קביעת תצורה של אטמים מהימנים של ARC

אימות דואר אלקטרוני עוזר לאמת דואר שנשלח אל ארגון Microsoft 365 שלך ומהו כדי למנוע שולחים התחזים שנעשה בהם שימוש בסיכון דואר אלקטרוני עסקי (BEC), תוכנות כופר ומתקפות דיוג אחרות.

עם זאת, שירותי דואר אלקטרוני לגיטימיים מסוימים עשויים לשנות הודעות לפני שהן מועברות לארגון Microsoft 365 שלך. שינוי הודעות נכנסות במהלך האספקה עלול לגרום לכשלים הבאים באימות דואר אלקטרוני ב- Microsoft 365:

  • SPF נכשל עקב מקור ההודעה החדשה (כתובת IP).
  • DKIM נכשל עקב שינוי תוכן.
  • DMARC נכשל עקב כשלים ב- SPF וב- DKIM.

שרשרת שהתקבלה מאומתת (ARC) מסייעת בהפחתת כשלים באימות דואר אלקטרוני נכנס משינוי הודעה על-ידי שירותי דואר אלקטרוני לגיטימיים. ARC שומר את פרטי אימות הדואר האלקטרוני המקוריים בשירות הדואר האלקטרוני. באפשרותך לקבוע את התצורה של ארגון Microsoft 365 שלך כדי לתת אמון בשירות ששינה את ההודעה, ולהשתמש במידע המקורי בבדיקת אימות דואר אלקטרוני.

מתי להשתמש באטום ARC מהימן?

ארגון Microsoft 365 צריך לזהות אטמי ARC מהימנים רק כאשר הודעות הנמסרות לנמעני Microsoft 365 מושפעות באופן קבוע בדרכים הבאות:

  • שירות המתווך משנה את כותרת ההודעה או את תוכן הדואר האלקטרוני.
  • שינויי ההודעה גורמים לכשל באימות מסיבות אחרות (לדוגמה, על-ידי הסרת קבצים מצורפים).

לאחר שמנהל מערכת מוסיף אטם ARC מהימן בפורטל Defender, Microsoft 365 משתמש במידע אימות הדואר האלקטרוני המקורי שחותם ה- ARC מספק כדי לאמת את ההודעות שנשלחו דרך השירות ל- Microsoft 365.

עצה

הוסף רק שירותים חוקיים נדרשים כחותמי ARC מהימנים בארגון Microsoft 365 שלך. פעולה זו עוזרת להודעות המושפעות לעבור בדיקת אימות דואר אלקטרוני, ומונעת העברה של הודעות לגיטימיות לתיקיה 'דואר זבל', להסגר או לדחייה עקב כשלים באימות דואר אלקטרוני.

מה עליך לדעת לפני שתתחיל?

  • פתח את Microsoft Defender ב- https://security.microsoft.com. כדי לעבור ישירות לדף ההגדרות של אימות דואר אלקטרוני, השתמש ב- https://security.microsoft.com/authentication.

  • כדי להתחבר אל Exchange Online PowerShell, ראה התחברות Exchange Online PowerShell. כדי להתחבר ל- EOP PowerShell עצמאי, ראה התחברות Exchange Online Protection PowerShell.

  • עליך לקבל הרשאות מוקצות לפני שתוכל לבצע את ההליכים במאמר זה. יש לך את האפשרויות הבאות:

    • Microsoft Defender XDR בקרת גישה מבוססת תפקיד מאוחד (RBAC) (משפיעה על פורטל Defender בלבד, לא על PowerShell): הגדרות הרשאות והגדרות/הגדרות אבטחה/הגדרות אבטחת ליבה (ניהול) או הרשאות והגדרות/הגדרות אבטחה/הגדרות אבטחת ליבה (קריאה).
    • Exchange Online נוספות: חברות בקבוצות התפקידים 'ניהול ארגון' או 'מנהל אבטחה'.
    • Microsoft Entra נוספות: חברות בתפקידי מנהל מערכת כללי או מנהל אבטחה מעניקה למשתמשים את ההרשאות וההרשאות הדרושות עבור תכונות אחרות ב- Microsoft 365.

השתמש בפורטל Microsoft Defender להוסיף אטמים מהימנים של ARC

  1. בפורטל Microsoft Defender בhttps://security.microsoft.com- , עבור אל דואר אלקטרוני &> מדיניותשיתוף פעולה &>> כללי מדיניות איומים הגדרות אימות דואר אלקטרוני במקטע כללים>ARC. לחלופין, כדי לעבור ישירות לדף ההגדרות של אימות דואר אלקטרוני, השתמש ב- https://security.microsoft.com/authentication.

  2. בדף הגדרות אימות דואר אלקטרוני , ודא שהכרטיסיה ARC נבחרה ולאחר מכן בחר הוסף.

    עצה

    אם אטמים מהימנים כבר מפורטים בכרטיסיה ARC , בחר ערוך.

  3. בתפריט הנשלף הוסף אטמים מהימנים של ARC שנפתח, הזן את תחום החתימה המהימן בתיבה (לדוגמה, fabrikam.com).

    שם התחום חייב להתאים לתחום המוצג בערך d בכותרות ARC-Seal ו - ARC-Message-Signature בהודעות המושפעות. השתמש בשיטות הבאות כדי להציג את כותרת ההודעה:

    חזור על שלב זה פעמים רבות ככל הצורך. כדי להסיר ערך קיים, בחר לצד הערך.

    לאחר שתסיים בתפריט הנשלף הוסף אטמים מהימנים של ARC , בחר שמור

השתמש Exchange Online PowerShell כדי להוסיף אטמים מהימנים של ARC

אם אתה מעדיף להשתמש ב- PowerShell כדי להציג, להוסיף או להסיר אטמים מהימנים של ARC, Exchange Online PowerShell כדי להפעיל את הפקודות הבאות.

  • הצגת אטמים קיימים מהימנים של ARC

    Get-ArcConfig

    אם לא נקבעה תצורה של אטמים מהימנים של ARC, הפקודה אינה מחזירה תוצאות.

  • הוספה או הסרה של אטמים מהימנים של ARC

    כדי להחליף את כל אטבי ה- ARC הקיימים בערכים שציינת, השתמש בתחביר הבא:

    Set-ArcConfig -Identity [TenantId\]Default -ArcTrustedSealers "Domain1","Domain2",..."DomainN"

    הערך TenantId\ אינו נדרש בארגון שלך, רק בארגונים מוסמך. זהו GUID הגלוי בכתובות URL רבות של פורטל הניהול ב- Microsoft 365 ( tid= הערך). לדוגמה, a32d39e2-3702-4ff5-9628-31358774c091.

    דוגמה זו קובעת את התצורה של "cohovineyard.com" ו- "tailspintoys.com" כסוימי ה- ARC המהימנים היחידים בארגון.

    Set-ArcConfig -Identity Default -ArcTrustedSealers "cohovineyard.com","tailspintoys.com"

    כדי לשמר ערכים קיימים, הקפד לכלול את אטמים של ARC שברצונך לשמור יחד עם אטמים חדשים של ARC שברצונך להוסיף.

    כדי להוסיף או להסיר אטמי ARC מבלי להשפיע על שאר הערכים, עיין בסעיף דוגמאות ב - Set-ArcConfig.

אימות אטם ARC מהימן

אם קיים חותם ARC מתוך שירות לפני שההודעה מגיעה ל- Microsoft 365, בדוק את כותרת ההודעה לקבלת כותרות ה- ARC העדכניות ביותר לאחר שההודעה נמסרה.

בכותרת האחרונה של תוצאות אימות ARC , חפש את arc=pass ו- oda=1. ערכים אלה מציינים:

  • ה- ARC הקודם אומת.
  • אטם ה- ARC הקודם מהימן.
  • ניתן להשתמש תוצאת הסיסמה הקודמת כדי לעקוף את הכשל הנוכחי של DMARC.

לדוגמה:

ARC-Authentication-Results: i=2; mx.microsoft.com 1; spf=pass (sender ip is
172.17.17.17) smtp.rcpttodomain=microsoft.com
smtp.mailfrom=sampledoamin.onmicrosoft.com; dmarc=bestguesspass action=none
header.from=sampledoamin.onmicrosoft.com; dkim=none (message not signed);
arc=pass (0 oda=1 ltdi=1
spf=[1,1,smtp.mailfrom=sampledoamin.onmicrosoft.com]
dkim=[1,1,header.d=sampledoamin.onmicrosoft.com]
dmarc=[1,1,header.from=sampledoamin.onmicrosoft.com])

כדי לבדוק אם תוצאת ה- ARC שימשה לעקוף כשל DMARC, compauth=passreason=130 חפש את הכותרת האחרונה של אימות-תוצאות . לדוגמה:

Authentication-Results: spf=fail (sender IP is 10.10.10.10)
smtp.mailfrom=contoso.com; dkim=fail (body hash did not verify)
header.d=contoso.com;dmarc=fail action=none
header.from=contoso.com;compauth=pass reason=130

דיאגרמות זרימת דואר של אטם ARC מהימנות

הדיאגרמות בסעיף זה מנוגדות לזרימת הדואר והשפעת על תוצאות אימות דואר אלקטרוני עם וללא אטם ARC מהימן. בשתי הדיאגרמות, ארגון Microsoft 365 משתמש בשירות דואר אלקטרוני חוקי ששינה דואר נכנס לפני שהוא נמסר ל- Microsoft 365. שינוי זה מפסיק את זרימת הדואר, דבר שעלול לגרום לכשלים באימות דואר אלקטרוני על-ידי שינוי כתובת ה- IP של המקור ועדכון הכותרת של הודעת הדואר האלקטרוני.

דיאגרמה זו מדגימה את התוצאה ללא אטם ARC מהימן:

Contoso מפרסמת SPF, DKIM ו- DMARC. שולח המשתמש ב- SPF שולח דואר אלקטרוני contoso.com ל- fabrikam.com, והודעה זו עוברת דרך שירות חוקי של ספקים חיצוניים ששינה את כתובת ה- IP השולחת בכותרת הדואר האלקטרוני. במהלך בדיקת ה- DNS ב- Microsoft 365, ההודעה נכשלת ב- SPF עקב ה- IP שהשתנה, ו- DKIM נכשל מאחר שהתוכן השתנה. DMARC נכשל עקב כשלים ב- SPF וב- DKIM. ההודעה מועברת לתיקיית דואר הזבל, בהסגר או נדחתה.

דיאגרמה זו מדגימה את התוצאה עם אטם ARC מהימן:

Contoso מפרסמת SPF, DKIM ו- DMARC, אך גם קובעת את תצורת אטמי ה- ARC המהימנים הדרושים. שולח המשתמש ב- SPF שולח דואר אלקטרוני contoso.com ל- fabrikam.com, והודעה זו עוברת דרך שירות חוקי של ספקים חיצוניים ששינה את כתובת ה- IP השולחת בכותרת הדואר האלקטרוני. השירות משתמש ב- ARC sealing, ומ מכיוון שהשירות מוגדר כסם ARC מהימן ב- Microsoft 365, השינוי מתקבל. SPF נכשל עבור כתובת ה- IP החדשה. DKIM נכשל עקב שינוי התוכן. DMARC נכשל עקב הכשלים הקודמת. אך ARC מזהה את השינויים, מבעיית מעבר, מקבל את השינויים. התחזות גם מקבלת אישור. ההודעה מועברת לתיבת הדואר הנכנס.

השלבים הבאים

בדוק את כותרות ה- ARC באמצעות מנתח כותרות ההודעות ב- https://mha.azurewebsites.net.

סקור את SPF, DKIM, DMARC, הליכי תצורה.