إعداد SPF لتحديد مصادر البريد الإلكتروني الصالحة لمجال Microsoft 365

• ينطبق على:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

تلميح

هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender XDR Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على الأشخاص الذين يمكنهم التسجيل وشروط الإصدار التجريبي هنا.

إطار نهج المرسل (SPF) هو طريقة لمصادقة البريد الإلكتروني تساعد على التحقق من صحة البريد المرسل من مؤسسة Microsoft 365 لمنع المرسلين الذين تم تزييف هوياتهم والمستخدمين في اختراق البريد الإلكتروني للأعمال (BEC) وبرامج الفدية الضارة وهجمات التصيد الاحتيالي الأخرى.

الغرض الأساسي من SPF هو التحقق من صحة مصادر البريد الإلكتروني لمجال. على وجه التحديد، يستخدم SPF سجل TXT في DNS لتحديد مصادر البريد الصالحة للمجال. تستخدم أنظمة استلام البريد الإلكتروني سجل SPF TXT للتحقق من أن البريد الإلكتروني من عنوان المرسل المستخدم أثناء إرسال SMTP للرسالة (المعروف باسم عنوان 5321.MailFrom البريد من أو عنوان أو مرسل P1 أو مغلف) من مصدر بريد معروف ومخصص لهذا المجال.

على سبيل المثال، إذا كان مجال بريدك الإلكتروني في Microsoft 365 contoso.com، يمكنك إنشاء سجل SPF TXT في DNS لمجال contoso.com لتحديد Microsoft 365 كمصدر معتمد للبريد من contoso.com. تتحقق أنظمة البريد الإلكتروني الوجهة من سجل SPF TXT في contoso.com لتحديد ما إذا كانت الرسالة واردة من مصدر معتمد للبريد الإلكتروني contoso.com.

قبل أن نبدأ، إليك ما تحتاج إلى معرفته حول SPF في Microsoft 365 استنادا إلى مجال بريدك الإلكتروني:

• إذا كنت تستخدم مجال عنوان توجيه البريد الإلكتروني (MOERA) ل Microsoft Online فقط للبريد الإلكتروني (على سبيل المثال، contoso.onmicrosoft.com): لست بحاجة إلى القيام بأي شيء. تم تكوين سجل SPF TXT لك بالفعل. تمتلك Microsoft المجال onmicrosoft.com، لذلك نحن مسؤولون عن إنشاء سجلات DNS وصيانتها في هذا المجال والمجالات الفرعية. لمزيد من المعلومات حول مجالات *.onmicrosoft.com، راجع لماذا لدي مجال "onmicrosoft.com"؟.

• إذا كنت تستخدم مجالا مخصصا واحدا أو أكثر للبريد الإلكتروني (على سبيل المثال، contoso.com): تتطلب منك عملية تسجيل Microsoft 365 بالفعل إنشاء سجل SPF TXT أو تعديله في DNS لمجالك المخصص لتحديد Microsoft 365 كمصدر بريد معتمد. ولكن، لا يزال لديك المزيد من العمل للقيام به لتحقيق أقصى قدر من الحماية للبريد الإلكتروني:

  • اعتبارات المجال الفرعي:

    • بالنسبة لخدمات البريد الإلكتروني غير الخاضعة لعنصر التحكم المباشر (على سبيل المثال، خدمات البريد الإلكتروني المجمعة)، نوصي باستخدام مجال فرعي (على سبيل المثال، marketing.contoso.com) بدلا من مجال البريد الإلكتروني الرئيسي (على سبيل المثال، contoso.com). لا تريد أن تؤثر المشكلات المتعلقة بالبريد المرسل من خدمات البريد الإلكتروني هذه على سمعة البريد المرسل من قبل الموظفين في مجال البريد الإلكتروني الرئيسي. لمزيد من المعلومات حول إضافة مجالات فرعية، راجع هل يمكنني إضافة مجالات فرعية مخصصة أو مجالات متعددة إلى Microsoft 365؟.

    • يتطلب كل مجال فرعي تستخدمه لإرسال بريد إلكتروني من Microsoft 365 سجل SPF TXT الخاص به. على سبيل المثال، لا يغطي سجل SPF TXT contoso.com marketing.contoso.com؛ يحتاج marketing.contoso.com إلى سجل SPF TXT الخاص به.

      تلميح

      تتم تغطية حماية مصادقة البريد الإلكتروني للمجالات الفرعية غير المعرفة بواسطة DMARC. ترث أي مجالات فرعية (معرفة أم لا) إعدادات DMARC للمجال الأصل (والتي يمكن تجاوزها لكل مجال فرعي). لمزيد من المعلومات، راجع إعداد DMARC للتحقق من صحة مجال العنوان من للمرسلين في Microsoft 365.

  • إذا كنت تملك مجالات مسجلة ولكن غير مستخدمة: إذا كنت تملك مجالات مسجلة غير مستخدمة للبريد الإلكتروني أو أي شيء على الإطلاق (تعرف أيضا باسم المجالات المتوقفة)، فبادر بتكوين سجلات SPF TXT للإشارة إلى أنه لا يجب أن يأتي أي بريد إلكتروني من تلك المجالات كما هو موضح لاحقا في هذه المقالة.

• SPF وحده لا يكفي. للحصول على أفضل مستوى من حماية البريد الإلكتروني للمجالات المخصصة الخاصة بك، تحتاج أيضا إلى تكوين DKIM وDMARC كجزء من استراتيجية مصادقة البريد الإلكتروني الشاملة. لمزيد من المعلومات، راجع قسم الخطوات التالية في نهاية هذه المقالة.

  هام

  في المؤسسات المعقدة حيث يصعب تحديد جميع مصادر البريد الصالحة للمجال، من المهم أن تقوم بسرعة بتكوين توقيع DKIM وDMARC (في وضع "عدم اتخاذ أي إجراء") للمجال. خدمة إعداد تقارير DMARC مفيدة جدا لتحديد مصادر البريد الإلكتروني وفشل SPF للمجال.

تصف بقية هذه المقالة سجلات SPF TXT التي تحتاج إلى إنشائها للمجالات المخصصة في Microsoft 365.

تلميح

لا توجد مداخل المسؤول أو أوامر PowerShell cmdlets في Microsoft 365 لإدارة سجلات SPF في مجالك. بدلا من ذلك، يمكنك إنشاء سجل SPF TXT لدى جهة تسجيل المجالات أو خدمة استضافة DNS (غالبا نفس الشركة).

نحن نقدم إرشادات لإنشاء سجل TXT لإثبات ملكية المجال ل Microsoft 365 لدى العديد من مسجلي المجالات. يمكنك استخدام هذه الإرشادات كنقطة بداية لإنشاء قيمة سجل SPF TXT. لمزيد من المعلومات، راجع إضافة سجلات DNS لتوصيل مجالك.

إذا لم تكن على دراية بتكوين DNS، فاتصل بجهة تسجيل المجالات واطلب المساعدة.

بناء الجملة لسجلات SPF TXT

يتم وصف سجلات SPF TXT بشكل شامل في RFC 7208.

بناء الجملة الأساسي لسجل SPF TX لمجال مخصص في Microsoft 365 هو:

v=spf1 <valid mail sources> <enforcement rule>

او:

v=spf1 [<ip4>|<ip6>:<PublicIPAddress1> <ip4>|<ip6>:<PublicIPAddress2>... <ip4>|<ip6>:<PublicIPAddressN>] [include:<DomainName1> include:<DomainName1>... include:<DomainNameN>] <-all | ~all>

على سبيل المثال:

v=spf1 ip4:192.168.0.10 ip4:192.168.0.12 include:spf.protection.outlook.com -all

• v=spf1 يحدد سجل TXT كسجل SPF TXT.

• مصادر بريد صالحة: مصادر بريد صالحة محددة للمجال. يستخدم المجالات أو عناوين IP أو كليهما:

  • المجالات: include: تحدد القيم الخدمات أو المجالات الأخرى كمصادر صالحة للبريد من المجال الأصلي. تؤدي هذه القيم في النهاية إلى عنوان IP باستخدام عمليات بحث DNS.

    تتطلب include:spf.protection.outlook.com معظم مؤسسات Microsoft 365 في سجل SPF TXT للمجال. غالبا ما تتطلب خدمات البريد الإلكتروني الأخرى التابعة لجهة خارجية قيمة إضافية include: لتحديد الخدمة كمصدر صالح للبريد الإلكتروني من المجال الأصلي.

  • عناوين IP: تتضمن قيمة عنوان IP كلا العنصرين التاليين:

    • القيمة ip4: أو ip6: لتحديد نوع عنوان IP.
    • عنوان IP القابل للحل بشكل عام لنظام البريد الإلكتروني المصدر. على سبيل المثال:
      • عنوان IP فردي (على سبيل المثال، 192.168.0.10).
      • نطاق عنوان IP باستخدام رمز التوجيه Inter-Domain بدون فئة (CIDR) (على سبيل المثال 192.168.0.1/26). تأكد من أن النطاق ليس كبيرا جدا أو صغيرا جدا.

    في Microsoft 365، عادة ما تستخدم عناوين IP في سجل SPF TXT فقط إذا كان لديك خوادم بريد إلكتروني محلية ترسل بريدا من مجال Microsoft 365 (على سبيل المثال، Exchange Server عمليات التوزيع المختلطة). قد تستخدم بعض خدمات البريد الإلكتروني التابعة لجهة خارجية أيضا نطاق عناوين IP بدلا من include: قيمة في سجل SPF TXT.

• قاعدة الإنفاذ: تخبر أنظمة البريد الإلكتروني الوجهة بما يجب فعله بالرسائل من المصادر غير المحددة في سجل SPF TXT للمجال. القيم الصالحة هي:

  • -all (فشل صعب): المصادر غير المحددة في سجل SPF TXT غير مصرح لها بإرسال بريد للمجال، لذلك يجب رفض الرسائل. يعتمد ما يحدث بالفعل للرسالة على نظام البريد الإلكتروني الوجهة، ولكن يتم تجاهل الرسائل عادة.

    بالنسبة لمجالات Microsoft 365، نوصي -all (بالفشل الصعب) لأننا نوصي أيضا ب DKIM وDMARC للمجال. يحدد نهج DMARC ما يجب فعله بالرسائل التي تفشل في SPF أو DKIM، وتسمح لك تقارير DMARC بالتحقق من صحة النتائج.

    تلميح

    كما هو موضح سابقا، يساعد DMARC الذي تم تكوينه باستخدام خدمة تقارير DMARC بشكل كبير في تحديد مصادر البريد الإلكتروني وفشل SPF للمجال.

  • ~all (فشل مبدئي): من المحتمل أن المصادر غير المحددة في سجل SPF TXT غير مصرح لها بإرسال بريد للمجال، لذلك يجب قبول الرسائل ولكن وضع علامة عليها. يعتمد ما يحدث بالفعل للرسالة على نظام البريد الإلكتروني الوجهة. على سبيل المثال، قد يتم عزل الرسالة على أنها بريد عشوائي، أو تسليمها إلى مجلد البريد الإلكتروني غير الهام، أو تسليمها إلى علبة الوارد بمعرف تمت إضافته إلى الموضوع أو نص الرسالة.

    نظرا لأننا نوصي أيضا ب DKIM وDMARC لمجالات Microsoft 365، يتم القضاء على الاختلافات بين -all (الفشل الثابت) و ~all (الفشل المبدئي) بشكل فعال (يتعامل DMARC مع أي من النتيجة كفشل SPF). يستخدم DMARC SPF لتأكيد محاذاة المجالات في عنواني MAIL FROM و From ، وتأتي الرسالة من مصدر صالح للمجال From.

  تلميح

  ?all (محايد) متاح أيضا لاقتراح أي إجراء محدد على الرسائل الواردة من مصادر غير معروفة. يتم استخدام هذه القيمة للاختبار، ولا نوصي بهذه القيمة في بيئات الإنتاج.

النقاط المهمة التي يجب تذكرها:

• يتطلب كل مجال أو مجال فرعي محدد في DNS سجل SPF TXT، ويسمح بسجل SPF واحد فقط لكل مجال أو مجال فرعي. تتم معالجة حماية مصادقة البريد الإلكتروني للمجالات الفرعية غير المعرفة بشكل أفضل بواسطة DMARC.
• لا يمكنك تعديل سجل SPF TXT الحالي للمجال *.onmicrosoft.com.
• عندما يتحقق نظام البريد الإلكتروني الوجهة من مصادر البريد الإلكتروني الصالحة في سجل SPF، يفشل التحقق من صحة SPF إذا كان الفحص يتطلب عددا كبيرا جدا من عمليات بحث DNS. لمزيد من المعلومات، راجع قسم استكشاف أخطاء سجلات SPF TXT وإصلاحها لاحقا في هذه المقالة.

سجلات SPF TXT للمجالات المخصصة في Microsoft 365

تلميح

كما هو مذكور سابقا في هذه المقالة، يمكنك إنشاء سجل SPF TXT لمجال أو مجال فرعي لدى جهة تسجيل المجالات للمجال. لا يتوفر تكوين سجل SPF TXT في Microsoft 365.

• السيناريو: يمكنك استخدام contoso.com للبريد الإلكتروني في Microsoft 365، وMicrosoft 365 هو المصدر الوحيد للبريد الإلكتروني من contoso.com.

  سجل SPF TXT contoso.com في Microsoft 365 وMicrosoft 365 Government Community Cloud (GCC):

  v=spf1 include:spf.protection.outlook.com -all
  

  سجل SPF TXT contoso.com في Microsoft 365 Government Community Cloud High (GCC High) وMicrosoft 365 وزارة الدفاع (DoD)::

  v=spf1 include:spf.protection.office365.us -all
  

  سجل SPF TXT contoso.com في Microsoft 365 المشغل بواسطة 21Vianet

  v=spf1 include:spf.protection.partner.outlook.cn -all
  

• السيناريو: يمكنك استخدام contoso.com للبريد الإلكتروني في Microsoft 365، وقمت بالفعل بتكوين سجل SPF TXT في contoso.com مع جميع مصادر البريد الإلكتروني من المجال. كما أنك تملك المجالات contoso.net contoso.org، ولكنك لا تستخدمها للبريد الإلكتروني. تريد تحديد عدم تفويض أي شخص بإرسال بريد إلكتروني من contoso.net أو contoso.org.

  سجل SPF TXT contoso.net:

  v=spf1 -all
  

  سجل SPF TXT contoso.org:

  v=spf1 -all
  

• السيناريو: يمكنك استخدام contoso.com للبريد الإلكتروني في Microsoft 365. تخطط لإرسال البريد من المصادر التالية:

  • خادم بريد إلكتروني محلي بعنوان البريد الإلكتروني الخارجي 192.168.0.10. نظرا لأن لديك تحكما مباشرا في مصدر البريد الإلكتروني هذا، فإننا نعتبر أنه من المقبول استخدام الخادم للمرسلين في مجال contoso.com.
  • خدمة البريد المجمع ل Adatum. نظرا لعدم وجود تحكم مباشر في مصدر البريد الإلكتروني هذا، نوصي باستخدام مجال فرعي، لذلك تقوم بإنشاء marketing.contoso.com لهذا الغرض. وفقا لوثائق خدمة Adatum، تحتاج إلى إضافة include:servers.adatum.com إلى سجل SPF TXT لمجالك.

  سجل SPF TXT contoso.com:

  v=spf1 ip4:192.168.0.10 include:spf.protection.outlook.com -all
  

  سجل SPF TXT marketing.contoso.com:

  v=spf1 include:servers.adatum.com include:spf.protection.outlook.com -all
  

استكشاف أخطاء سجلات SPF TXT وإصلاحها

• سجل SPF واحد لكل مجال أو مجال فرعي: تتسبب سجلات SPF TXT المتعددة لنفس المجال أو المجال الفرعي في حدوث حلقة بحث DNS تجعل SPF تفشل، لذا استخدم سجل SPF واحدا فقط لكل مجال أو مجال فرعي.

• أقل من 10 عمليات بحث DNS: عندما تستعلم أنظمة البريد الإلكتروني الوجهة عن سجل SPF TXT لمصادر صالحة لمجال عنوان MAIL FROM، يفحص الاستعلام من خلال عناوين IP والعبارات include: في السجل حتى يتطابق مصدر الرسالة (في نهاية المطاف، عنوان IP) مع أحد المصادر المحددة. إذا كان عدد عمليات بحث DNS (التي يمكن أن تكون مختلفة عن عدد استعلامات DNS) أكبر من 10، تفشل الرسالة SPF مع وجود خطأ دائم (يعرف أيضا باسم permerror). يرفض نظام البريد الإلكتروني الوجهة الرسالة في تقرير عدم التسليم (المعروف أيضا باسم NDR أو رسالة ارتداد) مع أحد الأخطاء التالية:

  • تجاوزت الرسالة عدد الوثب.
  • تطلبت الرسالة الكثير من عمليات البحث.

  في سجل SPF TXT، لا تتسبب عناوين IP الفردية أو نطاقات عناوين IP في عمليات بحث DNS. تتطلب كل include: عبارة بحث DNS واحدا على الأقل، وقد تكون هناك حاجة إلى المزيد من عمليات البحث إذا كانت include: القيمة تشير إلى موارد متداخلة. بمعنى آخر، لا يضمن وجود أقل من 10 include: عبارات أقل من 10 عمليات بحث DNS.

  ضع في اعتبارك أيضا: تقوم أنظمة البريد الإلكتروني الوجهة بتقييم المصادر في سجل SPF TXT من اليسار إلى اليمين. يتوقف التقييم عند التحقق من صحة مصدر الرسالة، ولا يتم التحقق من أي مصادر أخرى. لذلك، قد يحتوي سجل SPF TXT على معلومات كافية للتسبب في أكثر من 10 عمليات بحث DNS، ولكن التحقق من صحة بعض مصادر البريد من قبل بعض الوجهات لا يتعمق بما يكفي في السجل لينتج عنه خطأ.

  بالإضافة إلى الحفاظ على سمعة مجال البريد الإلكتروني الرئيسي، فإن عدم تجاوز عدد عمليات بحث DNS هو سبب آخر لاستخدام المجالات الفرعية لخدمات البريد الإلكتروني الأخرى التي لا تتحكم فيها.

يمكنك استخدام أدوات مجانية عبر الإنترنت لعرض سجل SPF TXT وسجلات DNS الأخرى لمجالك. حتى أن بعض الأدوات تحسب عدد عمليات البحث عن سجل DNS التي يتطلبها سجل SPF TXT.

الخطوات التالية

كما هو موضح في كيفية عمل SPF وDKIM وDMARC معا لمصادقة مرسلي رسائل البريد الإلكتروني، لا يكفي SPF وحده لمنع انتحال مجال Microsoft 365. تحتاج أيضا إلى تكوين DKIM وDMARC للحصول على أفضل حماية ممكنة. للحصول على الإرشادات، راجع:

• استخدام DKIM للتحقق من صحة البريد الإلكتروني الصادر المرسل من مجالك المخصص
• استخدام DMARC للتحقق من صحة البريد الإلكتروني

بالنسبة للبريد الوارد إلى Microsoft 365، قد تحتاج أيضا إلى تكوين خزائن ARC الموثوق بها إذا كنت تستخدم الخدمات التي تعدل الرسائل أثناء النقل قبل التسليم إلى مؤسستك. لمزيد من المعلومات، راجع تكوين خزائن ARC الموثوق بها.