域电子邮件安全保护的最佳做法是使用基于域的邮件身份验证、报告和符合性 (DMARC) 进行欺骗。 为域启用 DMARC 应是第一步,如下所述: 基于域的消息身份验证、报告和符合性 (DMARC)
本指南旨在帮助你为 DMARC 主文章未涵盖的域配置 DMARC。 这些域包括未用于电子邮件的域,但如果攻击者未受保护,则攻击者可以使用这些域:
- 你的
onmicrosoft.com域,也称为MICROSOFT联机电子邮件路由地址 (MOERA) 域。 - 目前尚未用于电子邮件的已寄存自定义域。
所需内容
- Microsoft 365 管理中心,并访问托管域的 DNS 提供商。
- 作为全局管理员* 的足够权限,在 Microsoft 365 管理中心进行相应更改。
- 10 分钟即可完成本文中的步骤。
重要
* Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。
激活 MOERA 域的 DMARC
- 在 https://admin.microsoft.com 打开 Microsoft 365 管理中心。
- 在左侧导航栏中,选择“ 全部显示”。
- 展开 “设置” ,然后按 “域”。
- 选择租户域 (,例如,contoso.onmicrosoft.com) 。
- 在加载的页面上,选择“ DNS 记录”。
- 选择“ + 添加记录”。
- 此时会打开浮出控件。 确保所选类型为 TXT (Text) 。
- 添加
_dmarc为 TXT 名称。 - 添加特定的 DMARC 值。 有关详细信息,请参阅 DMARC TXT 记录的语法。
- 按“保存”。
用于已寄存域的活动 DMARC
- 检查是否已为你的寄存域配置 SPF。 有关说明,请参阅 Microsoft 365 中自定义域的 SPF TXT 记录。
- 请联系 DNS 域提供商。
- 要求使用相应的电子邮件地址添加此 DMARC txt 记录:
v=DMARC1; p=reject; rua=mailto:d@rua.contoso.com;ruf=mailto:d@ruf.contoso.com。
后续步骤
等待 DNS 更改传播,并尝试欺骗配置的域。 检查尝试是否在 DMARC 记录中被阻止,并收到 DMARC 报告。