Configurar selos ARC confiáveis

Email autenticação ajuda a validar emails enviados de e para sua organização microsoft 365 para evitar remetentes falsificados que são usados no BEC (compromisso de email comercial), ransomware e outros ataques de phishing.

Mas alguns serviços de email legítimos podem modificar mensagens antes de serem entregues à sua organização do Microsoft 365. Modificar mensagens de entrada em trânsito pode e provavelmente causará as seguintes falhas de autenticação de email no Microsoft 365:

  • O SPF falha devido à nova fonte de mensagem (endereço IP).
  • O DKIM falha devido à modificação de conteúdo.
  • O DMARC falha devido às falhas de SPF e DKIM.

O ARC (Autenticado Received Chain) ajuda a reduzir as falhas de autenticação de email de entrada da modificação de mensagem por serviços de email legítimos. O ARC preserva as informações de autenticação de email originais no serviço de email. Você pode configurar sua organização do Microsoft 365 para confiar no serviço que modificou a mensagem e usar essas informações originais em verificações de autenticação de email.

Quando usar os selos ARC confiáveis?

Uma organização do Microsoft 365 precisa identificar selos ARC confiáveis somente quando as mensagens entregues aos destinatários do Microsoft 365 são afetadas regularmente das seguintes maneiras:

  • O serviço intermediário modifica o cabeçalho da mensagem ou o conteúdo de email.
  • As modificações de mensagem fazem com que a autenticação falhe por outros motivos (exemplo, removendo anexos).

Depois que um administrador adiciona um selador ARC confiável no portal do Defender, o Microsoft 365 usa as informações de autenticação de email originais que o selador ARC fornece para validar as mensagens enviadas pelo serviço para o Microsoft 365.

Dica

Adicione apenas serviços legítimos e necessários como seladores ARC confiáveis em sua organização do Microsoft 365. Essa ação ajuda as mensagens afetadas a passar verificações de autenticação por email e impede que mensagens legítimas sejam entregues à pasta Junk Email, colocadas em quarentena ou rejeitadas devido a falhas de autenticação por email.

Do que você precisa saber para começar?

Use o portal Microsoft Defender para adicionar selos ARC confiáveis

  1. No portal do Microsoft Defender em https://security.microsoft.com, acesse políticas de& regras deEmail &políticas> de ameaças de colaboração>> Email Configurações de autenticação na seção >RegrasARC . Ou, para ir diretamente para a página de configurações de autenticação Email, use https://security.microsoft.com/authentication.

  2. Na página Email configurações de autenticação, verifique se a guia ARC está selecionada e selecione Adicionar.

    Dica

    Se os selos confiáveis já estiverem listados na guia ARC , selecione Editar.

  3. No flyout Adicionar selos ARC confiáveis que é aberto, insira o domínio de assinatura confiável na caixa (por exemplo, fabrikam.com).

    O nome de domínio deve corresponder ao domínio mostrado no valor d nos cabeçalhos ARC-Seal e ARC-Message-Signature nas mensagens afetadas. Use os seguintes métodos para exibir o cabeçalho da mensagem:

    Repita essa etapa quantas vezes forem necessárias. Para remover uma entrada existente, selecione ao lado da entrada.

    Quando você terminar no flyout Adicionar selos ARC confiáveis , selecione Salvar

Use Exchange Online PowerShell para adicionar selos ARC confiáveis

Se preferir usar o PowerShell para exibir, adicionar ou remover selos ARC confiáveis, conecte-se ao Exchange Online PowerShell para executar os comandos a seguir.

  • Exibir selos ARC confiáveis existentes

    Get-ArcConfig

    Se nenhum selo ARC confiável estiver configurado, o comando não retornará resultados.

  • Adicionar ou remover selos ARC confiáveis

    Para substituir todos os selos ARC existentes pelos valores especificados, use a seguinte sintaxe:

    Set-ArcConfig -Identity [TenantId\]Default -ArcTrustedSealers "Domain1","Domain2",..."DomainN"

    O valor TenantId\ não é necessário em sua própria organização, somente em organizações delegadas. É um GUID visível em muitas URLs do portal de administração no Microsoft 365 (o tid= valor). Por exemplo, a32d39e2-3702-4ff5-9628-31358774c091.

    Este exemplo configura "cohovineyard.com" e "tailspintoys.com" como os únicos selos ARC confiáveis na organização.

    Set-ArcConfig -Identity Default -ArcTrustedSealers "cohovineyard.com","tailspintoys.com"

    Para preservar os valores existentes, inclua os selos ARC que você deseja manter junto com os novos selos ARC que você deseja adicionar.

    Para adicionar ou remover vedadores ARC sem afetar as outras entradas, consulte a seção Exemplos em Set-ArcConfig.

Validar um selador ARC confiável

Se houver um selo ARC de um serviço antes da mensagem chegar ao Microsoft 365, marcar o cabeçalho da mensagem para os cabeçalhos ARC mais recentes após a entrega da mensagem.

No último cabeçalho ARC-Authentication-Results , procure arc=pass e oda=1. Esses valores indicam:

  • O ARC anterior foi verificado.
  • O selador ARC anterior é confiável.
  • O resultado da passagem anterior pode ser usado para substituir a falha DMARC atual.

Por exemplo:

ARC-Authentication-Results: i=2; mx.microsoft.com 1; spf=pass (sender ip is
172.17.17.17) smtp.rcpttodomain=microsoft.com
smtp.mailfrom=sampledoamin.onmicrosoft.com; dmarc=bestguesspass action=none
header.from=sampledoamin.onmicrosoft.com; dkim=none (message not signed);
arc=pass (0 oda=1 ltdi=1
spf=[1,1,smtp.mailfrom=sampledoamin.onmicrosoft.com]
dkim=[1,1,header.d=sampledoamin.onmicrosoft.com]
dmarc=[1,1,header.from=sampledoamin.onmicrosoft.com])

Para marcar se o resultado arc foi usado para substituir uma falha DMARC, procure compauth=pass e reason=130 no último cabeçalho Autenticação-Resultados. Por exemplo:

Authentication-Results: spf=fail (sender IP is 10.10.10.10)
smtp.mailfrom=contoso.com; dkim=fail (body hash did not verify)
header.d=contoso.com;dmarc=fail action=none
header.from=contoso.com;compauth=pass reason=130

Diagramas de fluxo de email do selador ARC confiável

Os diagramas nesta seção contrastam o fluxo de email e o efeito na autenticação de email resulta com e sem um selador ARC confiável. Em ambos os diagramas, a organização microsoft 365 usa um serviço de email legítimo que modifica o email de entrada antes de ser entregue no Microsoft 365. Essa modificação interrompe o fluxo de email, o que pode causar falhas de autenticação por email alterando o IP de origem e atualizando o cabeçalho da mensagem de email.

Este diagrama demonstra o resultado sem um selador ARC confiável:

A Contoso publica SPF, DKIM e DMARC. Um remetente usando o SPF envia email de dentro contoso.com para fabrikam.com e essa mensagem passa por um serviço legítimo de terceiros que modifica o endereço IP de envio no cabeçalho de email. Durante o marcar DNS no Microsoft 365, a mensagem falha no SPF devido ao IP alterado e falha no DKIM porque o conteúdo foi modificado. O DMARC falha devido às falhas de SPF e DKIM. A mensagem é entregue à pasta Junk Email, colocada em quarentena ou rejeitada.

Este diagrama demonstra o resultado com um selador ARC confiável:

A Contoso publica SPF, DKIM e DMARC, mas também configura os selos ARC confiáveis necessários. Um remetente usando o SPF envia email de dentro contoso.com para fabrikam.com e essa mensagem passa por um serviço legítimo de terceiros que modifica o endereço IP de envio no cabeçalho de email. O serviço usa a vedação ARC e, como o serviço é definido como um selador ARC confiável no Microsoft 365, a modificação é aceita. O SPF falha no novo endereço IP. O DKIM falha devido à modificação de conteúdo. O DMARC falha devido às falhas anteriores. Mas a ARC reconhece as modificações, emite um Passe e aceita as alterações. A falsificação também recebe um passe. A mensagem é entregue na caixa de entrada.

Próximas etapas

Verifique seus Cabeçalhos ARC com o Analisador de Cabeçalho de Mensagem em https://mha.azurewebsites.net.

Examine os procedimentos de configuração SPF, DKIM, DMARC.