הגדרת SPF לזיהוי מקורות דואר אלקטרוני חוקיים עבור תחום Microsoft 365 שלך

• חל על:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

עצה

הידעת שתוכל לנסות את התכונות ב- Microsoft Defender XDR עבור Office 365 2 ללא תשלום? השתמש בגירסת הניסיון ל- 90 Defender עבור Office 365 במרכז Microsoft Defender של הפורטל. למד מי יכול להירשם ולתנאי ניסיון כאן.

מסגרת מדיניות שולח (SPF) היא שיטה לאימות דואר אלקטרוני שמסייעת לאמת דואר שנשלח מארגון Microsoft 365 שלך כדי למנוע שולחים התחזים שנעשה בהם שימוש בסכנה לדואר אלקטרוני עסקי (BEC), תוכנת כופר ומתקפות דיוג אחרות.

המטרה הראשית של SPF היא לאמת מקורות דואר אלקטרוני עבור תחום. באופן ספציפי, SPF משתמש ברשומת TXT ב- DNS כדי לזהות מקורות חוקיים של דואר עבור התחום. קבלת מערכות דואר אלקטרוני משתמשת ברשומת SPF TXT כדי לוודא שהודעת דואר אלקטרוני מכתובת השולח המשמשת במהלך העברת ה- SMTP של ההודעה ( 5321.MailFrom המכונה כתובת, שולח P1 או שולח מעטפה) היא ממקור דואר מוכר המיועד עבור תחום זה.

לדוגמה, אם תחום הדואר האלקטרוני שלך ב- Microsoft 365 הוא contoso.com, אתה יוצר רשומת SPF TXT ב- DNS עבור תחום contoso.com כדי לזהות את Microsoft 365 כמקור דואר מורשה מ- contoso.com. מערכות דואר אלקטרוני המהוות יעד בודקות את רשומת SPF TXT ב- contoso.com כדי לקבוע אם ההודעה הגיעה ממקור מורשה עבור contoso.com אלקטרוני.

לפני שנתחיל, הנה מה שעליך לדעת על SPF ב- Microsoft 365 בהתבסס על תחום הדואר האלקטרוני שלך:

• אם אתה משתמש רק בתחום כתובת ניתוב דואר אלקטרוני של Microsoft Online (MOERA) עבור דואר אלקטרוני (לדוגמה, contoso.onmicrosoft.com): אינך צריך לעשות דבר. תצורת רשומת SPF TXT כבר נקבעה עבורך. Microsoft היא onmicrosoft.com התחום של Microsoft, ולכן אנו אחראים ליצירה ולתחזוקה של רשומות ה- DNS בתחום זה ובתחומים משנה אלה. לקבלת מידע נוסף אודות *.onmicrosoft.com תחומים, ראה מדוע יש לי תחום "onmicrosoft.com"?.

• אם אתה משתמש בתחום מותאם אישית אחד או יותר עבור דואר אלקטרוני (לדוגמה, contoso.com): תהליך ההרשמה של Microsoft 365 כבר נדרש ממך ליצור או לשנות את רשומת ה- SPF TXT ב- DNS עבור התחום המותאם אישית שלך כדי לזהות את Microsoft 365 כמקור דואר מורשה. עם זאת, עדיין יש לך עוד עבודה לעשות כדי להגן על דואר אלקטרוני מרבי:

  • שיקולי תחום משנה:

    • עבור שירותי דואר אלקטרוני שאינם תחת השליטה הישירה שלך (לדוגמה, שירותי דואר אלקטרוני בצובר), מומלץ להשתמש בתחום משנה (לדוגמה, marketing.contoso.com) במקום בתחום הדואר האלקטרוני הראשי שלך (לדוגמה, contoso.com). אינך מעוניין שבעיות בדואר שנשלח מתוך שירותי דואר אלקטרוני אלה ישפיעו על המוניטין של דואר שנשלח על-ידי עובדים בתחום הדואר האלקטרוני הראשי שלך. לקבלת מידע נוסף אודות הוספת תחומי משנה, ראה האם ניתן להוסיף תחומי משנה מותאמים אישית או תחומים מרובים ל- Microsoft 365?.

    • כל תחום משנה שבו אתה משתמש כדי לשלוח דואר אלקטרוני מ- Microsoft 365 דורש רשומת SPF TXT משלו. לדוגמה, רשומת SPF TXT עבור contoso.com אינה מכסה את marketing.contoso.com; marketing.contoso.com נדרשת רשומת SPF TXT משלה.

      עצה

      הגנת אימות דואר אלקטרוני עבור תחומי משנה לא מוגדרים מכוסה על-ידי DMARC. כל תחומי המשנה (מוגדרים או לא) מקבלים בירושה את הגדרות DMARC של תחום האב (שניתן לעקוף לפי תחום משנה). לקבלת מידע נוסף, ראה הגדרת DMARC לאימות התחום כתובת מאת עבור שולחים ב- Microsoft 365.

  • אם בבעלותך תחומים רשומים אך לא בשימוש: אם יש בבעלותך תחומים רשומים שאינם משמשים לדואר אלקטרוני או לכל דבר אחר (המכונה גם תחומים חונים), קבע את התצורה של רשומות SPF TXT כדי לציין כי אף דואר אלקטרוני לא אמור להגיע מעולם מתחום זה כמתואר בהמשך מאמר זה.

• SPF לבד אינו מספיק. לקבלת הרמה הטובה ביותר של הגנה מפני דואר אלקטרוני עבור התחומים המותאמים אישית שלך, עליך גם לקבוע את התצורה של DKIM ו- DMARC כחלק מאסטרטגיית האימות הכוללת של הדואר האלקטרוני. לקבלת מידע נוסף, עיין בסעיף השלבים הבאים בסוף מאמר זה.

  חשוב

  בארגונים מורכבים שבהם קשה לזהות את כל מקורות הדואר החוקיים עבור התחום, חשוב שתגדיר במהירות חתימת DKIM ו- DMARC (במצב 'אל תבצע פעולה') עבור התחום. שירות דיווח DMARC שימושי מאוד לזיהוי מקורות דואר אלקטרוני וכשלים ב- SPF עבור התחום.

שאר המאמר מתאר את רשומות SPF TXT שעליך ליצור עבור תחומים מותאמים אישית ב- Microsoft 365.

עצה

אין פורטלי ניהול או רכיבי cmdlet של PowerShell ב- Microsoft 365 עבורך לניהול רשומות SPF בתחום שלך. במקום זאת, עליך ליצור את רשומת SPF TXT אצל רשם התחומים או בשירות אירוח ה- DNS שלך (לעתים קרובות באותה חברה).

אנו מספקים הוראות ליצירת רשומת TXT של הוכחת בעלות על תחום עבור Microsoft 365 אצל רשמי תחומים רבים. באפשרותך להשתמש בהוראות אלה כנקודת התחלה ליצירת ערך רשומת SPF TXT. לקבלת מידע נוסף, ראה הוספת רשומות DNS כדי לחבר את התחום שלך.

אם אינך מכיר את תצורת ה- DNS, פנה לרשם התחומים שלך ובקש עזרה.

תחביר עבור רשומות SPF TXT

רשומות SPF TXT מתוארות באופן ממצה ב- RFC 7208.

התחביר הבסיסי של רשומת SPF TX עבור תחום מותאם אישית ב- Microsoft 365 הוא:

v=spf1 <valid mail sources> <enforcement rule>

או:

v=spf1 [<ip4>|<ip6>:<PublicIPAddress1> <ip4>|<ip6>:<PublicIPAddress2>... <ip4>|<ip6>:<PublicIPAddressN>] [include:<DomainName1> include:<DomainName1>... include:<DomainNameN>] <-all | ~all>

לדוגמה:

v=spf1 ip4:192.168.0.10 ip4:192.168.0.12 include:spf.protection.outlook.com -all

• v=spf1 מזהה את רשומת ה- TXT בתור רשומת SPF TXT.

• מקורות דואר חוקיים: צוינה מקורות דואר חוקיים עבור התחום. שימוש ב- Domains, בכתובות IP או בשניהם:

  • תחומים: include: ערכים מציינים שירותים או תחומים אחרים כמקורות דואר חוקיים מהתחום המקורי. ערכים אלה מובילים בסופו של דבר לכתובת IP באמצעות בדיקות מידע של DNS.

    רוב הארגונים של Microsoft 365 דורשים include:spf.protection.outlook.com רשומת SPF TXT עבור התחום. שירותי דואר אלקטרוני אחרים של ספקים חיצוניים דורשים include: לעתים קרובות ערך נוסף לזיהוי השירות כמקור חוקי של דואר אלקטרוני מהתחום המקורי.

  • כתובות IP: ערך כתובת IP כולל את שני הרכיבים הבאים:

    • הערך או ip4: כדי ip6: לזהות את סוג כתובת ה- IP.
    • כתובת ה- IP הניתנת לפתרסול ציבורי של מערכת המקור של הדואר האלקטרוני. לדוגמה:
      • כתובת IP בודדת (לדוגמה, 192.168.0.10).
      • טווח כתובות IP המשתמש Inter-Domain ניתוב (CIDR) (לדוגמה 192.168.0.1/26). ודא שהטווח אינו גדול מדי או קטן מדי.

    ב- Microsoft 365, בדרך כלל אתה משתמש בכתובות IP ברשומת SPF TXT רק אם יש לך שרתי דואר אלקטרוני מקומיים השולחים דואר מהתחום של Microsoft 365 (לדוגמה, פריסות Exchange Server משולבות). שירותי דואר אלקטרוני מסוימים של ספקים חיצוניים עשויים גם להשתמש בטווח כתובות IP במקום include: בערך ברשומת ה- TXT של SPF.

• כלל אכיפה: מיידע מערכות דואר אלקטרוני המהוות יעד מה לעשות עם הודעות ממקורות שאינם מצוינים ברשומת SPF TXT עבור התחום. ערכים חוקיים הם:

  • -all (כשל קשיח): מקורות שלא צוינה ברשומת SPF TXT אינם מורשים לשלוח דואר עבור התחום, ולכן יש לדחות את ההודעות. מה שקורה בפועל להודעה תלוי במערכת הדואר האלקטרוני המהווה יעד, אך בדרך כלל ההודעות נמחקות.

    עבור תחומים של Microsoft 365, -all מומלץ (כשל קשיח) מכיוון שאנו ממליצים גם על DKIM ו- DMARC עבור התחום. מדיניות DMARC מציינת מה לעשות בהודעות שדוחות SPF או DKIM נכשלים, ודוחות DMARC מאפשרים לך לאמת את התוצאות.

    עצה

    כפי שצוין קודם לכן, DMARC מוגדר עם שירות דיווח DMARC עוזר מאוד לזהות מקורות דואר אלקטרוני וכשלים SPF עבור התחום.

  • ~all(כשל רך): קרוב לוודאי שמקורות שלא צוינה ברשומת SPF TXT אינם מורשים לשלוח דואר עבור התחום, כך שיש לקבל את ההודעות אך להוסיף לה סימון. מה שקורה בפועל להודעה תלוי במערכת הדואר האלקטרוני המהווה יעד. לדוגמה, ההודעה עשויה להיות בהסגר כדואר זבל, מועברת לתיקיה 'דואר זבל' או מועברת לתיבת הדואר הנכנס עם מזהה שנוסף לנושא או לגוף ההודעה.

    מאחר שאנו ממליצים גם על DKIM ו- DMARC עבור תחומים של Microsoft 365, -all ההבדלים בין (כשל קשיח) ~all ל- (כשל רך) נמחקים ביעילות (DMARC מתייחס לכל אחת מהתוצאה כתוצאה מכשל SPF). DMARC משתמש ב- SPF כדי לאשר את התחומים בכתובות MAIL FROM ו- From וההודעה הגיעה ממקור חוקי עבור התחום From.

  עצה

  ?all (ניטראלי) זמין גם כדי להציע שום פעולה ספציפית על הודעות ממקורות לא מזוהים. ערך זה משמש לבדיקה, ואיננו ממליצים על ערך זה בסביבות ייצור.

נקודות חשובות שחשוב לזכור:

• כל תחום או תחום משנה מוגדר ב- DNS דורשים רשומת SPF TXT, ורק רשומת SPF אחת מותרת לכל תחום או תחום משנה. הגנת אימות דואר אלקטרוני עבור תחומי משנה לא מוגדרים מטופלת באופן מיטבי על-ידי DMARC.
• לא ניתן לשנות את רשומת SPF TXT הקיימת עבור התחום *.onmicrosoft.com.
• כאשר מערכת הדואר האלקטרוני המהווה יעד בודקת את מקורות הדואר האלקטרוני החוקיים ברשומת ה- SPF, אימות SPF נכשל אם הסימון דורש בדיקות מידע רבות מדי של DNS. לקבלת מידע נוסף, עיין בסעיף פתרון בעיות ברשומות SPF TXT בהמשך מאמר זה.

רשומות SPF TXT עבור תחומים מותאמים אישית ב- Microsoft 365

עצה

כפי שצוין קודם לכן במאמר זה, אתה יוצר את רשומת SPF TXT עבור תחום או תחום משנה אצל רשם התחומים עבור התחום. אין תצורת רשומת SPF TXT זמינה ב- Microsoft 365.

• תרחיש: אתה משתמש contoso.com דואר אלקטרוני ב- Microsoft 365, ו- Microsoft 365 הוא המקור היחיד לדואר אלקטרוני contoso.com.

  רשומת SPF TXT עבור contoso.com Microsoft 365 ו- Microsoft 365 Government Community Cloud (GCC):

  v=spf1 include:spf.protection.outlook.com -all
  

  רשומת SPF TXT עבור contoso.com Microsoft 365 Government Community Cloud High (GCC High) ו- Microsoft 365 Department of Defense (DoD):

  v=spf1 include:spf.protection.office365.us -all
  

  רשומת SPF TXT עבור contoso.com ב- Microsoft 365 המופעל על-ידי 21Vianet

  v=spf1 include:spf.protection.partner.outlook.cn -all
  

• תרחיש: אתה contoso.com ב- Microsoft 365 עבור דואר אלקטרוני, והגדרת כבר את רשומת SPF TXT ב- contoso.com עם כל מקורות הדואר האלקטרוני מהתחום. כמו כן, אתה הבעלים של contoso.net ו- contoso.org, אך אינך משתמש בהם עבור דואר אלקטרוני. ברצונך לציין שאין אף אחד מורשה לשלוח דואר אלקטרוני מ- contoso.net או contoso.org.

  רשומת SPF TXT עבור contoso.net:

  v=spf1 -all
  

  רשומת SPF TXT עבור contoso.org:

  v=spf1 -all
  

• תרחיש: אתה משתמש contoso.com דואר אלקטרוני ב- Microsoft 365. בכוונתך לשלוח דואר מהמקורות הבאים:

  • שרת דואר אלקטרוני מקומי עם כתובת הדואר האלקטרוני החיצונית של 192.168.0.10. מאחר שיש לך שליטה ישירה על מקור דואר אלקטרוני זה, אנו מחשיבים את זה כאישור לשימוש בשרת עבור שולחים contoso.com שלך.
  • שירות הדיוור בצובר של Adatum. מאחר שאין לך שליטה ישירה על מקור דואר אלקטרוני זה, מומלץ להשתמש תחום משנה, ולכן עליך ליצור תחום marketing.contoso.com למטרה זו. בהתאם לתיעוד השירות Adatum, עליך להוסיף רשומת include:servers.adatum.com SPF TXT עבור התחום שלך.

  רשומת SPF TXT עבור contoso.com:

  v=spf1 ip4:192.168.0.10 include:spf.protection.outlook.com -all
  

  רשומת SPF TXT עבור marketing.contoso.com:

  v=spf1 include:servers.adatum.com include:spf.protection.outlook.com -all
  

פתרון בעיות ברשומות SPF TXT

• רשומת SPF אחת לכל תחום או תחום משנה: רשומות TXT מרובות של SPF עבור אותו תחום או תחום משנה גורמים ללופיית בדיקת מידע של DNS שגורמת לכשל של SPF, לכן השתמש ברשומת SPF אחת בלבד לכל תחום או תחום משנה.

• פחות מ- 10 בדיקות מידע של DNS: כאשר מערכות דואר אלקטרוני המהוות יעד מחפשות מקורות חוקיים עבור תחום כתובת MAIL FROM, השאילתה סורקת דרך כתובות ה- IP include: והצהרות ברשומה עד שמקור ההודעה (בסופו של דבר, כתובת IP) תואם לאחד מהמקורות שצוינו. אם מספר בדיקות המידע של DNS (שעשויות להיות שונות ממספר שאילתות ה- DNS) גדול מ- 10, ההודעה נכשלת ב- SPF עם שגיאה קבועה ( permerrorהמכונה גם ). מערכת הדואר האלקטרוני המהווה יעד דוחה את ההודעה בדוח אי-מסירה (המכונה גם הודעת NDR או הודעת החזרה) עם אחת מהשגיאות הבאות:

  • ההודעה חרגה מספירת הדילוגיים.
  • ההודעה ידרשה בדיקות מידע רבות מדי.

  ברשומת SPF TXT, כתובות IP בודדות או טווחי כתובות IP אינם לגרום לבדיקות מידע של DNS. כל include: משפט דורש בדיקת מידע אחת לפחות של DNS, וייתכן שיידרשו בדיקות מידע נוספות אם include: הערך מצביע על משאבים מקוננים. במילים אחרות, הכללת פחות מ- 10 משפטים include: אינה מבטיחה פחות מ- 10 בדיקות מידע של DNS.

  כמו כן, זכור: מערכות דואר אלקטרוני המהוות יעד מעריךות את המקורות ברשומת SPF TXT משמאל לימין. ההערכה מפסיקה כאשר מקור ההודעה מאומת, ולא מסומנים מקורות נוספים. לכן, רשומת SPF TXT עשויה להכיל מספיק מידע כדי לגרום ליותר מ- 10 בדיקות מידע של DNS, אך האימות של מקורות דואר מסוימים ביעדים מסוימים אינו נכנס מספיק עמוק ברשומה כדי לגרום לשגיאה.

  בנוסף לשימור המוניטין של תחום הדואר האלקטרוני הראשי שלך, לא עולה על מספר בדיקות המידע של DNS היא סיבה נוספת להשתמש בתחום משנה עבור שירותי דואר אלקטרוני אחרים שאינך שולט בהם.

באפשרותך להשתמש בכלים מקוונים ללא תשלום כדי להציג את רשומת SPF TXT שלך ורשומות DNS אחרות עבור התחום שלך. כלים מסוימים אפילו מחשבים את מספר בדיקות המידע של רשומות DNS הדרושות עבור רשומת ה- SPF TXT שלך.

השלבים הבאים

כפי שמתואר באופן שבו SPF, DKIM ו- DMARC פועלים יחד כדי לאמת שולחים של הודעות דואר אלקטרוני, SPF בלבד אינו מספיק כדי למנוע התחזות לתחום Microsoft 365 שלך. עליך גם לקבוע את התצורה של DKIM ו- DMARC לקבלת ההגנה הטובה ביותר האפשרית. לקבלת הוראות, ראה:

• שימוש ב- DKIM כדי לאמת דואר אלקטרוני יוצא שנשלח מהתחום המותאם אישית שלך
• שימוש ב- DMARC לאימות דואר אלקטרוני

עבור דואר שמגיע ל - Microsoft 365, ייתכן שתצטרך גם לקבוע את התצורה של אטמים מהימנים של ARC אם אתה משתמש בשירותים שמנים הודעות במהלך האספקה לפני המסירה לארגון שלך. לקבלת מידע נוסף, ראה קביעת תצורה של אטמים מהימנים של ARC.