مصادقة البريد الإلكتروني في EOP

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ملاحظة

هل تريد تجربة Microsoft 365 Defender؟ تعرف على المزيد حول كيفية تقييم Microsoft 365 Defender وتجربتها.

ينطبق على

• Exchange Online Protection
• خطة 1 وخطة 2 من Microsoft Defender لـ Office 365
• Microsoft 365 Defender

مصادقة البريد الإلكتروني (المعروفة أيضا بالتحقق من صحة البريد الإلكتروني) هي مجموعة من المعايير التي تحاول إيقاف تزييف الهوية (رسائل البريد الإلكتروني من المرسلين المخادعة). في جميع المؤسسات Microsoft 365، يستخدم EOP هذه المعايير للتحقق من البريد الإلكتروني الوارد:

• SPF
• DKIM
• DMARC

تتحقق مصادقة البريد الإلكتروني من أن رسائل البريد الإلكتروني من مرسل (على سبيل المثال، laura@contoso.com) شرعية وتأتي من مصادر متوقعة لمجال البريد الإلكتروني هذا (على سبيل المثال، contoso.com.)

تشرح بقية هذه المقالة كيفية عمل هذه التقنيات، وكيف يستخدمها EOP للتحقق من البريد الإلكتروني الوارد.

استخدام مصادقة البريد الإلكتروني للمساعدة في منع تزييف الهوية

يمنع DMARC الانتحال عن طريق فحص عنوان From في الرسائل. عنوان "من " هو عنوان البريد الإلكتروني للمرسل الذي يراه المستخدمون في عميل البريد الإلكتروني الخاص بهم. يمكن لمؤسسات البريد الإلكتروني الوجهة أيضا التحقق من أن مجال البريد الإلكتروني قد مرر SPF أو DKIM. بمعنى آخر، تمت مصادقة المجال وبالتالي لم يتم تزييف عنوان البريد الإلكتروني الخاص بالمرسل.

ومع ذلك، فإن سجلات DNS ل SPF وDKIM وDMARC (المعروفة بشكل جماعي بنهج مصادقة البريد الإلكتروني) اختيارية. المجالات ذات نهج مصادقة البريد الإلكتروني القوية مثل microsoft.com skype.com محمية من الانتحال. ولكن المجالات ذات نهج مصادقة البريد الإلكتروني الضعيفة، أو التي لا توجد سياسة على الإطلاق، هي أهداف أولية للانتحال.

اعتبارا من مارس 2018، تنشر 9٪ فقط من مجالات الشركات في Fortune 500 نهج مصادقة البريد الإلكتروني القوية. قد ينتحل المهاجم 91٪ المتبقية من الشركات. ما لم تكن بعض آلية تصفية البريد الإلكتروني الأخرى في مكانها، فقد يتم تسليم البريد الإلكتروني من المرسلين المخادعين في هذه المجالات إلى المستخدمين.

إن نسبة الشركات الصغيرة إلى المتوسطة الحجم التي تنشر نهج مصادقة البريد الإلكتروني القوية أصغر. والعدد أصغر لمجالات البريد الإلكتروني خارج أمريكا الشمالية وأوروبا الغربية.

يعد عدم وجود نهج قوية لمصادقة البريد الإلكتروني مشكلة كبيرة. على الرغم من أن المؤسسات قد لا تفهم كيفية عمل مصادقة البريد الإلكتروني، إلا أن المهاجمين يفهمونها فهما كاملا ويستفيدون منها. بسبب مخاوف التصيد الاحتيالي والاعتماد المحدود لنهج مصادقة البريد الإلكتروني القوية، تستخدم Microsoft مصادقة البريد الإلكتروني الضمنية للتحقق من البريد الإلكتروني الوارد.

مصادقة البريد الإلكتروني الضمنية هي امتداد لنهج مصادقة البريد الإلكتروني العادية. تتضمن هذه الملحقات: سمعة المرسل ومحفوظات المرسل ومحفوظات المستلمين والتحليل السلوكي والتقنيات المتقدمة الأخرى. في حالة عدم وجود إشارات أخرى من هذه الملحقات، سيتم وضع علامة تزييف للرسائل المرسلة من المجالات التي لا تستخدم نهج مصادقة البريد الإلكتروني.

للاطلاع على إعلان Microsoft العام، راجع جزء 2 من التصيد الاحتيالي - تعزيز مكافحة الانتحال في Microsoft 365.

المصادقة المركبة

إذا لم يكن المجال يحتوي على سجلات SPF وDKIM وDMARC التقليدية، فلن تقوم عمليات التحقق من السجلات هذه بتوصيل معلومات حالة المصادقة الكافية. لذلك، طورت Microsoft خوارزمية للمصادقة الضمنية للبريد الإلكتروني. تجمع هذه الخوارزمية إشارات متعددة في قيمة واحدة تسمى المصادقة المركبة، أو compauth لفترة قصيرة. compauth يتم وضع طابع على القيمة في رأس "نتائج المصادقة" في رؤوس الرسائل.

Authentication-Results:
   compauth=<fail | pass | softpass | none> reason=<yyy>

يتم شرح هذه القيم في رأس رسالة نتائج المصادقة.

من خلال فحص رؤوس الرسائل، يمكن للمسؤولين أو حتى المستخدمين النهائيين تحديد كيفية تحديد Microsoft 365 أن المرسل منتحل.

لماذا لا تكون مصادقة البريد الإلكتروني كافية دائما لإيقاف تزييف الهوية

الاعتماد فقط على سجلات مصادقة البريد الإلكتروني لتحديد ما إذا كانت رسالة واردة مخادعة له القيود التالية:

• قد يفتقر مجال الإرسال إلى سجلات DNS المطلوبة، أو أنه تم تكوين السجلات بشكل غير صحيح.

• قام المجال المصدر بتكوين سجلات DNS بشكل صحيح، ولكن هذا المجال لا يتطابق مع المجال في العنوان "من". لا يتطلب SPF وDKIM استخدام المجال في العنوان "من". يمكن للمهاجمين أو الخدمات المشروعة تسجيل مجال وتكوين SPF وDKIM للمجال واستخدام مجال مختلف تماما في عنوان From. ستمرر الرسائل الواردة من المرسلين في هذا المجال SPF وDKIM.

يمكن للمصادقة المركبة معالجة هذه القيود عن طريق تمرير الرسائل التي قد تفشل في عمليات التحقق من مصادقة البريد الإلكتروني.

للتبسيط، تركز الأمثلة التالية على نتائج مصادقة البريد الإلكتروني. يمكن لعوامل التحليل الذكي الأخرى الخلفية تحديد الرسائل التي تمرر مصادقة البريد الإلكتروني على أنها منتحلة، أو الرسائل التي تفشل في مصادقة البريد الإلكتروني باعتبارها شرعية.

على سبيل المثال، لا يحتوي المجال fabrikam.com على سجلات SPF أو DKIM أو DMARC. يمكن أن تفشل الرسائل الواردة من المرسلين في مجال fabrikam.com في المصادقة المركبة compauth (لاحظ القيمة والسبب):

Authentication-Results: spf=none (sender IP is 10.2.3.4)
  smtp.mailfrom=fabrikam.com; contoso.com; dkim=none
  (message not signed) header.d=none; contoso.com; dmarc=none
  action=none header.from=fabrikam.com; compauth=fail reason=001
From: chris@fabrikam.com
To: michelle@contoso.com

إذا fabrikam.com تكوين SPF بدون سجل DKIM، يمكن للرسالة تمرير المصادقة المركبة. تتم محاذاة المجال الذي اجتاز عمليات التحقق من SPF مع المجال في العنوان "من":

Authentication-Results: spf=pass (sender IP is 10.2.3.4)
  smtp.mailfrom=fabrikam.com; contoso.com; dkim=none
  (message not signed) header.d=none; contoso.com; dmarc=bestguesspass
  action=none header.from=fabrikam.com; compauth=pass reason=109
From: chris@fabrikam.com
To: michelle@contoso.com

إذا fabrikam.com تكوين سجل DKIM بدون سجل SPF، يمكن أن تمر الرسالة بمصادقة مركبة. تتم محاذاة المجال في توقيع DKIM مع المجال في العنوان "من":

Authentication-Results: spf=none (sender IP is 10.2.3.4)
  smtp.mailfrom=fabrikam.com; contoso.com; dkim=pass
  (signature was verified) header.d=outbound.fabrikam.com;
  contoso.com; dmarc=bestguesspass action=none
  header.from=fabrikam.com; compauth=pass reason=109
From: chris@fabrikam.com
To: michelle@contoso.com

إذا لم يتطابق المجال في SPF أو توقيع DKIM مع المجال في العنوان "من"، يمكن أن تفشل الرسالة في المصادقة المركبة:

Authentication-Results: spf=none (sender IP is 192.168.1.8)
  smtp.mailfrom=maliciousdomain.com; contoso.com; dkim=pass
  (signature was verified) header.d=maliciousdomain.com;
  contoso.com; dmarc=none action=none header.from=contoso.com;
  compauth=fail reason=001
From: chris@contoso.com
To: michelle@fabrikam.com

حلول للمرسلين الشرعيين الذين يرسلون بريدا إلكترونيا غير مصادق عليه

يتعقب Microsoft 365 الأشخاص الذين يرسلون بريدا إلكترونيا غير مصادق عليه إلى مؤسستك. إذا كانت الخدمة تعتقد أن المرسل ليس شرعيا، فسيتم وضع علامة على الرسائل الواردة من هذا المرسل كفشل مصادقة مركب. لتجنب هذا الحكم، يمكنك استخدام التوصيات الواردة في هذا القسم.

تكوين مصادقة البريد الإلكتروني للمجالات التي تملكها

يمكنك استخدام هذا الأسلوب لحل الانتحال داخل المؤسسة والانتحال عبر المجالات في الحالات التي تملك فيها مستأجرين متعددين أو تتفاعل معهم. كما يساعد على حل الانتحال عبر المجالات حيث ترسل إلى عملاء آخرين داخل Microsoft 365 أو جهات خارجية تتم استضافتها من قبل موفرين آخرين.

• تكوين سجلات SPF لمجالاتك.
• تكوين سجلات DKIM لمجالاتك الأساسية.
• ضع في اعتبارك إعداد سجلات DMARC لمجالك لتحديد المرسلين الشرعيين.

لا توفر Microsoft إرشادات تنفيذ مفصلة لسجلات SPF وDKIM وDMARC. ومع ذلك، هناك العديد من المعلومات المتوفرة عبر الإنترنت. هناك أيضا شركات تابعة لجهة خارجية مخصصة لمساعدة مؤسستك على إعداد سجلات مصادقة البريد الإلكتروني.

لا تعرف كل مصادر بريدك الإلكتروني

لا تنشر العديد من المجالات سجلات SPF لأنها لا تعرف كل مصادر البريد الإلكتروني للرسائل الموجودة في مجالها. ابدأ بنشر سجل SPF يحتوي على كافة مصادر البريد الإلكتروني التي تعرفها (خاصة حيث توجد نسبة استخدام الشبكة لشركتك)، وانشر نهج ?allSPF المحايد. على سبيل المثال:

fabrikam.com IN TXT "v=spf1 include:spf.fabrikam.com ?all"

يعني هذا المثال أن البريد الإلكتروني من البنية الأساسية للشركات الخاصة بك سيمرر مصادقة البريد الإلكتروني، ولكن البريد الإلكتروني من مصادر غير معروفة سيعود إلى الحالة المحايدة.

سيعامل Microsoft 365 البريد الإلكتروني الوارد من البنية الأساسية للشركات على أنه مصادق عليه. قد يستمر وضع علامة على البريد الإلكتروني الوارد من مصادر غير معروفة على أنه منتحل إذا فشل في المصادقة الضمنية. ومع ذلك، لا يزال هذا تحسينا من جميع رسائل البريد الإلكتروني التي يتم وضع علامة تزييف عليها بواسطة Microsoft 365.

بمجرد بدء استخدام نهج ?allاحتياطي SPF، يمكنك تدريجيا اكتشاف المزيد من مصادر البريد الإلكتروني للرسائل وتضمينها، ثم تحديث سجل SPF الخاص بك باستخدام نهج أكثر صرامة.

تكوين المرسلين المسموح لهم للبريد الإلكتروني غير المصادق عليه

يمكنك أيضا استخدام رؤى التحليل الذكي المخادعة وقائمة السماح/الحظر للمستأجر للسماح للمرسلين بإرسال رسائل غير مصادق عليها إلى مؤسستك.

بالنسبة للمجالات الخارجية، المستخدم المخادعة هو المجال في عنوان "من"، بينما البنية الأساسية للإرسال إما عنوان IP المصدر (مقسم إلى /24 نطاق CIDR)، أو المجال التنظيمي لسجل DNS العكسي (PTR).

إنشاء إدخال السماح لزوج المرسل/المستلم

لتجاوز تصفية البريد العشوائي، بعض أجزاء التصفية للتصيد الاحتيالي، ولكن ليس تصفية البرامج الضارة لمرسلين محددين، راجع إنشاء قوائم المرسلين الآمنة في Microsoft 365.

اطلب من المرسل تكوين مصادقة البريد الإلكتروني للمجالات التي لا تملكها

بسبب مشكلة البريد العشوائي والتصيد الاحتيالي، توصي Microsoft بمصادقة البريد الإلكتروني لجميع مؤسسات البريد الإلكتروني. بدلا من تكوين التجاوزات اليدوية في مؤسستك، يمكنك أن تطلب من مسؤول في مجال الإرسال تكوين سجلات مصادقة البريد الإلكتروني الخاصة به.

• حتى لو لم يكونوا بحاجة إلى نشر سجلات مصادقة البريد الإلكتروني في الماضي، يجب عليهم القيام بذلك إذا أرسلوا بريدا إلكترونيا إلى Microsoft.

• قم بإعداد SPF لنشر عناوين IP المرسلة للمجال، وإعداد DKIM (إذا كان متوفرا) للتوقيع رقميا على الرسائل. وينبغي أن تنظر أيضا في إعداد سجلات DMARC.

• إذا كانوا يستخدمون المرسلين المجمعين لإرسال البريد الإلكتروني نيابة عنهم، فتحقق من محاذاة المجال الموجود في العنوان "من" (إذا كان ينتمي إليهم) مع المجال الذي يمرر SPF أو DMARC.

• تحقق من تضمين المواقع التالية (إذا كانت تستخدمها) في سجل SPF:

  • خوادم البريد الإلكتروني المحلية.
  • البريد الإلكتروني المرسل من موفر خدمة تأجير البرامج (SaaS).
  • البريد الإلكتروني المرسل من خدمة استضافة السحابة (Microsoft Azure وGoDaddy و Rackspace وAmazon Web Services وما إلى ذلك).

• بالنسبة للمجالات الصغيرة التي تتم استضافتها بواسطة ISP، قم بتكوين سجل SPF وفقا للإرشادات الواردة من ISP.

في حين أنه قد يكون من الصعب في البداية الحصول على إرسال المجالات للمصادقة، مع مرور الوقت، مع بدء المزيد والمزيد من عوامل تصفية البريد الإلكتروني غير الهام أو حتى رفض البريد الإلكتروني الخاص بهم، فسيتسبب ذلك في إعداد السجلات المناسبة لضمان تسليم أفضل. كما يمكن أن تساعد مشاركتهم في مكافحة التصيد الاحتيالي، ويمكن أن تقلل من إمكانية التصيد الاحتيالي في مؤسستهم أو مؤسساتهم التي يرسلون بريدا إلكترونيا إليها.

معلومات لموفري البنية الأساسية (موفري خدمة الإنترنت أو موفري خدمة الإنترنت أو خدمات الاستضافة السحابية)

إذا كنت تستضيف بريدا إلكترونيا لمجال أو توفر بنية أساسية للاستضافة يمكنها إرسال البريد الإلكتروني، فيجب عليك تنفيذ الخطوات التالية:

• تأكد من أن عملائك لديهم وثائق تشرح كيف يجب على عملائك تكوين سجلات SPF الخاصة بهم

• ضع في اعتبارك توقيع توقيعات DKIM على البريد الإلكتروني الصادر، حتى لو لم يقم العميل بإعدادها بشكل صريح (قم بتسجيل باستخدام مجال افتراضي). يمكنك حتى التوقيع المزدوج على البريد الإلكتروني باستخدام توقيعات DKIM (مرة واحدة مع مجال العميل إذا قاموا بإعداده، ومرة ثانية مع توقيع DKIM الخاص بشركتك)

لا يتم ضمان إمكانية التسليم إلى Microsoft حتى إذا قمت بمصادقة البريد الإلكتروني الذي ينشأ من النظام الأساسي، ولكنه على الأقل يضمن عدم قيام Microsoft بإرسال بريدك الإلكتروني غير الهام لأنه غير مصادق عليه.

الارتباطات ذات الصلة

لمزيد من المعلومات حول أفضل ممارسات موفري الخدمات، راجع أفضل ممارسات المراسلة عبر الهاتف الجوال M3AAWG لموفري الخدمات.

تعرف على كيفية استخدام Office 365 ل SPF ودعم التحقق من صحة DKIM:

• المزيد حول SPF

• المزيد حول DKIM