:
v=spf1 -all
Senaryo: Microsoft 365'te e-posta için contoso.com kullanırsınız. Aşağıdaki kaynaklardan posta göndermeyi planlıyorsunuz:
- Dış e-posta adresi 192.168.0.10 olan bir şirket içi e-posta sunucusu. Bu e-posta kaynağı üzerinde doğrudan denetiminiz olduğundan, sunucuyu contoso.com etki alanındaki gönderenler için kullanmanın uygun olduğunu düşünüyoruz.
- Adatum toplu posta hizmeti. Bu e-posta kaynağı üzerinde doğrudan denetiminiz olmadığından bir alt etki alanı kullanmanızı öneririz, bu nedenle bu amaçla marketing.contoso.com oluşturmanız önerilir. Adatum hizmeti belgelerine göre, etki alanınız için SPF TXT kaydına eklemeniz
include:servers.adatum.com
gerekir.
contoso.com için SPF TXT kaydı:
v=spf1 ip4:192.168.0.10 include:spf.protection.outlook.com -all
marketing.contoso.com için SPF TXT kaydı:
v=spf1 include:servers.adatum.com include:spf.protection.outlook.com -all
SPF TXT kayıtlarının sorunlarını giderme
Etki alanı veya alt etki alanı başına bir SPF kaydı: Aynı etki alanı veya alt etki alanı için birden çok SPF TXT kaydı, SPF'nin başarısız olmasına neden olan bir DNS arama döngüsüne neden olur, bu nedenle etki alanı veya alt etki alanı başına yalnızca bir SPF kaydı kullanın.
10'dan az DNS araması: Hedef e-posta sistemleri MAIL FROM adres etki alanı için geçerli kaynaklar için SPF TXT kaydını sorguladığında, ileti kaynağı (sonuçta bir IP adresi) belirtilen kaynaklardan biriyle eşleşene kadar sorgu kayıttaki IP adreslerini ve
include:
deyimlerini tarar. DNS aramalarının sayısı (DNS sorgusu sayısından farklı olabilir) 10'dan büyükse, ileti SPF'de kalıcı bir hatayla (olarak da bilinirpermerror
) başarısız olur. Hedef e-posta sistemi, teslim edilmedi raporundaki iletiyi (NDR veya geri dönen ileti olarak da bilinir) aşağıdaki hatalardan biriyle reddeder:- İleti atlama sayısını aştı.
- İleti çok fazla arama gerektiriyor.
SPF TXT kaydında, tek tek IP adresleri veya IP adresi aralıkları DNS aramalarına neden olmaz. Her
include:
deyim en az bir DNS araması gerektirir ve değer iç içe kaynaklara işaret ederseinclude:
daha fazla arama gerekebilir. Başka bir deyişle, 10'daninclude:
az deyime sahip olmak, 10'dan az DNS araması garantisi vermez.Ayrıca unutmayın: Hedef e-posta sistemleri SPF TXT kaydındaki kaynakları soldan sağa doğru değerlendirir. İleti kaynağı doğrulandığında değerlendirme durdurulur ve başka kaynak denetlenmiyor. Bu nedenle, bir SPF TXT kaydı 10'dan fazla DNS aramasına neden olacak kadar bilgi içerebilir, ancak bazı posta kaynaklarının bazı hedeflerle doğrulanması kayıtta hataya neden olacak kadar derine inmez.
Ana e-posta etki alanınızın itibarını korumanın yanı sıra, DNS aramalarının sayısını aşmamak, denetlemediğiniz diğer e-posta hizmetleri için alt etki alanları kullanmanın bir diğer nedenidir.
Etki alanınız için SPF TXT kaydınızı ve diğer DNS kayıtlarını görüntülemek için ücretsiz çevrimiçi araçları kullanabilirsiniz. Bazı araçlar, SPF TXT kaydınızın gerektirdiği DNS kaydı aramalarının sayısını bile hesaplar.
Sonraki Adımlar
SPF, DKIM ve DMARC'nin e-posta iletisi gönderenlerin kimliğini doğrulamak için birlikte nasıl çalıştığı konusunda açıklandığı gibi, MICROSOFT 365 etki alanınızın kimlik sahtekarlığına engel olmak için spf tek başına yeterli değildir. Ayrıca mümkün olan en iyi koruma için DKIM ve DMARC'yi yapılandırmanız gerekir. Yönergeler için bkz:
- Özel etki alanınıza gönderilen giden e-postayı doğrulamak için DKIM'yi kullanma
- E-postayı doğrulamak için DMARC kullanma
Microsoft 365'e gelen postalar için, kuruluşunuza teslim etmeden önce ileti aktarımında değişiklik yapan hizmetleri kullanıyorsanız güvenilen ARC mühürleyicilerini de yapılandırmanız gerekebilir. Daha fazla bilgi için bkz . Güvenilen ARC mühürleyicilerini yapılandırma.