建立受信任的 ARC 寄件者清單,以信任合法的間接郵件流程

  • 發行項

適用於

  • Exchange Online Protection
  • 適用於 Office 365 的 Microsoft Defender 方案 1 和方案 2
  • Microsoft 365 Defender

SPFDKIMDMARC 等電子郵件驗證機制可用來驗證電子郵件的寄件者,以確保電子郵件收件者的安全,但某些合法的服務可能會變更寄件者與收件者之間的電子郵件。 在Microsoft 365 Defender中,ARC 有助於減少因合法間接郵件流程而發生的 SPF、DKIM 和 DMARC 傳遞失敗。

Office 的 Microsoft 365 Defender 中已驗證的接收鏈結 (ARC)

在傳遞至組織之前修改傳輸中訊息內容的服務可能會使 DKIM 電子郵件簽章失效,並影響訊息的驗證。 當這些中繼服務執行這類動作時,他們可以使用 ARC 在進行修改之前提供原始驗證的詳細資料。 您的組織接著可以信任這些詳細資料,以協助驗證訊息。

受信任的 ARC 密封器可讓系統管理員將受信任的中繼裝置新增至 Microsoft 365 Defender 入口網站中。 受信任的 ARC 密封器可讓 Microsoft 接受來自這些受信任中繼裝置的 ARC 簽章,以防止這些合法的訊息無法通過驗證鏈結。

注意事項

信任的 ARC 密封器是系統管理員建立的中繼網域清單,這些中繼網域已實作 ARC 密封。當電子郵件透過Office 365租使用者的 ARC 信任中繼路由傳送至 Office 365 時,Microsoft 會驗證 ARC 簽章,而且根據 ARC 結果,可以接受提供的驗證詳細資料。

何時使用受信任的 ARC 密封器?

只有當中繼裝置屬於組織電子郵件流程的一部分時,才需要受信任的 ARC 密封器清單,以及:

  1. 可以修改郵件標頭或郵件內容。
  2. 可能會導致驗證因其他原因而失敗 (例如,由於移除附件)。

藉由新增受信任的 ARC 密封器,Office 365 將驗證並信任密封器將郵件傳遞至您在 Office 365 中的租用戶時所提供的驗證結果。

系統管理員應該只將合法的服務新增為受信任的 ARC 密封器。 只新增組織明確使用和知道的服務,可協助必須先通過服務才能通過電子郵件驗證檢查的訊息,並防止因驗證失敗而將合法訊息傳送至垃圾郵件

將受信任的 ARC 密封器新增至 Microsoft 365 Defender 的步驟

Microsoft 365 Defender 入口網站中受信任的 ARC 密封器會顯示所有由租用戶確認並新增至租用戶的 ARC 密封器。

若要在 Microsoft 365 Defender 入口網站中新增受信任的 ARC 密封器:

  1. 在 Microsoft 365 Defender 入口網站中 https://security.microsoft.com ,移至Email &>&共同作業原則規則 >威脅原則> Email ARC區段中的[驗證設定]> 。 若要直接移至 ARC 頁面,請使用 電子郵件驗證設定

  2. 如果這是您第一次新增受信任的 ARC 密封器,請按一下 [新增] 按鈕。

  3. 在顯示的文字方塊中新增受信任的 ARC 密封器。

    1. 請注意,您將新增網域 (範例 fabrikam.com)。
    2. 您在這裡輸入的網域名稱必須和 ARC-Seal 和 ARC-Message-Signature 標頭中網域 'd' 標記中顯示的網域 (在訊息的郵件標頭上) 相符。
    3. 您可以在 Outlook 中訊息的屬性中看到這些資訊。

驗證受信任的 ARC 密封器的步驟

如果在訊息到達 Microsoft 365 Defender 之前有來自協力廠商的 ARC 密封,請在收到電子郵件後檢查標頭,並檢視最新的 ARC 標頭

在最後一 個 ARC-Authentication-Results 標頭中,檢查 ARC 驗證是否列為 通過

列出 'oda' 為 1 的 ARC 標頭表示已驗證先前的 ARC、信任先前的 ARC 密封 器,且先前的傳遞結果可用來覆寫目前的 DMARC 失敗。

顯示 oda=1 的 ARC 傳遞標頭

如需 oda 結果,請參閱此標頭區塊結尾的電子郵件驗證方法。

ARC-Authentication-Results: i=2; mx.microsoft.com 1; spf=pass (sender ip is
40.107.65.78) smtp.rcpttodomain=microsoft.com
smtp.mailfrom=sampledoamin.onmicrosoft.com; dmarc=bestguesspass action=none
header.from=sampledoamin.onmicrosoft.com; dkim=none (message not signed);
arc=pass (0 oda=1 ltdi=1
spf=[1,1,smtp.mailfrom=sampledoamin.onmicrosoft.com]
dkim=[1,1,header.d=sampledoamin.onmicrosoft.com]
dmarc=[1,1,header.from=sampledoamin.onmicrosoft.com])

若要檢查 ARC 結果是否用於覆寫 DMARC 失敗,請在標頭中尋找 compauth 結果和原因代碼 (130)

請參閱此標頭區塊中的最後一個項目,以尋找 compauth原因

Authentication-Results: spf=fail (sender IP is 51.163.158.241)
smtp.mailfrom=contoso.com; dkim=fail (body hash did not verify)
header.d=contoso.com;dmarc=fail action=none
header.from=contoso.com;compauth=pass reason=130

新增或移除受信任的 ARC 密封器的 PowerShell 步驟

系統管理員也可以使用 Exchange Online PowerShell 來設定 ARC 組態。

  1. 連線至 Exchange Online PowerShell。

  2. Connect-ExchangeOnline。

  3. 若要將網域加入或更新至受信任的 ARC 密封器:

    Set-ArcConfig -Identity default -ArcTrustedSealers {a list of arc signing domains split by comma}


    Set-ArcConfig -Identity {tenant name/tenanid}\default -ArcTrustedSealers {a list of arc signing domains split by comma}

    執行 Set-ArcConfig 時,您需要提供身分識別參數:預設為 -Identity。 受信任的密封器應和 ARC-Seal 標頭中 'd' 標記的值相符。

  4. 檢視受信任的 ARC 密封器:

    Get-ArcConfig


    Get-ArcConfig - Organization {tenant name}

受信任的 ARC 密封器郵件流程圖形

這些圖表會在使用任何 SPF、DKIM 和 DMARC 電子郵件驗證時,對比具有或不含受信任 ARC 密封器的郵件流程作業。 在這兩個圖形中,公司使用合法的服務必須介入郵件流程,有時會藉由變更傳送 IP 和寫入電子郵件標頭來違反電子郵件驗證標準。 在第一個案例中,間接郵件流程流量會在系統管理員新增受信任的 ARC 密封器 之前 示範結果。

在此圖形中,Contoso 會發佈 SPF、DKIM 和 DMARC 作為標準電子郵件安全性的一部分。使用 SPF 的寄件者會將郵件從 contoso.com 內傳送至 fabrikam.com,而此郵件會通過 Contoso 雇用的協力廠商服務,且該服務會修改電子郵件標頭中的傳送 IP 位址。在 EOP 的 DNS 檢查期間,由於 IP 變更和 DKIM (由於內容被協力廠商修改),郵件無法通過 SPF。DMARC 因為 SPF 和 DKIM 失敗而失敗。郵件會傳送至垃圾郵件、隔離區或遭到拒絕。

在此,在利用能力建立受信任的 ARC 密封器之後,您會看到相同的組織。

在第二個圖形中,Contoso 公司已建立信任的 ARC 密封器清單。相同的使用者會從 contoso.com 傳送第二個郵件至 fabrikam.com。Contoso 所雇用的協力廠商服務會修改郵件標頭中寄件者的 IP 位址。但這次服務已實作 ARC 密封,而且因為租用戶系統管理員已將協力廠商的網域新增至受信任的 ARC 密封器,所以接受修改。新 IP 位址的 SPF 失敗。DKIM 因為內容修改而失敗。DMARC 因為先前的失敗而失敗。但 ARC 會辨識修改、發出傳遞,並接受變更。詐騙也會收到傳遞。郵件則會傳送至收件匣。

後續步驟:設定適用於 Office 的 Microsoft 365 Defender的 ARC 之後

設定之後,請使用訊息標頭分析器檢查您的 ARC 標頭。

檢閱 SPFDKIMDMARC、設定步驟。