DMARC gebruiken om e-mail te validerenUse DMARC to validate email

DMARC (Domain-based Message Authentication, Reporting, and Conformance) werkt samen met SPF (Sender Policy Framework) en DKIM (DomainKeys Identified Mail) om afzenders van e-mail te verifiëren en ervoor te zorgen dat geadresseerde e-mailsystemen berichten vertrouwen die vanuit uw domein worden verzonden.Domain-based Message Authentication, Reporting, and Conformance (DMARC) works with Sender Policy Framework (SPF) and DomainKeys Identified Mail (DKIM) to authenticate mail senders and ensure that destination email systems trust messages sent from your domain. De implementatie van DMARC met SPF en DKIM biedt extra bescherming tegen adresvervalsing en phishing-email.Implementing DMARC with SPF and DKIM provides additional protection against spoofing and phishing email. DMARC helpt ontvangende e-mailsystemen vast te stellen wat er moet gebeuren met berichten die zijn verzonden vanuit uw domein die niet door de SPF- en DKIM-controles komen.DMARC helps receiving mail systems determine what to do with messages sent from your domain that fail SPF or DKIM checks.

Tip

Ga naar de catalogus van Microsoft Intelligent Security Association (MISA) om externe leveranciers te bekijken die DMARC-rapportage bieden voor Microsoft 365.Visit the Microsoft Intelligent Security Association (MISA) catalog to view third-party vendors offering DMARC reporting for Microsoft 365.

Hoe werken SPF en DMARC samen om e-mail in Microsoft 365 te beschermen?How do SPF and DMARC work together to protect email in Microsoft 365?

Een e-mailbericht kan meerdere eigenaren, afzenders of adressen bevatten.An email message may contain multiple originator, or sender, addresses. Deze adressen worden gebruikt voor verschillende doeleinden.These addresses are used for different purposes. Neem bijvoorbeeld deze adressen:For example, consider these addresses:

  • 'E-mail van'-adres: identificeert de afzender en specificeert waarnaartoe kennisgevingen moeten worden verzonden als er zich problemen voordoen met de aflevering van het bericht, zoals kennisgeving dat het niet is bezorgd. "Mail From" address: Identifies the sender and specifies where to send return notices if any problems occur with the delivery of the message, such as non-delivery notices. Dit verschijnt in het envelopgedeelte van een e-mailbericht en wordt gewoonlijk niet weergegeven door uw e-mailtoepassing.This appears in the envelope portion of an email message and is not usually displayed by your email application. Dit wordt ook wel het 5321.MailFrom-adres of het omgekeerde-padadres genoemd.This is sometimes called the 5321.MailFrom address or the reverse-path address.

  • 'Van'-adres: het adres dat wordt weergegeven als het Van-adres door uw e-mailtoepassing."From" address: The address displayed as the From address by your mail application. Dit adres identificeert de auteur van de e-mail.This address identifies the author of the email. Dat wil zeggen, het postvak van de persoon of het systeem dat verantwoordelijk is voor het schrijven van het bericht.That is, the mailbox of the person or system responsible for writing the message. Dit wordt ook wel een het 5322.From-adres genoemd.This is sometimes called the 5322.From address.

SPF gebruikt een DNS TXT-record om een lijst weer te geven van gemachtigde IP-verzendadressen voor een bepaald domein.SPF uses a DNS TXT record to provide a list of authorized sending IP addresses for a given domain. Normaalgesproken worden SPF-controles alleen uitgevoerd op het 5321.MailFrom-adres.Normally, SPF checks are only performed against the 5321.MailFrom address. Dit betekent dat het 5322.From-adres niet wordt geverifieerd wanneer u alleen SPF zelf gebruikt.This means that the 5322.From address is not authenticated when you use SPF by itself. Hierdoor is een scenario mogelijk dat een gebruiker een bericht ontvangt dat door een SPF-controle komt, maar een vervalst 5322.From-afzenderadres heeft.This allows for a scenario where a user can receive a message which passes an SPF check but has a spoofed 5322.From sender address. Bekijk bijvoorbeeld het volgende SMTP-transcript:For example, consider this SMTP transcript:

S: Helo woodgrovebank.com
S: Mail from: phish@phishing.contoso.com
S: Rcpt to: astobes@tailspintoys.com
S: data
S: To: "Andrew Stobes" <astobes@tailspintoys.com>
S: From: "Woodgrove Bank Security" <security@woodgrovebank.com>
S: Subject: Woodgrove Bank - Action required
S:
S: Greetings User,
S:
S: We need to verify your banking details.
S: Please click the following link to verify that we have the right information for your account.
S:
S: https://short.url/woodgrovebank/updateaccount/12-121.aspx
S:
S: Thank you,
S: Woodgrove Bank
S: .

In dit transcript zijn de afzenderadressen als volgt:In this transcript, the sender addresses are as follows:

  • E-mail van-adres (5321.MailFrom): phish@phishing.contoso.comMail from address (5321.MailFrom): phish@phishing.contoso.com

  • Van-adres (5322.From): security@woodgrovebank.comFrom address (5322.From): security@woodgrovebank.com

Als u SPF hebt geconfigureerd, voert de ontvangende server een controle uit op het E-mail van-adres Phish@phishing.contoso.com.If you configured SPF, then the receiving server performs a check against the Mail from address phish@phishing.contoso.com. Als het bericht afkomstig is van een geldige bron voor het domein phishing.contoso.com, is de SPF-controle geslaagd.If the message came from a valid source for the domain phishing.contoso.com then the SPF check passes. Aangezien de e-mailclient alleen het Van-adres weergeeft, ziet de gebruiker dat het bericht afkomstig is van security@woodgrovebank.com.Since the email client only displays the From address, the user sees that this message came from security@woodgrovebank.com. Met alleen SPF, is de geldigheid van woodgrovebank.com nooit geverifieerd.With SPF alone, the validity of woodgrovebank.com was never authenticated.

Wanneer u DMARC gebruikt, wordt er door de ontvangende server ook een controle uitgevoerd tegen het Van-adres.When you use DMARC, the receiving server also performs a check against the From address. Als er in het bovenstaande voorbeeld een DMARC TXT-record voor woodgrovebank.com voorkomt, mislukt de controle op het Van-adres.In the example above, if there is a DMARC TXT record in place for woodgrovebank.com, then the check against the From address fails.

Wat is een DMARC TXT-record?What is a DMARC TXT record?

Net zoals DNS-records voor SPF, is het DMARC-record een DNS-tekstrecord (TXT) dat adresvervalsing en phishing helpt voorkomen.Like the DNS records for SPF, the record for DMARC is a DNS text (TXT) record that helps prevent spoofing and phishing. U publiceert DMARC TXT-records in DNS.You publish DMARC TXT records in DNS. DMARC TXT-records valideren de oorsprong van e-mailberichten door het IP-adres van de auteur van een e-mail met de zogenaamde eigenaar van het verzendende domein te verifiëren.DMARC TXT records validate the origin of email messages by verifying the IP address of an email's author against the alleged owner of the sending domain. Het DMARC TXT-record identificeert gemachtigde uitgaande e-mailservers.The DMARC TXT record identifies authorized outbound email servers. Doele-mailsystemen kunnen dan verifiëren dat de berichten die ze ontvangen afkomstig zijn van gemachtigde uitgaande e-mailservers.Destination email systems can then verify that messages they receive originate from authorized outbound email servers.

Een DMARC TXT-record van Microsoft ziet er ongeveer als volgt uit:Microsoft's DMARC TXT record looks something like this:

_dmarc.microsoft.com.   3600    IN      TXT     "v=DMARC1; p=none; pct=100; rua=mailto:d@rua.agari.com; ruf=mailto:d@ruf.agari.com; fo=1"

Microsoft zendt DMARC-rapporten naar Agari, een derde.Microsoft sends its DMARC reports to Agari, a third party. Agari verzamelt en analyseert DMARC-rapporten.Agari collects and analyzes DMARC reports. Ga naar de MISA-catalogus om meer externe leveranciers te bekijken die DMARC-rapportage bieden voor Microsoft 365.Please visit the MISA catalog to view more third-party vendors offering DMARC reporting for Microsoft 365.

DMARC implementeren voor inkomende e-mailImplement DMARC for inbound mail

U hoeft niets te doen om DMARC in te stellen voor e-mail die u ontvangt in Microsoft 365.You don't have to do a thing to set up DMARC for mail that you receive in Microsoft 365. Wij hebben overal al voor gezorgd.We've taken care of everything for you. Zie Hoe Microsoft 365 omgaat met inkomende e-mail waarvan de DMARC-controle mislukt als u wilt weten wat er gebeurt met e-mail die niet door onze DMARC-controle komt.If you want to learn what happens to mail that fails to pass our DMARC checks, see How Microsoft 365 handles inbound email that fails DMARC.

DMARC implementeren voor uitgaande e-mail vanuit Microsoft 365Implement DMARC for outbound mail from Microsoft 365

Als u Microsoft 365 gebruikt, maar geen aangepast domein, dat wil zeggen dat u onmicrosoft.com gebruikt, hoeft u niets anders te doen om DMARC voor uw organisatie te configureren of te implementeren.If you use Microsoft 365 but you aren't using a custom domain, that is, you use onmicrosoft.com, you don't need to do anything else to configure or implement DMARC for your organization. SPF is al voor u ingesteld en Microsoft 365 genereert automatisch een DKIM-handtekening voor uw uitgaande e-mail.SPF is already set up for you and Microsoft 365 automatically generates a DKIM signature for your outgoing mail. Zie Standaardgedrag voor DKIM en Microsoft 365 voor meer informatie over deze handtekening.For more information about this signature, see Default behavior for DKIM and Microsoft 365.

Als u een aangepast domein hebt of als u on-premises Exchange-servers gebruikt naast Microsoft 365, moet u handmatig DMARC implementeren voor uw uitgaande e-mail.If you have a custom domain or you are using on-premises Exchange servers in addition to Microsoft 365, you need to manually implement DMARC for your outbound mail. Het implementeren van DMARC voor uw aangepaste domein bestaat uit de volgende stappen:Implementing DMARC for your custom domain includes these steps:

Stap 1: geldige bronnen van e-mail identificeren voor uw domeinStep 1: Identify valid sources of mail for your domain

Als u SPF al hebt ingesteld, hebt u deze stap al doorlopen.If you have already set up SPF then you have already gone through this exercise. Voor DMARC zijn er echter aanvullende aandachtspunten.However, for DMARC, there are additional considerations. Bij het identificeren van bronnen van e-mail voor uw domein, zijn er twee vragen die u moet beantwoorden:When identifying sources of mail for your domain there are two questions you need to answer:

  • Welke IP-adressen verzenden e-mailberichten vanuit mijn domein?What IP addresses send messages from my domain?

  • Komen de 5321.MailFrom- en 5322.From-domeinen overeen voor e-mail die namens u door derden wordt verzonden.For mail sent from third parties on my behalf, will the 5321.MailFrom and 5322.From domains match?

Stap 2: SPF instellen voor uw domeinStep 2: Set up SPF for your domain

Nu u een lijst hebt met alle geldige afzenders, kunt u de stappen volgen in SPF instellen om adresvervalsing te helpen voorkomen.Now that you have a list of all your valid senders you can follow the steps to Set up SPF to help prevent spoofing.

Ervan uitgaande dat contoso.com bijvoorbeeld e-mail verzendt van Exchange Online, een on-premises Exchange-server met IP-adres 192.168.0.1 en een webtoepassing met IP-adres 192.168.100.100, dan ziet het SPF TXT-record er als volgt uit:For example, assuming contoso.com sends mail from Exchange Online, an on-premises Exchange server whose IP address is 192.168.0.1, and a web application whose IP address is 192.168.100.100, the SPF TXT record would look like this:

contoso.com  IN  TXT  " v=spf1 ip4:192.168.0.1 ip4:192.168.100.100 include:spf.protection.outlook.com -all"

Het is een goed idee ervoor te zorgen dat uw SPF TXT-record rekening houdt met afzenders van derden.As a best practice, ensure that your SPF TXT record takes into account third-party senders.

Stap 3: DKIM instellen voor uw aangepaste domeinStep 3: Set up DKIM for your custom domain

Als u SPF hebt ingesteld, moet u DKIM instellen.Once you have set up SPF, you need to set up DKIM. Met DKIM kunt u een digitale handtekening toevoegen aan e-mailberichten in de berichtkop.DKIM lets you add a digital signature to email messages in the message header. Als u DKIM niet instelt en in plaats daarvan Microsoft 365 toestaat de standaard-DKIM-configuratie van uw domein te gebruiken, kan de DMARC-controle mislukken.If you do not set up DKIM and instead allow Microsoft 365 to use the default DKIM configuration for your domain, DMARC may fail. Dat komt, omdat de standaard-DKIM-configuratie uw initiële onmicrosoft.com-domein gebruikt als het 5322.From-adres, niet uw aangepaste domein.This is because the default DKIM configuration uses your initial onmicrosoft.com domain as the 5322.From address, not your custom domain. Dit zorgt ervoor dat de 5321.MailFrom- en 5322.From-adressen niet overeenkomen in alle e-mails die worden verzonden vanuit uw domein.This forces a mismatch between the 5321.MailFrom and the 5322.From addresses in all email sent from your domain.

Als u derden hebt die namens u e-mail verzenden en in de e-mail die ze verzenden de 5321.MailFrom- en 5322.From-adressen niet overeenkomen, mislukt de DMARC-controle voor die e-mail.If you have third-party senders that send mail on your behalf and the mail they send has mismatched 5321.MailFrom and 5322.From addresses, DMARC will fail for that email. Om dit te voorkomen, moet u DKIM instellen voor uw domein met specifiek die derde.To avoid this, you need to set up DKIM for your domain specifically with that third-party sender. Hiermee kan Microsoft 365 e-mail van deze derde verifiëren.This allows Microsoft 365 to authenticate email from this 3rd-party service. Hiermee kunnen echter ook anderen, zoals Yahoo, Gmail en Comcast aan hun verzonden e-mail verifiëren van de derde alsof die door u is verzonden.However, it also allows others, for example, Yahoo, Gmail, and Comcast, to verify email sent to them by the third-party as if it was email sent by you. Dat is handig, omdat klanten vertrouwen kunnen opbouwen met uw domein, ongeacht waar hun postvak zich bevindt en tegelijkertijd zal Microsoft 365 een bericht niet markeren als spam vanwege adresvervalsing, omdat het slaagt voor de verificatiecontroles voor uw domein.This is beneficial because it allows your customers to build trust with your domain no matter where their mailbox is located, and at the same time Microsoft 365 won't mark a message as spam due to spoofing because it passes authentication checks for your domain.

Zie DKIM gebruiken voor het valideren van uitgaande e-mail die is verzonden vanuit uw aangepaste domein voor instructies over het instellen van DKIM voor uw domein, inclusief het instellen van DKIM voor derden zodat ze uw adres kunnen nabootsen.For instructions on setting up DKIM for your domain, including how to set up DKIM for third-party senders so they can spoof your domain, see Use DKIM to validate outbound email sent from your custom domain.

Stap 4: het DMARC TXT-record maken voor uw domeinStep 4: Form the DMARC TXT record for your domain

Dit zijn de meestgebruikte opties voor Microsoft 365, hoewel er ook andere syntaxis-opties zijn die hier niet worden genoemd.Although there are other syntax options that are not mentioned here, these are the most commonly used options for Microsoft 365. Maak het DMARC TXT-record voor uw domein in de indeling:Form the DMARC TXT record for your domain in the format:

_dmarc.domain  TTL  IN  TXT  "v=DMARC1; p=policy; pct=100"

waarbij:where:

  • domein is het domein dat u wilt beveiligen.domain is the domain you want to protect. Standaard beschermt het record e-mail van het domein en alle subdomeinen.By default, the record protects mail from the domain and all subdomains. Als u bijvoorbeeld _dmarc.contoso.com opgeeft, beschermt DMARC e-mail van het domein en alle subdomeinen, zoals housewares.contoso.com of plumbing.contoso.com.For example, if you specify _dmarc.contoso.com, then DMARC protects mail from the domain and all subdomains, such as housewares.contoso.com or plumbing.contoso.com.

  • TTL moet altijd het equivalent van één uur zijn.TTL should always be the equivalent of one hour. De eenheid die wordt gebruikt voor TTL is, afhankelijk van de registrar voor uw domein, uren (1 uur), minuten (60 minuten) of seconden (3600 seconden).The unit used for TTL, either hours (1 hour), minutes (60 minutes), or seconds (3600 seconds), will vary depending on the registrar for your domain.

  • pct=100 geeft aan dat deze regel moet worden gebruikt voor 100 % van de e-mails.pct=100 indicates that this rule should be used for 100% of email.

  • beleid geeft aan welk beleid moet worden gevolgd door de ontvangende server als de DMARC-controle mislukt.policy specifies what policy you want the receiving server to follow if DMARC fails. U kunt het beleid instellen op geen, quarantaine of weigeren.You can set the policy to none, quarantine, or reject.

Raak vertrouwd met Aanbevolen procedures voor implementeren van DMARC in Microsoft 365 voor meer informatie over de opties die u kunt gebruiken.For information about which options to use, become familiar with the concepts in Best practices for implementing DMARC in Microsoft 365.

Voorbeelden:Examples:

  • Beleid ingesteld op geenPolicy set to none

    _dmarc.contoso.com 3600 IN  TXT  "v=DMARC1; p=none"
    
  • Beleid ingesteld op quarantainePolicy set to quarantine

    _dmarc.contoso.com 3600 IN  TXT  "v=DMARC1; p=quarantine"
    
  • Beleid ingesteld op weigerenPolicy set to reject

    _dmarc.contoso.com  3600 IN  TXT  "v=DMARC1; p=reject"
    

Wanneer u het record hebt gemaakt, moet u het record bij uw domeinregistrar bijwerken.Once you have formed your record, you need to update the record at your domain registrar. Zie DNS-records voor Microsoft 365 maken wanneer u uw DNS-records beheert voor instructies over het toevoegen van het DMARC TXT-record aan uw DNS-records voor Microsoft 365.For instructions on adding the DMARC TXT record to your DNS records for Microsoft 365, see Create DNS records for Microsoft 365 when you manage your DNS records.

Aanbevolen procedures voor implementatie van DMARC in Microsoft 365Best practices for implementing DMARC in Microsoft 365

U kunt DMARC geleidelijk implementeren zonder gevolgen voor de rest van uw e-mailstroom.You can implement DMARC gradually without impacting the rest of your mail flow. Maak en implementeer een planning die de deze stappen volgt.Create and implement a roll out plan that follows these steps. Voer elk van deze stappen eerst uit met een subdomein, dan andere subdomeinen en ten slotte met het hoofddomein in uw organisatie voordat u doorgaat met de volgende stap.Do each of these steps first with a sub-domain, then other sub-domains, and finally with the top-level domain in your organization before moving on to the next step.

  1. De impact van de implementatie van DMARC bewakenMonitor the impact of implementing DMARC

    Begin met een eenvoudig controlemodusrecord voor een subdomein of domein dat DMARC-ontvangers verzoekt u statistieken te sturen over berichten die zij zien als ze dat domein gebruiken.Start with a simple monitoring-mode record for a sub-domain or domain that requests that DMARC receivers send you statistics about messages that they see using that domain. Een controlemodusrecord is een DMARC TXT-record waarvan het beleid is ingesteld op geen (p=geen).A monitoring-mode record is a DMARC TXT record that has its policy set to none (p=none). Veel bedrijven publiceren een DMARC TXT-record met p=geen, omdat ze niet zeker weten hoeveel e-mail er verloren kan gaan door het publiceren van een meer beperkend DMARC-beleid.Many companies publish a DMARC TXT record with p=none because they are unsure about how much email they may lose by publishing a more restrictive DMARC policy.

    U kunt dit zelfs doen voordat u SPF of DKIM hebt geïmplementeerd in uw berichteninfrastructuur.You can do this even before you've implemented SPF or DKIM in your messaging infrastructure. U kunt echter niet effectief berichten in quarantaine plaatsen of weigeren door DMARC te gebruiken, totdat u ook SPF en DKIM implementeert.However, you won't be able to effectively quarantine or reject mail by using DMARC until you also implement SPF and DKIM. Wanneer u SPF en DKIM introduceert, zullen de rapporten die door DMARC worden gegenereerd de aantallen en bronnen bieden van berichten die wel en niet door de controles komen. As you introduce SPF and DKIM, the reports generated through DMARC will provide the numbers and sources of messages that pass these checks, and those that don't. U kunt eenvoudig zien hoeveel van uw legitieme verkeer wel of niet hierdoor wordt gedekt en eventuele problemen oplossen.You can easily see how much of your legitimate traffic is or isn't covered by them, and troubleshoot any problems. U zult ook zien hoeveel frauduleuze berichten er worden verzonden en waarvandaan.You'll also begin to see how many fraudulent messages are being sent, and from where.

  2. Verzoeken dat externe e-mailsystemen e-mail waarvan de DMARC-controle mislukt in quarantaine plaatsen Request that external mail systems quarantine mail that fails DMARC

    Als u gelooft dat alle of het meeste van uw legitieme verkeer wordt beschermd door SPF en DKIM en u de consequenties van de implementatie van DMARC begrijpt, kunt u quarantainebeleid implementeren.When you believe that all or most of your legitimate traffic is protected by SPF and DKIM, and you understand the impact of implementing DMARC, you can implement a quarantine policy. Quarantainebeleid is een DMARC TXT-record waarvan het beleid is ingesteld op quarantaine (p=quarantaine).A quarantine policy is a DMARC TXT record that has its policy set to quarantine (p=quarantine). Door dit te doen, vraagt u DMARC-ontvangers berichten van uw domein, waarvan de DMARC-controle is mislukt, in het lokale equivalent van een spammap te plaatsen in plaats van in de postvakken van uw klanten.By doing this, you are asking DMARC receivers to put messages from your domain that fail DMARC into the local equivalent of a spam folder instead of your customers' inboxes.

  3. Verzoeken dat externe e-mailsystemen geen berichten accepteren waarvan de DMARC-controle is misluktRequest that external mail systems not accept messages that fail DMARC

    De laatste stap is het implementeren van weigeringsbeleid.The final step is implementing a reject policy. Weigeringsbeleid is een DMARC TXT-record waarvan het beleid is ingesteld op weigeren (p=weigeren).A reject policy is a DMARC TXT record that has its policy set to reject (p=reject). Wanneer u dit doet, vraagt u DMARC-ontvangers geen berichten te accepteren waarvan de DMARC-controle is mislukt.When you do this, you're asking DMARC receivers not to accept messages that fail the DMARC checks.

Hoe Microsoft 365 omgaat met uitgaande e-mail waarvan de DMARC-controle is misluktHow Microsoft 365 handles outbound email that fails DMARC

Als er door Microsoft 365 een bericht wordt verzonden waarvan de DMARC-controle mislukt en u hebt het beleid ingesteld op p=quarantaine of p=weigeren, wordt het bericht gerouteerd door de Afleveringsgroep met hoog risico voor uitgaande berichten.If a message is outbound from Microsoft 365 and fails DMARC, and you have set the policy to p=quarantine or p=reject, the message is routed through the High-risk delivery pool for outbound messages. Het is niet mogelijk het beleid voor uitgaande e-mail te negeren.There is no override for outbound email.

Als u DMARC-weigeringsbeleid publiceert (p=weigeren), kan geen enkele andere klant in Microsoft 365 uw domein nabootsen, omdat berichten niet door de SPF- of DKIM-controles komen voor uw domein wanneer ze een uitgaand bericht verzenden via de service.If you publish a DMARC reject policy (p=reject), no other customer in Microsoft 365 can spoof your domain because messages will not be able to pass SPF or DKIM for your domain when relaying a message outbound through the service. Als u echter DMARC-weigeringsbeleid publiceert, maar niet al uw e-mail laat verifiëren door Microsoft 365, kunnen bepaalde berichten worden gemarkeerd als spam voor inkomende e-mail (zoals hierboven beschreven) of geweigerd als u geen SPF publiceert en dit wil doorgeven via de service.However, if you do publish a DMARC reject policy but don't have all of your email authenticated through Microsoft 365, some of it may be marked as spam for inbound email (as described above), or it will be rejected if you do not publish SPF and try to relay it outbound through the service. Dit is bijvoorbeeld het geval als u bepaalde IP-adressen voor servers en apps die e-mail zenden namens uw domein vergeet op te nemen wanneer u uw DMARC TXT-record maakt.This happens, for example, if you forget to include some of the IP addresses for servers and apps that send mail on behalf of your domain when you form your DMARC TXT record.

Hoe Microsoft 365 omgaat met inkomende e-mail waarvan de DMARC-controle is misluktHow Microsoft 365 handles inbound email that fails DMARC

Als het DMARC-beleid van de verzendende server p=reject is, markeert EOP het bericht als spoof in plaats van het te weigeren.If the DMARC policy of the sending server is p=reject, EOP marks the message as spoof instead of rejecting it. Met andere woorden, Microsoft 365 behandelt p=reject en p=quarantine voor inkomende e-mails op dezelfde manier.In other words, for inbound email, Microsoft 365 treats p=reject and p=quarantine the same way. Beheerders kunnen binnen het anti-phishing-beleid de actie definiëren die moet worden uitgevoerd voor berichten die worden geclassificeerd als spoof.Admins can define the action to take on messages classified as spoof within the anti-phishing policy.

Microsoft 365 is zo geconfigureerd, omdat van bepaalde legitieme e-mail de DMARC-controle mogelijk mislukt. Microsoft 365 is configured like this because some legitimate email may fail DMARC. De DMARC-controle van een bericht kan bijvoorbeeld mislukken als het wordt verzonden naar een adressenlijst die vervolgens het bericht doorstuurt naar alle deelnemers aan die lijst.For example, a message might fail DMARC if it is sent to a mailing list that then relays the message to all list participants. Als deze berichten door Microsoft 365 worden geweigerd, kunnen gebruikers legitieme e-mail kwijtraken zonder die te kunnen herstellen.If Microsoft 365 rejected these messages, people could lose legitimate email and have no way to retrieve it. In plaats hiervan zal de DMARC-controle van deze berichten nog steeds mislukken, maar worden ze gemarkeerd als spam en niet geweigerd.Instead, these messages will still fail DMARC but they will be marked as spam and not rejected. Indien gewenst, kunnen gebruikers deze berichten nog steeds in hun postvak krijgen via de volgende methoden:If desired, users can still get these messages in their inbox through these methods:

  • Gebruikers voegen veilige afzenders afzonderlijk toe in hun e-mailclient.Users add safe senders individually by using their email client.

  • Beheerders kunnen de Spoof Intelligence bijwerken om de adresvervalsing toe te staan.Administrators can update the Spoof Intelligence reporting to allow the spoof.

  • Beheerders maken een Exchange-e-mailstroom (ook wel transportregel genoemd) voor alle gebruikers die berichten van die bepaalde afzenders toestaan.Administrators create an Exchange mail flow rule (also known as a transport rule) for all users that allows messages for those particular senders.

Zie Lijsten met veilige afzenders maken voor meer informatie.For more information, see Create safe sender lists.

Hoe Microsoft 365 ARC (Authenticated Received Chain) gebruiktHow Microsoft 365 utilizes Authenticated Received Chain (ARC)

Alle in Microsoft 365 gehoste e-mail heeft nu het voordeel van ARC met verbeterde aflevering van berichten en uitgebreide bescherming tegen adresvervalsing.All hosted mailboxes in Microsoft 365 will now gain the benefit of ARC with improved deliverability of messages and enhanced anti-spoofing protection. Met ARC worden de verificatieresultaten van e-mail behouden van alle deelnemende intermediairs, of haltes, wanneer een e-mail vanaf de oorspronkelijke server wordt gestuurd naar het postvak van de geadresseerde. ARC preserves the email authentication results from all participating intermediaries, or hops, when an email is routed from the originating server to the recipient mailbox. De wijzigingen die door intermediairs werden uitgevoerd in e-mailroutering, zoals doorstuurregels of automatische handtekeningen, konden voor ARC leiden tot DMARC-fouten wanneer de e-mail het postvak van de geadresseerde bereikte.Before ARC, modifications performed by intermediaries in email routing, like forwarding rules or automatic signatures, could cause DMARC failures by the time the email reached the recipient mailbox. Met ARC kan Microsoft 365 de echtheid van de afzender van een e-mail verifiëren dankzij het cryptografische behoud van de verificatieresultaten.With ARC, the cryptographic preservation of the authentication results allows Microsoft 365 to verify the authenticity of an email's sender.

Microsoft 365 gebruikt momenteel ARC om verificatieresultaten te controleren wanneer Microsoft de ARC-sealer is, maar in de toekomst worden derde ARC-sealers ook ondersteund.Microsoft 365 currently utilizes ARC to verify authentication results when Microsoft is the ARC Sealer, but plan to add support for third party ARC sealers in the future.

Problemen oplossen met uw DMARC-implementatieTroubleshooting your DMARC implementation

Als u de MX-records van uw domein zo hebt geconfigureerd dat EOP niet het eerste item is, worden DMARC-fouten niet afgedwongen voor uw domein.If you have configured your domain's MX records where EOP is not the first entry, DMARC failures will not be enforced for your domain.

Als u een klant bent en het primaire MX-record van uw domein verwijst niet naar EOP, krijgt u niet de voordelen van DMARC.If you're a customer, and your domain's primary MX record does not point to EOP, you will not get the benefits of DMARC. DMARC werkt bijvoorbeeld niet als uw MX-record verwijst naar uw on-premises mailserver en de e-mail dan routeert naar EOP via een connector.For example, DMARC won't work if you point the MX record to your on-premises mail server and then route email to EOP by using a connector. In dit scenario is het ontvangende domein een van uw geaccepteerde domeinen, maar is EOP niet de primaire MX.In this scenario, the receiving domain is one of your Accepted-Domains but EOP is not the primary MX. Stel bijvoorbeeld dat contoso.com het MX-record naar zichzelf laat verwijzen en EOP gebruikt als secundair MX-record, dan ziet het MX-record van contoso.com er als volgt uit:For example, suppose contoso.com points its MX at itself and uses EOP as a secondary MX record, contoso.com's MX record looks like the following:

contoso.com     3600   IN  MX  0  mail.contoso.com
contoso.com     3600   IN  MX  10 contoso-com.mail.protection.outlook.com

Alle, of de meeste, e-mail zal eerst worden gerouteerd naar mail.contoso.com, omdat dat de primaire MX is en vervolgens wordt de e-mail gerouteerd naar EOP.All, or most, email will first be routed to mail.contoso.com since it's the primary MX, and then mail will get routed to EOP. In bepaalde gevallen vermeldt u mogelijk niet eens EOP als een MX-record en koppelt u gewoon connectors om uw e-mail te routeren.In some cases, you might not even list EOP as an MX record at all and simply hook up connectors to route your email. EOP hoeft niet de eerste vermelding te zijn om DMARC-validatie te kunnen uitvoeren.EOP does not have to be the first entry for DMARC validation to be done. Het garandeert de validatie, omdat we niet zeker kunnen weten dat alle on-premises/niet-O365-servers DMARC-controles uitvoeren.It just ensures the validation, as we cannot be certain that all on-premise/non-O365 servers will do DMARC checks. Het afdwingen van DMARC voor het domein (niet de server) van een klant is beschikbaar wanneer u het DMARC TXT-record instelt, maar de ontvangende server voert de handhaving daadwerkelijk uit.DMARC is eligible to be enforced for a customer's domain (not server) when you set up the DMARC TXT record, but it is up to the receiving server to actually do the enforcement. Als u EOP instelt als ontvangende server, voert EOP de DMARC-handhaving uit.If you set up EOP as the receiving server, then EOP does the DMARC enforcement.

Een afbeelding voor het oplossen van problemen met DMARC. Met dank aan Daniel Mande

Voor meer informatieFor more information

Meer informatie over DMARC?Want more information about DMARC? Deze informatiebronnen kunnen u hiermee helpen.These resources can help.

Zie ookSee also

Hoe Microsoft 365 SPF (Sender Policy Framework) gebruikt om adresvervalsing te voorkomenHow Microsoft 365 uses Sender Policy Framework (SPF) to prevent spoofing

SPF in Microsoft 365 instellen om adresvervalsing te helpen voorkomenSet up SPF in Microsoft 365 to help prevent spoofing

DKIM gebruiken om uitgaande e-mail te valideren die wordt verzonden vanuit uw aangepaste domein in Microsoft 365Use DKIM to validate outbound email sent from your custom domain in Microsoft 365