Configurar selos ARC confiáveis
Email autenticação ajuda a validar emails enviados de e para sua organização microsoft 365 para evitar remetentes falsificados que são usados no BEC (compromisso de email comercial), ransomware e outros ataques de phishing.
Mas alguns serviços de email legítimos podem modificar mensagens antes de serem entregues à sua organização do Microsoft 365. Modificar mensagens de entrada em trânsito pode e provavelmente causará as seguintes falhas de autenticação de email no Microsoft 365:
- O SPF falha devido à nova fonte de mensagem (endereço IP).
- O DKIM falha devido à modificação de conteúdo.
- O DMARC falha devido às falhas de SPF e DKIM.
O ARC (Autenticado Received Chain) ajuda a reduzir as falhas de autenticação de email de entrada da modificação de mensagem por serviços de email legítimos. O ARC preserva as informações de autenticação de email originais no serviço de email. Você pode configurar sua organização do Microsoft 365 para confiar no serviço que modificou a mensagem e usar essas informações originais em verificações de autenticação de email.
Quando usar os selos ARC confiáveis?
Uma organização do Microsoft 365 precisa identificar selos ARC confiáveis somente quando as mensagens entregues aos destinatários do Microsoft 365 são afetadas regularmente das seguintes maneiras:
- O serviço intermediário modifica o cabeçalho da mensagem ou o conteúdo de email.
- As modificações de mensagem fazem com que a autenticação falhe por outros motivos (exemplo, removendo anexos).
Depois que um administrador adiciona um selador ARC confiável no portal do Defender, o Microsoft 365 usa as informações de autenticação de email originais que o selador ARC fornece para validar as mensagens enviadas pelo serviço para o Microsoft 365.
Dica
Adicione apenas serviços legítimos e necessários como seladores ARC confiáveis em sua organização do Microsoft 365. Essa ação ajuda as mensagens afetadas a passar verificações de autenticação por email e impede que mensagens legítimas sejam entregues à pasta Junk Email, colocadas em quarentena ou rejeitadas devido a falhas de autenticação por email.
Do que você precisa saber para começar?
Abra o portal Microsoft Defender em https://security.microsoft.com. Para ir diretamente para a página de configurações de autenticação Email, use https://security.microsoft.com/authentication.
Para se conectar ao PowerShell do Exchange Online, confira Conectar ao PowerShell do Exchange Online. Para se conectar ao EOP PowerShell autônomo, consulte Conectar-se ao PowerShell do Exchange Online Protection..
Você precisa receber permissões para fazer os procedimentos neste artigo. Você tem as seguintes opções:
- Microsoft Defender XDR RBAC (controle de acesso baseado em função unificada) (afeta apenas o portal do Defender, não o PowerShell): configurações e configurações de segurança/Configurações de segurança principal/configurações de segurança principal (gerenciar) ou Configurações e configurações/Configurações de segurança/Configurações de Segurança Principal (leitura).
- Exchange Online permissões: Associação nos grupos de funções gerenciamento de organização ou administrador de segurança.
- Microsoft Entra permissões: a associação nas funções administrador global ou administrador de segurança fornece aos usuários as permissões e permissões necessárias para outros recursos no Microsoft 365.
Use o portal Microsoft Defender para adicionar selos ARC confiáveis
No portal do Microsoft Defender em https://security.microsoft.com, acesse políticas de& regras deEmail &políticas> de ameaças de colaboração>> Email Configurações de autenticação na seção >RegrasARC . Ou, para ir diretamente para a página de configurações de autenticação Email, use https://security.microsoft.com/authentication.
Na página Email configurações de autenticação, verifique se a guia ARC está selecionada e selecione Adicionar.
Dica
Se os selos confiáveis já estiverem listados na guia ARC , selecione Editar.
No flyout Adicionar selos ARC confiáveis que é aberto, insira o domínio de assinatura confiável na caixa (por exemplo, fabrikam.com).
O nome de domínio deve corresponder ao domínio mostrado no valor d nos cabeçalhos ARC-Seal e ARC-Message-Signature nas mensagens afetadas. Use os seguintes métodos para exibir o cabeçalho da mensagem:
- Exibir cabeçalhos de mensagens na Internet no Outlook.
- Use o Analisador de Cabeçalho de Mensagem em https://mha.azurewebsites.net.
Repita essa etapa quantas vezes forem necessárias. Para remover uma entrada existente, selecione ao lado da entrada.
Quando você terminar no flyout Adicionar selos ARC confiáveis , selecione Salvar
Use Exchange Online PowerShell para adicionar selos ARC confiáveis
Se preferir usar o PowerShell para exibir, adicionar ou remover selos ARC confiáveis, conecte-se ao Exchange Online PowerShell para executar os comandos a seguir.
Exibir selos ARC confiáveis existentes
Get-ArcConfig
Se nenhum selo ARC confiável estiver configurado, o comando não retornará resultados.
Adicionar ou remover selos ARC confiáveis
Para substituir todos os selos ARC existentes pelos valores especificados, use a seguinte sintaxe:
Set-ArcConfig -Identity [TenantId\]Default -ArcTrustedSealers "Domain1","Domain2",..."DomainN"
O valor TenantId\ não é necessário em sua própria organização, somente em organizações delegadas. É um GUID visível em muitas URLs do portal de administração no Microsoft 365 (o
tid=
valor). Por exemplo, a32d39e2-3702-4ff5-9628-31358774c091.Este exemplo configura "cohovineyard.com" e "tailspintoys.com" como os únicos selos ARC confiáveis na organização.
Set-ArcConfig -Identity Default -ArcTrustedSealers "cohovineyard.com","tailspintoys.com"
Para preservar os valores existentes, inclua os selos ARC que você deseja manter junto com os novos selos ARC que você deseja adicionar.
Para adicionar ou remover vedadores ARC sem afetar as outras entradas, consulte a seção Exemplos em Set-ArcConfig.
Validar um selador ARC confiável
Se houver um selo ARC de um serviço antes da mensagem chegar ao Microsoft 365, marcar o cabeçalho da mensagem para os cabeçalhos ARC mais recentes após a entrega da mensagem.
No último cabeçalho ARC-Authentication-Results , procure arc=pass
e oda=1
. Esses valores indicam:
- O ARC anterior foi verificado.
- O selador ARC anterior é confiável.
- O resultado da passagem anterior pode ser usado para substituir a falha DMARC atual.
Por exemplo:
ARC-Authentication-Results: i=2; mx.microsoft.com 1; spf=pass (sender ip is
172.17.17.17) smtp.rcpttodomain=microsoft.com
smtp.mailfrom=sampledoamin.onmicrosoft.com; dmarc=bestguesspass action=none
header.from=sampledoamin.onmicrosoft.com; dkim=none (message not signed);
arc=pass (0 oda=1 ltdi=1
spf=[1,1,smtp.mailfrom=sampledoamin.onmicrosoft.com]
dkim=[1,1,header.d=sampledoamin.onmicrosoft.com]
dmarc=[1,1,header.from=sampledoamin.onmicrosoft.com])
Para marcar se o resultado arc foi usado para substituir uma falha DMARC, procure compauth=pass
e reason=130
no último cabeçalho Autenticação-Resultados. Por exemplo:
Authentication-Results: spf=fail (sender IP is 10.10.10.10)
smtp.mailfrom=contoso.com; dkim=fail (body hash did not verify)
header.d=contoso.com;dmarc=fail action=none
header.from=contoso.com;compauth=pass reason=130
Diagramas de fluxo de email do selador ARC confiável
Os diagramas nesta seção contrastam o fluxo de email e o efeito na autenticação de email resulta com e sem um selador ARC confiável. Em ambos os diagramas, a organização microsoft 365 usa um serviço de email legítimo que modifica o email de entrada antes de ser entregue no Microsoft 365. Essa modificação interrompe o fluxo de email, o que pode causar falhas de autenticação por email alterando o IP de origem e atualizando o cabeçalho da mensagem de email.
Este diagrama demonstra o resultado sem um selador ARC confiável:
Este diagrama demonstra o resultado com um selador ARC confiável:
Próximas etapas
Verifique seus Cabeçalhos ARC com o Analisador de Cabeçalho de Mensagem em https://mha.azurewebsites.net.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de