Sender Policy Framework (SPF), microsoft 365 kuruluşunuzdan gönderilen postaların, iş e-posta güvenliğinin aşılması (BEC), fidye yazılımı ve diğer kimlik avı saldırılarında kullanılan sahte gönderenleri önlemeye yardımcı olan bir e-posta kimlik doğrulaması yöntemidir.
SPF'nin birincil amacı, bir etki alanının e-posta kaynaklarını doğrulamaktır. Özel olarak, SPF etki alanı için geçerli posta kaynaklarını tanımlamak için DNS'de bir TXT kaydı kullanır. Alıcı e-posta sistemleri, iletinin SMTP iletimi sırasında kullanılan gönderen adresinden gelen e-postanın (POSTA KIMDEN adresi, adres, 5321.MailFrom P1 gönderen veya zarf gönderen olarak bilinir) söz konusu etki alanı için bilinen, belirlenmiş bir posta kaynağından geldiğini doğrulamak için SPF TXT kaydını kullanır.
Örneğin, Microsoft 365'teki e-posta etki alanınız contoso.com, Microsoft 365'i contoso.com'dan gelen yetkili bir posta kaynağı olarak tanımlamak üzere contoso.com etki alanı için DNS'de bir SPF TXT kaydı oluşturursunuz. Hedef e-posta sistemleri, iletinin contoso.com e-posta için yetkili bir kaynaktan gelip gelmediğini belirlemek üzere contoso.com SPF TXT kaydını denetler.
Başlamadan önce, e-posta etki alanınıza bağlı olarak Microsoft 365'teki SPF hakkında bilmeniz gerekenler şunlardır:
E-posta için yalnızca Microsoft Online Email Yönlendirme Adresi (MOERA) etki alanını kullanıyorsanız (örneğin, contoso.onmicrosoft.com): Hiçbir şey yapmanız gerekmez. SPF TXT kaydı sizin için zaten yapılandırılmış. onmicrosoft.com etki alanının sahibi Microsoft olduğundan, bu etki alanı ve alt etki alanındaki DNS kayıtlarını oluşturmak ve korumak bizim sorumluluğumuzdur. *.onmicrosoft.com etki alanları hakkında daha fazla bilgi için bkz. Neden "onmicrosoft.com" etki alanım var?.
E-posta için bir veya daha fazla özel etki alanı kullanıyorsanız (örneğin, contoso.com): Microsoft 365 kayıt işlemi, Microsoft 365'i yetkili posta kaynağı olarak tanımlamak üzere özel etki alanınız için DNS'de SPF TXT kaydını oluşturmanızı veya değiştirmenizi zaten gerektiriyordu. Ancak, en yüksek e-posta koruması için yapmanız gereken daha fazla iş var:
Alt etki alanı ile ilgili dikkat edilmesi gerekenler:
Doğrudan denetiminiz altında olmayan e-posta hizmetleri için (örneğin, toplu e-posta hizmetleri), ana e-posta etki alanınız (örneğin, contoso.com) yerine bir alt etki alanı (örneğin, marketing.contoso.com) kullanmanızı öneririz. Bu e-posta hizmetlerinden gönderilen postalarla ilgili sorunların, ana e-posta etki alanınızdaki çalışanlar tarafından gönderilen postaların itibarını etkilemesini istemezsiniz. Alt etki alanları ekleme hakkında daha fazla bilgi için bkz. Microsoft 365'e özel alt etki alanları veya birden çok etki alanı ekleyebilir miyim?.
Microsoft 365'ten e-posta göndermek için kullandığınız her alt etki alanı kendi SPF TXT kaydını gerektirir. Örneğin, contoso.com için SPF TXT kaydı marketing.contoso.com kapsamaz; marketing.contoso.com kendi SPF TXT kaydına ihtiyaç duyar.
Kayıtlı ancak kullanılmayan etki alanlarınız varsa: E-posta veya herhangi bir şey için kullanılmayan kayıtlı etki alanlarınız varsa ( park edilmiş etki alanları olarak da bilinir), SPF TXT kayıtlarını bu makalenin devamında açıklandığı gibi bu etki alanlarından hiçbir e-posta gelmemesi gerektiğini belirtmek üzere yapılandırın.
Tek başına SPF yeterli değildir. Özel etki alanlarınız için en iyi e-posta koruması düzeyi için, genel e-posta kimlik doğrulama stratejinizin bir parçası olarak DKIM ve DMARC'yi de yapılandırmanız gerekir. Daha fazla bilgi için bu makalenin sonundaki Sonraki Adımlar bölümüne bakın.
Önemli
Etki alanı için tüm geçerli posta kaynaklarını tanımlamanın zor olduğu karmaşık kuruluşlarda, etki alanı için DKIM imzalamayı ve DMARC'yi ('eylem gerçekleştirme' modunda) hızla yapılandırmanız önemlidir. DMARC raporlama hizmeti, etki alanı için e-posta kaynaklarını ve SPF hatalarını tanımlamak için çok yararlıdır.
Bu makalenin geri kalanında, Microsoft 365'teki özel etki alanları için oluşturmanız gereken SPF TXT kayıtları açıklanmaktadır.
İpucu
Etki alanınızdaki SPF kayıtlarını yönetmeniz için Microsoft 365'te hiçbir yönetici portalı veya PowerShell cmdlet'i yoktur. Bunun yerine, etki alanı kayıt şirketinizde veya DNS barındırma hizmetinizde (genellikle aynı şirket) SPF TXT kaydını oluşturursunuz.
Birçok etki alanı kayıt şirketi için Microsoft 365 için etki alanı sahipliği TXT kaydının kanıtını oluşturmaya yönelik yönergeler sağlıyoruz. SPF TXT kayıt değerini oluşturmak için bu yönergeleri başlangıç noktası olarak kullanabilirsiniz. Daha fazla bilgi için bkz. Etki alanınıza bağlanmak için DNS kayıtları ekleme.
DNS yapılandırması konusunda bilginiz yoksa etki alanı kayıt şirketinize başvurun ve yardım isteyin.
SPF TXT kayıtlarının söz dizimi
SPF TXT kayıtları RFC 7208'de ayrıntılı olarak açıklanmıştır.
Microsoft 365'te özel bir etki alanı için SPF TX kaydının temel söz dizimi:
Geçerli posta kaynakları: Etki alanı için geçerli posta kaynakları belirtildi.
Etki Alanlarını, IP adreslerini veya her ikisini birden kullanır:
Etki alanları: include: değerler, diğer hizmetleri veya etki alanlarını özgün etki alanından geçerli posta kaynakları olarak belirtir. Bu değerler sonuçta DNS aramalarının kullanıldığı bir IP adresine yol açar.
Çoğu Microsoft 365 kuruluşu, etki alanı için SPF TXT kaydına ihtiyaç duyar include:spf.protection.outlook.com . Diğer üçüncü taraf e-posta hizmetleri genellikle hizmeti özgün etki alanından geçerli bir e-posta kaynağı olarak tanımlamak için ek include: bir değer gerektirir.
IP adresleri: IP adresi değeri aşağıdaki öğelerin ikisini de içerir:
IP adresinin türünü tanımlamak için veya ip6: değeriip4:.
Kaynak e-posta sisteminin genel olarak çözümlenebilir IP adresi. Örneğin:
Tek bir IP adresi (örneğin, 192.168.0.10).
Sınıfsız Inter-Domain Yönlendirme (CIDR) gösterimi kullanan bir IP adresi aralığı (örneğin, 192.168.0.1/26). Aralığın çok büyük veya çok küçük olmadığından emin olun.
Microsoft 365'te genellikle SPF TXT kaydındaki IP adreslerini yalnızca Microsoft 365 etki alanından posta gönderen şirket içi e-posta sunucularınız varsa kullanırsınız (örneğin, karma dağıtımlar Exchange Server). Bazı üçüncü taraf e-posta hizmetleri, SPF TXT kaydındaki bir değer yerine bir include: IP adresi aralığı da kullanabilir.
Zorlama kuralı: Hedef e-posta sistemlerine etki alanının SPF TXT kaydında belirtilmeyen kaynaklardan gelen iletilerle ne yapacağını bildirir. Geçerli değerler şunlardır:
-all (sabit başarısız): SPF TXT kaydında belirtilmeyen kaynaklar etki alanı için posta gönderme yetkisine sahip değildir, bu nedenle iletiler reddedilmelidir. İletiye gerçekte ne olacağı hedef e-posta sistemine bağlıdır, ancak iletiler genellikle atılır.
Microsoft 365 etki alanları için, etki alanı -all için DKIM ve DMARC'yi de önerdiğimiz için (sabit başarısız) öneririz. DMARC ilkesi, SPF veya DKIM'de başarısız olan iletilere ne yapacağını belirtir ve DMARC raporları sonuçları doğrulamanıza olanak sağlar.
İpucu
Daha önce belirtildiği gibi, DMARC raporlama hizmetiyle yapılandırılan DMARC, etki alanı için e-posta kaynaklarını ve SPF hatalarını tanımlamaya büyük ölçüde yardımcı olur.
~all (geçici hata): SPF TXT kaydında belirtilmeyen kaynaklar büyük olasılıkla etki alanı için posta gönderme yetkisine sahip değildir, bu nedenle iletiler kabul edilmeli ancak işaretlenmelidir. İletiye gerçekte ne olacağı hedef e-posta sistemine bağlıdır. Örneğin, ileti istenmeyen posta olarak karantinaya alınabilir, Gereksiz Email klasörüne teslim edilebilir veya Konu veya ileti gövdesine eklenmiş bir tanımlayıcıyla Gelen Kutusu'na teslim edilebilir.
Microsoft 365 etki alanları için DKIM ve DMARC'yi de önerdiğimiz için, (sabit başarısız) ile ~all (geçici başarısız) arasındaki -all farklar etkili bir şekilde ortadan kalkar (DMARC her iki sonucu da SPF hatası olarak ele alır). DMARC, MAIL FROM ve From adreslerindeki etki alanlarının hizalanıp iletinin Kimden etki alanı için geçerli bir kaynaktan geldiğini onaylamak için SPF kullanır.
İpucu
?all (nötr) ayrıca tanımlanamayan kaynaklardan gelen iletilerde belirli bir eylem önermek için kullanılabilir. Bu değer test için kullanılır ve üretim ortamlarında bu değeri önermeyiz.
Hatırlanması gereken önemli noktalar:
DNS'de tanımlanan her etki alanı veya alt etki alanı bir SPF TXT kaydı gerektirir ve etki alanı veya alt etki alanı başına yalnızca bir SPF kaydına izin verilir. tanımsız alt etki alanları için Email kimlik doğrulama koruması en iyi DMARC tarafından işlenir.
*.onmicrosoft.com etki alanı için mevcut SPF TXT kaydını değiştiremezsiniz.
Hedef e-posta sistemi SPF kaydındaki geçerli e-posta kaynaklarını denetlediğinde, denetim çok fazla DNS araması gerektiriyorsa SPF doğrulaması başarısız olur. Daha fazla bilgi için bu makalenin devamında yer alan SPF TXT kayıtlarında sorun giderme bölümüne bakın.
Microsoft 365'te özel etki alanları için SPF TXT kayıtları
İpucu
Bu makalede daha önce belirtildiği gibi, etki alanının etki alanı kayıt şirketindeki bir etki alanı veya alt etki alanı için SPF TXT kaydını oluşturursunuz. Microsoft 365'te SPF TXT kaydı yapılandırması yoktur.
Senaryo: Microsoft 365'te e-posta için contoso.com kullanırsınız ve contoso.com tek e-posta kaynağı Microsoft 365'tir.
Microsoft 365 ve Microsoft 365 Kamu Topluluğu Bulutu'ndaki (GCC) contoso.com için SPF TXT kaydı:
text
v=spf1 include:spf.protection.outlook.com -all
Microsoft 365 Kamu Topluluğu Bulut Yüksek (GCC High) ve Microsoft 365 Savunma Bakanlığı'nda (DoD) contoso.com için SPF TXT kaydı:
text
v=spf1 include:spf.protection.office365.us -all
21Vianet tarafından sağlanan Microsoft 365'te contoso.com için SPF TXT kaydı
Senaryo: Microsoft 365'te e-posta için contoso.com kullanıyorsunuz ve etki alanındaki tüm e-posta kaynaklarıyla contoso.com SPF TXT kaydını zaten yapılandırmıştınız. Ayrıca etki alanlarının contoso.net ve contoso.org sahibi olursunuz, ancak bunları e-posta için kullanmazsınız. Kimsenin contoso.net veya contoso.org'dan e-posta gönderme yetkisi olmadığını belirtmek istiyorsunuz.
contoso.net için SPF TXT kaydı:
txt
v=spf1 -all
contoso.org için SPF TXT kaydı:
txt
v=spf1 -all
Senaryo: Microsoft 365'te e-posta için contoso.com kullanırsınız. Aşağıdaki kaynaklardan posta göndermeyi planlıyorsunuz:
Dış e-posta adresi 192.168.0.10 olan bir şirket içi e-posta sunucusu. Bu e-posta kaynağı üzerinde doğrudan denetiminiz olduğundan, sunucuyu contoso.com etki alanındaki gönderenler için kullanmanın uygun olduğunu düşünüyoruz.
Adatum toplu posta hizmeti. Bu e-posta kaynağı üzerinde doğrudan denetiminiz olmadığından bir alt etki alanı kullanmanızı öneririz, bu nedenle bu amaçla marketing.contoso.com oluşturmanız önerilir. Adatum hizmeti belgelerine göre, etki alanınız için SPF TXT kaydına eklemeniz include:servers.adatum.com gerekir.
Etki alanı veya alt etki alanı başına bir SPF kaydı: Aynı etki alanı veya alt etki alanı için birden çok SPF TXT kaydı, SPF'nin başarısız olmasına neden olan bir DNS arama döngüsüne neden olur, bu nedenle etki alanı veya alt etki alanı başına yalnızca bir SPF kaydı kullanın.
10'dan az DNS araması: Hedef e-posta sistemleri MAIL FROM adres etki alanı için geçerli kaynaklar için SPF TXT kaydını sorguladığında, ileti kaynağı (sonuçta bir IP adresi) belirtilen kaynaklardan biriyle eşleşene kadar sorgu kayıttaki IP adreslerini ve include: deyimlerini tarar. DNS aramalarının sayısı (DNS sorgusu sayısından farklı olabilir) 10'dan büyükse, ileti SPF'de kalıcı bir hatayla (olarak da bilinir permerror) başarısız olur. Hedef e-posta sistemi, teslim edilmedi raporundaki iletiyi (NDR veya geri dönen ileti olarak da bilinir) aşağıdaki hatalardan biriyle reddeder:
İleti atlama sayısını aştı.
İleti çok fazla arama gerektiriyor.
SPF TXT kaydında, tek tek IP adresleri veya IP adresi aralıkları DNS aramalarına neden olmaz. Her include: deyim en az bir DNS araması gerektirir ve değer iç içe kaynaklara işaret ederse include: daha fazla arama gerekebilir. Başka bir deyişle, 10'dan include: az deyime sahip olmak, 10'dan az DNS araması garantisi vermez.
Ayrıca unutmayın: Hedef e-posta sistemleri SPF TXT kaydındaki kaynakları soldan sağa doğru değerlendirir. İleti kaynağı doğrulandığında değerlendirme durdurulur ve başka kaynak denetlenmiyor. Bu nedenle, bir SPF TXT kaydı 10'dan fazla DNS aramasına neden olacak kadar bilgi içerebilir, ancak bazı posta kaynaklarının bazı hedeflerle doğrulanması kayıtta hataya neden olacak kadar derine inmez.
Ana e-posta etki alanınızın itibarını korumanın yanı sıra, DNS aramalarının sayısını aşmamak, denetlemediğiniz diğer e-posta hizmetleri için alt etki alanları kullanmanın bir diğer nedenidir.
Etki alanınız için SPF TXT kaydınızı ve diğer DNS kayıtlarını görüntülemek için ücretsiz çevrimiçi araçları kullanabilirsiniz. Bazı araçlar, SPF TXT kaydınızın gerektirdiği DNS kaydı aramalarının sayısını bile hesaplar.
Microsoft 365'e gelen postalar için, kuruluşunuza teslim etmeden önce ileti aktarımında değişiklik yapan hizmetleri kullanıyorsanız güvenilen ARC mühürleyicilerini de yapılandırmanız gerekebilir. Daha fazla bilgi için bkz . Güvenilen ARC mühürleyicilerini yapılandırma.
This module examines how Exchange Online Protection (EOP) protects organizations from phishing and spoofing. It also explores how EOP blocks spam, bulk email, and malware before they arrive in users’ mailboxes.
Microsoft 365'in giden postayı imzalamak için DomainKeys Identified Mail'i (DKIM) nasıl kullandığını ve özel etki alanlarını kullanarak giden postaların DKIM imzasını nasıl yapılandıracağınızı öğrenin.
Kuruluşunuzdan gönderilen iletileri doğrulamak için Etki Alanı Tabanlı İleti Kimlik Doğrulaması, Raporlama ve Uyumluluk (DMARC) yapılandırmayı öğrenin.
Yöneticiler, e-posta kimlik doğrulamasının (SPF, DKIM, DMARC) nasıl çalıştığını ve Microsoft 365'in iletileri sahtekarlık olarak tanımlamak için geleneksel e-posta kimlik doğrulamasını ve bileşik e-posta kimlik doğrulamasını nasıl kullandığını veya başka türlü kimlik sahtekarı olarak tanımlanacak iletileri nasıl geçirdiğini öğrenebilir.
Kimliği Doğrulanmış Alınan Zincir (ARC), cihazlarda kimlik doğrulama sonuçlarını ve gönderen ile alıcı arasında gerçekleşen tüm ileti değişikliklerini korumaya çalışan bir e-posta kimlik doğrulama yöntemidir.