設定信任的 ARC 封口機

適用於: ✅ Default email protections for cloud mailboxes, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Email驗證有助於驗證傳送至 Microsoft 365 組織的郵件，以防止用於商業電子郵件入侵 (BEC) 、勒索軟體和其他網路釣魚攻擊的詐騙寄件者。

但是，某些合法的電子郵件服務可能會在將郵件傳遞至您的 Microsoft 365 組織之前修改郵件。修改傳輸中的輸入郵件可能會而且很可能會導致 Microsoft 365 中的下列電子郵件驗證失敗：

SPF 失敗，因為新的郵件來源 (IP 位址) 。
DKIM 因內容修改而失敗。
DMARC 失敗是因為 SPF 和 DKIM 失敗。

已驗證的接收鏈結 (ARC) 有助於減少合法電子郵件服務修改郵件造成的傳入電子郵件驗證失敗。 ARC 會在電子郵件服務中保留原始電子郵件驗證資訊。您可以將 Microsoft 365 組織設定為信任修改郵件的服務，並在電子郵件驗證檢查中使用該原始資訊。

何時使用受信任的 ARC 密封器？

只有在傳遞給 Microsoft 365 收件者的郵件定期受到下列影響時，Microsoft 365 組織才需要識別受信任的 Microsoft ARC 密封器：

中介服務會修改訊息標頭或電子郵件內容。
訊息修改會導致驗證失敗，原因 (例如，透過移除附件) 。

系統管理員在 Defender 入口網站中新增受信任的 ARC 密封器之後，Microsoft 365 會使用 ARC 密封器提供的原始電子郵件驗證資訊來驗證透過服務傳送至 Microsoft 365 的訊息。

提示

只將合法的必要服務新增為 Microsoft 365 組織中的受信任 ARC 密封器。此動作可協助受影響的郵件通過電子郵件驗證檢查，並防止合法郵件傳遞至 Junk Email 資料夾、隔離或因電子郵件驗證失敗而遭到拒絕。

開始之前有哪些須知？

您可以在開啟 https://security.microsoft.comMicrosoft Defender 入口網站。若要直接移至 Email 驗證設定頁面，請使用 https://security.microsoft.com/authentication。
若要連線至 Exchange Online PowerShell，請參閱連線至 Exchange Online PowerShell。
您必須先獲指派權限，才能執行本文中的程序。您有下列選項：
- Microsoft Defender 全面偵測回應 RBAC) (統一角色型存取控制 (如果Email &共同作業>適用於 Office 365 的 Defender權限為 [作用中]。只影響 Defender 入口網站，不影響 PowerShell) ：授權和設定/安全性設定/核心安全性設定 (管理) 或授權和設定/安全性設定/核心安全性設定 (讀取) 。
- Exchange Online 許可權：組織管理或安全性系統管理員角色群組的成員資格。
- Microsoft Entra 許可權：全域管理員^*或安全性系統管理員角色的成員資格可為使用者提供 Microsoft 365 中其他功能的必要許可權和許可權。
  
  重要事項
  
  ^* Microsoft 強烈提倡最小權限原則。僅為帳戶指派執行其任務所需的最低權限，有助於降低安全風險並加強組織的整體保護。全域管理員是高度許可權的角色，您應該將其限制為緊急情況或當您無法使用其他角色時。

使用 Microsoft Defender 入口網站來新增受信任的 ARC 密封器

在Microsoft Defender入口網站 https://security.microsoft.com中，移至Email & [共同作業>原則] & [規則>]威脅原則>Email [規則]區段>中的 [驗證設定] 。或者，若要直接移至 Email 驗證設定頁面，請使用 https://security.microsoft.com/authentication。
在 [Email 驗證設定] 頁面上，確認已選取 [ARC] 索引標籤，然後選取 [新增]。

提示

如果 [受信任的密封器] 已列在 [ARC] 索引標籤上，請選取 [編輯]。
在開啟的 [ 新增受信任的 ARC 密封器 ] 飛出視窗中，在方塊中輸入受信任的簽署網域，例如 fabrikam.com) (。

網域名稱必須符合受影響郵件中 ARC-Seal 和 ARC-Message-Signature 標頭中 d 值中顯示的網域。使用下列方法來檢視訊息標頭：
- 在 Outlook 中檢視網際網路郵件標頭。
- 使用位於 https://mha.azurewebsites.net的訊息標頭分析器。
視需要重複此步驟多次。若要移除現有項目，請選取項目旁邊的。

當您 完成 [ 新增受信任的 ARC 密封器 ] 飛出視窗時，選取 [ 儲存 ]

使用 Exchange Online PowerShell 新增受信任的 ARC 密封器

如果您想要使用 PowerShell 來檢視、新增或移除受信任的 ARC 密封器，請連線到 Exchange Online PowerShell 以執行下列命令。

查看現有值得信賴的 ARC 封口機
```
Get-ArcConfig
```
如果未設定任何受信任的 ARC 密封器，則指令不會傳回任何結果。
新增或移除信任的 ARC 封口機

若要將任何現有的 ARC 密封器取代為您指定的值，請使用下列語法：
```
Set-ArcConfig -Identity [TenantId\]Default -ArcTrustedSealers "Domain1","Domain2",..."DomainN"
```
您自己的組織不需要 TenantId\ 值，只有委派的組織才需要。這是 Microsoft 365 中許多系統管理入口網站 URL 中可見的 GUID， (tid= 值) 。例如，a32d39e2-3702-4ff5-9628-31358774c091。

此範例會將「cohovineyard.com」和「tailspintoys.com」設定為組織中唯一受信任的ARC密封器。
```
Set-ArcConfig -Identity Default -ArcTrustedSealers "cohovineyard.com","tailspintoys.com"
```
若要保留現有值，請務必包含您要保留的 ARC 密封器以及要新增的新 ARC 密封器。

若要在不影響其他項目的情況下新增或移除 ARC 密封器，請參閱 Set-ArcConfig 中的範例區段。

驗證值得信賴的 ARC 封口機

如果在郵件到達 Microsoft 365 之前有來自服務的 ARC 密封，請在郵件傳遞之後檢查郵件標頭是否有最新的 ARC 標頭。

在最後一個 ARC-Authentication-Results 標頭中，尋找 arc=pass 和 oda=1。這些值表示：

先前的 ARC 已通過驗證。
以前的 ARC 密封劑是可信的。
先前的通過結果可用來覆寫目前的 DMARC 失敗。

例如：

ARC-Authentication-Results: i=2; mx.microsoft.com 1; spf=pass (sender ip is
172.17.17.17) smtp.rcpttodomain=microsoft.com
smtp.mailfrom=sampledoamin.onmicrosoft.com; dmarc=bestguesspass action=none
header.from=sampledoamin.onmicrosoft.com; dkim=none (message not signed);
arc=pass (0 oda=1 ltdi=1
spf=[1,1,smtp.mailfrom=sampledoamin.onmicrosoft.com]
dkim=[1,1,header.d=sampledoamin.onmicrosoft.com]
dmarc=[1,1,header.from=sampledoamin.onmicrosoft.com])

若要檢查 ARC 結果是否用於覆寫 DMARC 失敗，請在最後一個 Authentication-Results 標頭中尋找 compauth=pass 和reason=130。例如：

Authentication-Results: spf=fail (sender IP is 10.10.10.10)
smtp.mailfrom=contoso.com; dkim=fail (body hash did not verify)
header.d=contoso.com;dmarc=fail action=none
header.from=contoso.com;compauth=pass reason=130

注意事項

來自受信任 ARC 密封器的 ARC 結果傳遞可能會覆寫傳輸期間訊息修改所導致的 SPF、DKIM 或 DMARC 失敗。不過，最終的詐騙判斷是以複合驗證 (CompAuth) 結果為基礎。如果未通過 ARC 的郵件通過 SPF、DKIM、DMARC 和複合驗證評估，則可能仍會傳遞。

授信的 ARC 密封器郵件流程圖

本節中的圖表會比較郵件流程，以及使用與不使用受信任 ARC 密封器時對電子郵件驗證結果的影響。在這兩個圖表中，Microsoft 365 組織使用合法的電子郵件服務，在傳遞至 Microsoft 365 之前修改輸入郵件。此修改會中斷郵件流程，這可能會變更來源 IP 並更新電子郵件訊息標頭，導致電子郵件驗證失敗。

此圖示範沒有信任 ARC 封口機的結果：

Contoso 會發佈 SPF、DKIM 和 DMARC。使用 SPF 的寄件者從內部 contoso.com 向 fabrikam.com 發送電子郵件，該訊息會通過合法的非Microsoft服務，該服務會修改電子郵件標頭中的發送 IP 位址。在 Microsoft 365 的 DNS 檢查期間，郵件會因為 IP 變更而失敗 SPF，而因為內容已修改，所以 DKIM 會失敗。DMARC 失敗是因為 SPF 和 DKIM 失敗。郵件會傳遞至 Junk Email 資料夾、隔離或拒絕。

此圖示範了使用可信賴的 ARC 封口機的結果：

Contoso 會發佈 SPF、DKIM 和 DMARC，但也會設定必要的受信任 ARC 密封器。使用 SPF 的寄件者從內部 contoso.com 向 fabrikam.com 發送電子郵件，該訊息會通過合法的非Microsoft服務，該服務會修改電子郵件標頭中的發送 IP 位址。服務會使用 ARC 密封，而且因為服務在 Microsoft 365 中定義為受信任的 ARC 密封器，所以會接受修改。新 IP 位址的 SPF 失敗。DKIM 因內容修改而失敗。DMARC 失敗是因為先前的失敗。但 ARC 會識別修改、發出通行證並接受變更。欺騙也收到通行證。訊息會傳遞至收件匣。

後續步驟

使用訊息標頭分析器 https://mha.azurewebsites.net檢查您的 ARC 標頭，網址為。

檢閱 SPF、 DKIM、 DMARC 設定程序。

意見反應

此頁面對您有幫助嗎？

Last updated on 2025-09-05