Använda DMARC för att validera e-postUse DMARC to validate email

Viktigt

Välkommen till Microsoft Defender för Office 365, det nya namnet för Office 365 Advanced Threat Protection.Welcome to Microsoft Defender for Office 365, the new name for Office 365 Advanced Threat Protection. Läs mer om detta och andra uppdateringar här.Read more about this and other updates here. Vi kommer att uppdatera namn i produkter och i dokumenten inom en snar framtid.We'll be updating names in products and in the docs in the near future.

DMARC (Domain-based Message Authentication, Reporting, and Conformance) fungerar med SPF (Sender Policy Framework) och DKIM (DomainKeys Identified Mail) för autentisering av e-postavsändare och ser till att mål-e-postsystem litar på meddelanden som skickats från din domän.Domain-based Message Authentication, Reporting, and Conformance (DMARC) works with Sender Policy Framework (SPF) and DomainKeys Identified Mail (DKIM) to authenticate mail senders and ensure that destination email systems trust messages sent from your domain. Implementering av DMARC med SPF och DKIM ger ytterligare skydd mot förfalsknings- och nätfiske-e-post.Implementing DMARC with SPF and DKIM provides additional protection against spoofing and phishing email. DMARC gör så att mottagande e-postsystem kan bestämma vad som ska göras med meddelanden som skickats från din domän som misslyckas i SPF- eller DKIM-kontroller.DMARC helps receiving mail systems determine what to do with messages sent from your domain that fail SPF or DKIM checks.

Tips

Gå till Microsoft Intelligent Security Association-katalogen (MISA) för att se externa leverantörer som erbjuder DMARC-rapportering för Microsoft 365.Visit the Microsoft Intelligent Security Association (MISA) catalog to view third-party vendors offering DMARC reporting for Microsoft 365.

Hur fungerar SPF och DMARC tillsammans för att skydda e-post i Microsoft 365?How do SPF and DMARC work together to protect email in Microsoft 365?

Ett e-postmeddelande kan innehålla flera avsändaradresser.An email message may contain multiple originator, or sender, addresses. Adresserna används för olika ändamål.These addresses are used for different purposes. Tänk på följande adresser till exempel:For example, consider these addresses:

  • ”E-post från”-adress: Identifierar avsändaren och anger vart returmeddelanden ska skickas om problem uppstår med leveransen av meddelandet, till exempel meddelanden om utebliven leverans."Mail From" address: Identifies the sender and specifies where to send return notices if any problems occur with the delivery of the message, such as non-delivery notices. Det här visas i kuvertdelen av ett e-postmeddelande och visas normalt inte av e-postprogrammet.This appears in the envelope portion of an email message and is not usually displayed by your email application. Detta kallas ibland för 5321.MailFrom-adressen eller reverse-path-adressen.This is sometimes called the 5321.MailFrom address or the reverse-path address.

  • ”Från”-adressen: Adressen som visas som Från-adressen av e-postprogrammet."From" address: The address displayed as the From address by your mail application. Adressen identifierar e-postmeddelandets upphovsman.This address identifies the author of the email. Det vill säga, postlådan för personen eller systemet som ansvarar för att skriva meddelandet.That is, the mailbox of the person or system responsible for writing the message. Detta kallas ibland för 5322.From-adressen.This is sometimes called the 5322.From address.

SPF använder en DNS TXT-post för att tillhandahålla en lista över godkända avsändande IP-adresser för en viss domän.SPF uses a DNS TXT record to provide a list of authorized sending IP addresses for a given domain. Normalt utförs bara SPF-kontroller mot 5321.MailFrom-adressen.Normally, SPF checks are only performed against the 5321.MailFrom address. Det betyder att 5322.From-adressen autentiseras inte när du använder SPF enskilt.This means that the 5322.From address is not authenticated when you use SPF by itself. Det möjliggör ett scenario där en användare kan ta emot ett meddelande som godkänns i en SPF-kontroll men har en förfalskad 5322.From-avsändaradress.This allows for a scenario where a user can receive a message which passes an SPF check but has a spoofed 5322.From sender address. Tänk dig till exempel den här SMTP-utskriften:For example, consider this SMTP transcript:

S: Helo woodgrovebank.com
S: Mail from: phish@phishing.contoso.com
S: Rcpt to: astobes@tailspintoys.com
S: data
S: To: "Andrew Stobes" <astobes@tailspintoys.com>
S: From: "Woodgrove Bank Security" <security@woodgrovebank.com>
S: Subject: Woodgrove Bank - Action required
S:
S: Greetings User,
S:
S: We need to verify your banking details.
S: Please click the following link to verify that we have the right information for your account.
S:
S: https://short.url/woodgrovebank/updateaccount/12-121.aspx
S:
S: Thank you,
S: Woodgrove Bank
S: .

I den här utskriften är avsändaradresserna följande:In this transcript, the sender addresses are as follows:

  • E-post från-adress (5321.MailFrom): phish@phishing.contoso.comMail from address (5321.MailFrom): phish@phishing.contoso.com

  • Från-adress (5322.From): security@woodgrovebank.comFrom address (5322.From): security@woodgrovebank.com

Om du har konfigurerat SPF utför den mottagande servern en kontroll mot E-post från-adressen phish@phishing.contoso.com.If you configured SPF, then the receiving server performs a check against the Mail from address phish@phishing.contoso.com. Om meddelandet kom från en giltig källa för domänen phishing.contoso.com godkänns sedan SPF-kontrollen.If the message came from a valid source for the domain phishing.contoso.com then the SPF check passes. Eftersom e-postklienten visar Från-adressen ser användaren att meddelandet kommer från security@woodgrovebank.com.Since the email client only displays the From address, the user sees that this message came from security@woodgrovebank.com. Med bara SPF så autentiserades aldrig giltigheten för woodgrovebank.com.With SPF alone, the validity of woodgrovebank.com was never authenticated.

När du använder DMARC utför den mottagande servern också en kontroll mot Från-adressen.When you use DMARC, the receiving server also performs a check against the From address. Om det i exemplet ovan finns en DMARC TXT-post på plats för woodgrovebank.com misslyckas sedan kontrollen mot Från-adressen.In the example above, if there is a DMARC TXT record in place for woodgrovebank.com, then the check against the From address fails.

Vad är en DMARC TXT-post?What is a DMARC TXT record?

Liksom DNS-posterna för SPF är posten för DMARC en DNS-textpost (TXT) som hjälper till att förhindra förfalskning och nätfiske.Like the DNS records for SPF, the record for DMARC is a DNS text (TXT) record that helps prevent spoofing and phishing. Du publicerar DMARC TXT-poster i DNS.You publish DMARC TXT records in DNS. DMARC TXT-poster validerar e-postmeddelandens ursprung genom att verifiera e-postförfattarens IP-adress mot den påstådda ägaren till avsändardomänen.DMARC TXT records validate the origin of email messages by verifying the IP address of an email's author against the alleged owner of the sending domain. DMARC TXT-posten identifierar auktoriserade servrar för utgående e-post.The DMARC TXT record identifies authorized outbound email servers. Mål-e-postsystem kan verifiera att meddelanden de får härstammar från auktoriserade servrar för utgående e-post.Destination email systems can then verify that messages they receive originate from authorized outbound email servers.

Microsofts DMARC TXT-post ser ut ungefär så här:Microsoft's DMARC TXT record looks something like this:

_dmarc.microsoft.com.   3600    IN      TXT     "v=DMARC1; p=none; pct=100; rua=mailto:d@rua.agari.com; ruf=mailto:d@ruf.agari.com; fo=1"

Microsoft skickar sina DMARC-rapporter till Agari, en tredje part.Microsoft sends its DMARC reports to Agari, a third party. Agari samlar in och analyserar DMARC-rapporter.Agari collects and analyzes DMARC reports. Gå till MISA-katalogen för att se fler externa leverantörer som erbjuder DMARC-rapportering för Microsoft 365.Please visit the MISA catalog to view more third-party vendors offering DMARC reporting for Microsoft 365.

Implementerar DMARC-för inkommande e-postImplement DMARC for inbound mail

Du behöver inte göra något för att konfigurera DMARC för e-post som du har tagit emot i Microsoft 365.You don't have to do a thing to set up DMARC for mail that you receive in Microsoft 365. Vi har tagit hand om allt åt dig.We've taken care of everything for you. Om du vill veta vad som händer med e-post som inte godkänns i våra DMARC-kontroller kan du läsa Så hanterar Microsoft 365 inkommande e-post som misslyckas i DMARC.If you want to learn what happens to mail that fails to pass our DMARC checks, see How Microsoft 365 handles inbound email that fails DMARC.

Implementera DMARC för utgående e-post från Microsoft 365Implement DMARC for outbound mail from Microsoft 365

Om du använder Microsoft 365 men du inte använder en egen domän, det vill säga du använder onmicrosoft.com, behöver du inte göra något annat för att konfigurera eller implementera DMARC för din organisation.If you use Microsoft 365 but you aren't using a custom domain, that is, you use onmicrosoft.com, you don't need to do anything else to configure or implement DMARC for your organization. SPF är redan konfigurerat för dig och Microsoft 365 genererar automatiskt en DKIM-signatur för utgående e-post.SPF is already set up for you and Microsoft 365 automatically generates a DKIM signature for your outgoing mail. Mer information om den här signaturen finns i Standardbeteende för DKIM och Microsoft 365.For more information about this signature, see Default behavior for DKIM and Microsoft 365.

Om du har en egen domän eller om du använder lokala Exchange-servrar förutom Microsoft 365 måste du manuellt implementera DMARC för utgående e-post.If you have a custom domain or you are using on-premises Exchange servers in addition to Microsoft 365, you need to manually implement DMARC for your outbound mail. Implementering av DMARC för din egen domän omfattar följande steg:Implementing DMARC for your custom domain includes these steps:

Steg 1: Identifiera giltiga e-postkällor för din domänStep 1: Identify valid sources of mail for your domain

Om du redan har konfigurerat SPF har du redan gått igenom den här övningen.If you have already set up SPF then you have already gone through this exercise. Men för DMARC finns det fler överväganden.However, for DMARC, there are additional considerations. När du identifierar e-postkällor för din domän finns det två frågor du måste besvara:When identifying sources of mail for your domain there are two questions you need to answer:

  • Vilka IP-adresser skickar meddelanden från min domän?What IP addresses send messages from my domain?

  • För e-post som skickats från tredje parter för mig, kommer 5321.MailFrom- och 5322.From-domänen matcha?For mail sent from third parties on my behalf, will the 5321.MailFrom and 5322.From domains match?

Steg 2: Konfigurera SPF för din domänStep 2: Set up SPF for your domain

Nu när du har en lista över alla giltiga avsändare kan du följa stegen i Konfigurera SPF för att förhindra förfalskning.Now that you have a list of all your valid senders you can follow the steps to Set up SPF to help prevent spoofing.

Om till exempel att contoso.com skickar e-post från Exchange Online, en lokal Exchange-server har en IP-adress som är 192.168.0.1 och ett webbprogram har en IP-adress som är 192.168.100.100, så skulle SPF TXT-posten se ut så här:For example, assuming contoso.com sends mail from Exchange Online, an on-premises Exchange server whose IP address is 192.168.0.1, and a web application whose IP address is 192.168.100.100, the SPF TXT record would look like this:

contoso.com  IN  TXT  " v=spf1 ip4:192.168.0.1 ip4:192.168.100.100 include:spf.protection.outlook.com -all"

Vi rekommenderar att din SPF TXT-post tar hänsyn till externa avsändare.As a best practice, ensure that your SPF TXT record takes into account third-party senders.

Steg 3: Konfigurera DKIM för din egen domänStep 3: Set up DKIM for your custom domain

När du har konfigurerat SPF måste du konfigurera DKIM.Once you have set up SPF, you need to set up DKIM. Med DKIM kan du lägga till en digital signatur i e-postmeddelanden i meddelandehuvudet.DKIM lets you add a digital signature to email messages in the message header. Om du inte konfigurerar DKIM och istället tillåter Microsoft 365 att använda den standardinställda DKIM-konfigurationen för din domän kanske DMARC misslyckas.If you do not set up DKIM and instead allow Microsoft 365 to use the default DKIM configuration for your domain, DMARC may fail. Det beror på att den standardinställda DKIM-konfigurationen använder din första onmicrosoft.com-domän som 5322.From-adress, inte din egen domän.This is because the default DKIM configuration uses your initial onmicrosoft.com domain as the 5322.From address, not your custom domain. Det tvingar fram en felmatchning mellan 5321.MailFrom- och 5322.From-adressen i all e-post som skickas från din domän.This forces a mismatch between the 5321.MailFrom and the 5322.From addresses in all email sent from your domain.

Om du har externa avsändare som skickar e-post för din räkning och e-posten de skickar har felmatchade 5321.MailFrom- och 5322.From-adresser så misslyckas DMARC för det e-postmeddelandet.If you have third-party senders that send mail on your behalf and the mail they send has mismatched 5321.MailFrom and 5322.From addresses, DMARC will fail for that email. Du kan undvika det här genom att konfigurera DKIM för din domän specifikt med den externa avsändaren.To avoid this, you need to set up DKIM for your domain specifically with that third-party sender. Det gör att Microsoft 365 kan autentisera e-post från den tredjepartstjänsten.This allows Microsoft 365 to authenticate email from this 3rd-party service. Men det gör också att andra, till exempel Yahoo, Gmail och Comcast, kan verifiera e-post som skickats av dem med den tredje parten som om det skulle vara e-post som skickats av dig.However, it also allows others, for example, Yahoo, Gmail, and Comcast, to verify email sent to them by the third-party as if it was email sent by you. Det här är fördelaktigt eftersom dina kunder då kan bygga upp ett förtroende för din domän oavsett var deras postlåda finns, och samtidigt markerar Microsoft 365 inte ett meddelande som skräppost på grund av förfalskning eftersom det godkänns i autentiseringskontroller för din domän.This is beneficial because it allows your customers to build trust with your domain no matter where their mailbox is located, and at the same time Microsoft 365 won't mark a message as spam due to spoofing because it passes authentication checks for your domain.

Instruktioner för konfiguration av DKIM för externa användare så att de kan förfalska din domän finns i Använd DKIM för att validera utgående e-post som skickas från din egna domän.For instructions on setting up DKIM for your domain, including how to set up DKIM for third-party senders so they can spoof your domain, see Use DKIM to validate outbound email sent from your custom domain.

Steg 4: Skapa DMARC TXT-posten för din domänStep 4: Form the DMARC TXT record for your domain

Det finns andra syntaxalternativ som inte nämns här men dessa är de vanligaste alternativen för Microsoft 365.Although there are other syntax options that are not mentioned here, these are the most commonly used options for Microsoft 365. Skapa DMARC TXT-posten för din domän i följande format:Form the DMARC TXT record for your domain in the format:

_dmarc.domain  TTL  IN  TXT  "v=DMARC1; p=policy; pct=100"

där:where:

  • domain är den domän du vill skydda.domain is the domain you want to protect. Som standard skyddar posten e-post från domänen och alla underdomäner.By default, the record protects mail from the domain and all subdomains. Om du till exempel anger _dmarc.contoso.com skyddar sedan DMARC e-post från domänen och alla underdomäner, till exempel housewares.contoso.com eller plumbing.contoso.com.For example, if you specify _dmarc.contoso.com, then DMARC protects mail from the domain and all subdomains, such as housewares.contoso.com or plumbing.contoso.com.

  • TTL ska alltid vara motsvarigheten till en timme.TTL should always be the equivalent of one hour. Enheten som används för TTL, antingen timmar (1 timme), minuter (60 minuter) eller sekunder (3 600 sekunder) varierar beroende på domänens registrator.The unit used for TTL, either hours (1 hour), minutes (60 minutes), or seconds (3600 seconds), will vary depending on the registrar for your domain.

  • pct=100 anger att regeln ska användas för 100 % av e-posten.pct=100 indicates that this rule should be used for 100% of email.

  • policy anger vilken princip du vill att den mottagande servern ska följa om DMARC misslyckas.policy specifies what policy you want the receiving server to follow if DMARC fails. Du kan ange none (ingen), quarantine (karantän) eller reject (avvisa) som princip.You can set the policy to none, quarantine, or reject.

Information om vilka alternativ du ska använda ska du bekanta dig med begreppen i Metodtips för implementering av DMARC i Microsoft 365.For information about which options to use, become familiar with the concepts in Best practices for implementing DMARC in Microsoft 365.

Exempel:Examples:

  • Principen inställd på none (ingen)Policy set to none

    _dmarc.contoso.com 3600 IN  TXT  "v=DMARC1; p=none"
    
  • Principen inställd på quarantine (karantän)Policy set to quarantine

    _dmarc.contoso.com 3600 IN  TXT  "v=DMARC1; p=quarantine"
    
  • Principen inställd på reject (avvisa)Policy set to reject

    _dmarc.contoso.com  3600 IN  TXT  "v=DMARC1; p=reject"
    

När du har skapat posten måste du uppdatera posten hos domänregistratorn.Once you have formed your record, you need to update the record at your domain registrar. Instruktioner för hur du lägger till DMARC TXT-posten till dina DNS-poster för Microsoft 365 finns i Skapa DNS-poster för Microsoft 365 när du hanterar dina DNS-poster.For instructions on adding the DMARC TXT record to your DNS records for Microsoft 365, see Create DNS records for Microsoft 365 when you manage your DNS records.

Metodtips för implementering av DMARC i Microsoft 365Best practices for implementing DMARC in Microsoft 365

Du kan implementera DMARC gradvis utan att det påverkar resten av ditt e-postflöde.You can implement DMARC gradually without impacting the rest of your mail flow. Skapa och implementera en lanseringsplan som följer de här stegen.Create and implement a roll out plan that follows these steps. Utför vart och ett av de här stegen först med en underdomän, sedan med andra underdomäner och till sist med domänen på den översta nivån i organisationen innan du går vidare till nästa steg.Do each of these steps first with a sub-domain, then other sub-domains, and finally with the top-level domain in your organization before moving on to the next step.

  1. Övervaka effekten av att implementera DMARCMonitor the impact of implementing DMARC

    Börja med en ”monitoring-mode”-post (övervakningsläge) för en underdomän eller domän som begär att DMARC-mottagare skickar dig statistik om meddelanden som de ser via den domänen.Start with a simple monitoring-mode record for a sub-domain or domain that requests that DMARC receivers send you statistics about messages that they see using that domain. En ”monitoring-mode”-post är en DMARC TXT-post som har sin princip inställd på ingen (p=none).A monitoring-mode record is a DMARC TXT record that has its policy set to none (p=none). Många företag publicerar en DMARC TXT-post med p=none eftersom de är osäkra på hur mycket e-post de kan förlora genom att publicera en mer restriktiv DMARC-princip.Many companies publish a DMARC TXT record with p=none because they are unsure about how much email they may lose by publishing a more restrictive DMARC policy.

    Du kan göra detta även innan du har implementerat SPF eller DKIM i meddelandeinfrastrukturen.You can do this even before you've implemented SPF or DKIM in your messaging infrastructure. Men du kan inte på ett effektivt sätt sätta e-post i karantän eller avvisa den med DMARC tills du också implementerar SPF och DKIM.However, you won't be able to effectively quarantine or reject mail by using DMARC until you also implement SPF and DKIM. När du inför SPF och DKIM ger rapporterna som genererats genom DMARC siffrorna och källorna för meddelanden som godkänns i dessa kontroller och sådana som inte godkänns.As you introduce SPF and DKIM, the reports generated through DMARC will provide the numbers and sources of messages that pass these checks, and those that don't. Du kan enkelt se hur mycket av din legitima trafik som täcks eller inte täcks av dem, och felsöka problem.You can easily see how much of your legitimate traffic is or isn't covered by them, and troubleshoot any problems. Du börjar också se hur många falska meddelanden som skickas, och varifrån.You'll also begin to see how many fraudulent messages are being sent, and from where.

  2. Begära att externa e-postsystem placerar e-post i karantän som inte klarar DMARCRequest that external mail systems quarantine mail that fails DMARC

    När du tror att all eller det mesta av din legitima trafik skyddas av SPF och DKIM, och du förstår effekten med att implementera DMARC, kan du implementera en karantänprincip.When you believe that all or most of your legitimate traffic is protected by SPF and DKIM, and you understand the impact of implementing DMARC, you can implement a quarantine policy. En karantänprincip är en DMARC TXT-post som har principen inställd på karantän (p=quarantine).A quarantine policy is a DMARC TXT record that has its policy set to quarantine (p=quarantine). Genom att göra detta uppmanar du DMARC-mottagare att placera meddelanden från din domän som inte klarar DMARC i den lokala motsvarigheten till en skräppostmapp istället för kundernas inkorgar.By doing this, you are asking DMARC receivers to put messages from your domain that fail DMARC into the local equivalent of a spam folder instead of your customers' inboxes.

  3. Begära att externa e-postsystem inte accepterar meddelanden som inte klarar DMARCRequest that external mail systems not accept messages that fail DMARC

    Det sista steget är att implementera en avvisningsprincip.The final step is implementing a reject policy. En avvisningsprincip är en DMARC TXT-post som har principen inställd på avvisa (p=reject).A reject policy is a DMARC TXT record that has its policy set to reject (p=reject). När du gör det här uppmanar du DMARC-mottagare att inte acceptera meddelanden som inte klarar DMARC-kontrollerna.When you do this, you're asking DMARC receivers not to accept messages that fail the DMARC checks.

  4. Hur ställer du in DMARC för underdomän?How to setup DMARC for subdomain?

DMARC implementeras genom att publicera en policy som en TXT-post i DNS och är hierarkisk (t.ex. en policy publicerad för contoso.com kommer att tillämpas på sub.domain.contonos.com om inte en annan policy definieras uttryckligen för underdomänet).DMARC is implemented by publishing a policy as a TXT record in DNS and is hierarchical (e.g. a policy published for contoso.com will apply to sub.domain.contonos.com unless a different policy is explicitly defined for the subdomain). Detta är användbart eftersom organisationer kanske kan specificera ett mindre antal DMARC-poster på hög nivå för bredare täckning.This is useful as organizations may be able to specify a smaller number of high level DMARC records for wider coverage. Man bör vara noga med att konfigurera explicita underdomän DMARC-poster där du inte vill att underdomänerna ska ärva topp nivå domänens DMARC-post.Care should be taken to configure explicit subdomain DMARC records where you do not want the subdomains to inherit the top level domain's DMARC record.

Du kan också lägga till en policy wildcard-typ för DMARC när domäner inte bör skicka e-post, genom att lägga till sp=reject värdet.Also, you can add a wildcard-type policy for DMARC when subdomains shouldn't be sending email, by adding the sp=reject value. Till exempel:For example:

_dmarc.contoso.com. TXT "v=DMARC1; p=reject; sp=reject; ruf=mailto:authfail@contoso.com; rua=mailto:aggrep@contoso.com"

Så hanterar Microsoft 365 utgående e-post som inte klarar DMARCHow Microsoft 365 handles outbound email that fails DMARC

Om ett meddelande är utgående från Microsoft 365 och inte klarar DMARC, och du har ställt in principen på p=quarantine eller p=reject, dirigeras meddelandet genom Pool med hög riskleverans för utgående meddelanden.If a message is outbound from Microsoft 365 and fails DMARC, and you have set the policy to p=quarantine or p=reject, the message is routed through the High-risk delivery pool for outbound messages. Det finns ingen åsidosättning för utgående e-post.There is no override for outbound email.

Om du publicerar en DMARC-avvisningsprincip (p=reject) kan ingen annan kund i Microsoft 365 förfalska din domän eftersom meddelanden inte kan godkännas i SPF- eller DKIM-kontroller för din domän vid vidarebefordran av ett meddelande utgående via tjänsten.If you publish a DMARC reject policy (p=reject), no other customer in Microsoft 365 can spoof your domain because messages will not be able to pass SPF or DKIM for your domain when relaying a message outbound through the service. Men om du publicerar en DMARC-avvisningsprincip men inte har all din e-post som autentiseras via Microsoft 365 kan en del av den markeras som skräppost för inkommande e-post (enligt beskrivningen ovan), eller så avvisas den om du inte publicerar SPF och försöker vidarebefordra den utgående genom tjänsten.However, if you do publish a DMARC reject policy but don't have all of your email authenticated through Microsoft 365, some of it may be marked as spam for inbound email (as described above), or it will be rejected if you do not publish SPF and try to relay it outbound through the service. Det sker, till exempel, om du glömmer att ta med några av IP-adresserna för servrar och appar som skickar e-post för din domän när du skapar din DMARC TXT-post.This happens, for example, if you forget to include some of the IP addresses for servers and apps that send mail on behalf of your domain when you form your DMARC TXT record.

Så hanterar Microsoft 365 inkommande e-post som inte klarar DMARCHow Microsoft 365 handles inbound email that fails DMARC

Om DMARC-principen för den sändande servern är p=reject, markerar Exchange Online Protection (EOP) meddelandet som falska istället för att avvisa det.If the DMARC policy of the sending server is p=reject, Exchange Online Protection (EOP) marks the message as spoof instead of rejecting it. Med andra ord hanterar Microsoft 365p=reject och p=quarantine på samma sätt för inkommande e-post.In other words, for inbound email, Microsoft 365 treats p=reject and p=quarantine the same way. Administratörer kan ange vilken åtgärd som ska utföras på meddelanden som klassificeras som falska i principen för skydd mot nätfiske.Admins can define the action to take on messages classified as spoof within the anti-phishing policy.

Microsoft 365 är konfigurerat så här eftersom viss legitim e-post kanske inte klarar DMARC.Microsoft 365 is configured like this because some legitimate email may fail DMARC. Ett meddelande kan till exempel misslyckas i DMARC om det skickas till en distributionslista som sedan vidarebefordrar meddelandet till alla listdeltagare.For example, a message might fail DMARC if it is sent to a mailing list that then relays the message to all list participants. Om Microsoft 365 har avvisat dessa meddelanden kan användare förlora legitim e-post och har inget sätt att hämta den.If Microsoft 365 rejected these messages, people could lose legitimate email and have no way to retrieve it. Istället så underkänns meddelandena fortfarande i DMARC men markeras som skräppost och avvisas inte.Instead, these messages will still fail DMARC but they will be marked as spam and not rejected. Om de vill kan användarna fortfarande så dessa meddelanden i Inkorgen genom följande metoder:If desired, users can still get these messages in their inbox through these methods:

  • Användare lägger till betrodda avsändare individuellt med hjälp av sina e-postklienter.Users add safe senders individually by using their email client.

  • Administratörer kan uppdatera rapporteringen av förfalskningsinformation för att tillåta förfalskningen.Administrators can update the Spoof Intelligence reporting to allow the spoof.

  • Administratörer skapar en Exchange-e-postflödesregel (även kallad transportregel) för alla användare som tillåter meddelanden för dessa särskilda avsändare.Administrators create an Exchange mail flow rule (also known as a transport rule) for all users that allows messages for those particular senders.

Mer information finns i Skapa listor över betrodda avsändare.For more information, see Create safe sender lists.

Så använder Microsoft 365 ARC (Authenticated Received Chain)How Microsoft 365 utilizes Authenticated Received Chain (ARC)

Alla värdbaserade postlådor i Microsoft 365 får du fördelen med ARC med leveransförbättringar för meddelanden och förbättrat förfalskningsskydd.All hosted mailboxes in Microsoft 365 will now gain the benefit of ARC with improved deliverability of messages and enhanced anti-spoofing protection. ARC bevarar resultat av e-postautentisering från alla deltagande mellanhänder, eller hopp, när ett e-postmeddelande dirigeras från ursprungsservern till mottagarpostlådan.ARC preserves the email authentication results from all participating intermediaries, or hops, when an email is routed from the originating server to the recipient mailbox. Innan ARC kan modifiering som utförs av mellanhänder i e-postdirigering, som regler för vidarebefordran eller automatiska signaturer, orsaka DMARC-fel när e-postmeddelandet har nått mottagarpostlådan.Before ARC, modifications performed by intermediaries in email routing, like forwarding rules or automatic signatures, could cause DMARC failures by the time the email reached the recipient mailbox. Med ARC tillåter det kryptografiska bevarandet av autentiseringsresultat Microsoft 365 att verifiera autenticiteten för avsändaren av ett e-postmeddelande.With ARC, the cryptographic preservation of the authentication results allows Microsoft 365 to verify the authenticity of an email's sender.

Microsoft 365 använder för närvarande ARC för att verifiera autentiseringsresultat när Microsoft är ARC-förseglare men planerar att lägga till support för ARC-förseglare från tredje part i framtiden.Microsoft 365 currently utilizes ARC to verify authentication results when Microsoft is the ARC Sealer, but plan to add support for third party ARC sealers in the future.

Felsöka din DMARC-implementeringTroubleshooting your DMARC implementation

Om du har konfigurerat din domäns MX-poster där EOP inte är den första posten tillämpas inte DMARC-fel för domänen.If you have configured your domain's MX records where EOP is not the first entry, DMARC failures will not be enforced for your domain.

Om du är kund pekar din domäns primära MX-post inte på EOP får du inte fördelarna med DMARC.If you're a customer, and your domain's primary MX record does not point to EOP, you will not get the benefits of DMARC. DMARC fungerar till exempel inte om du pekar MX-posten på din lokala e-postserver och dirigerar sedan e-post till EOP med hjälp av ett anslutningsprogram.For example, DMARC won't work if you point the MX record to your on-premises mail server and then route email to EOP by using a connector. I det här scenariot är den mottagande domänen en av dina godkända domäner men EOP inte är primär MX.In this scenario, the receiving domain is one of your Accepted-Domains but EOP is not the primary MX. Anta till exempel att contoso.com pekar MX mot sig själv och använder EOP som en sekundär MX-post, så ser MX-posten för contoso.com ut så här:For example, suppose contoso.com points its MX at itself and uses EOP as a secondary MX record, contoso.com's MX record looks like the following:

contoso.com     3600   IN  MX  0  mail.contoso.com
contoso.com     3600   IN  MX  10 contoso-com.mail.protection.outlook.com

Alla, eller de flesta, e-postmeddelanden dirigeras först till mail.contoso.com eftersom det är den primära MX-posten och sedan dirigeras e-post till EOP.All, or most, email will first be routed to mail.contoso.com since it's the primary MX, and then mail will get routed to EOP. I vissa fall kanske du inte listar EOP som en MX-post alls och använder bara anslutningsprogram för att dirigera e-post.In some cases, you might not even list EOP as an MX record at all and simply hook up connectors to route your email. EOP måste inte vara den första posten för att DMARC-validering ska göras.EOP does not have to be the first entry for DMARC validation to be done. Den säkerställer bara valideringen, eftersom vi inte kan vara säkra på att alla lokala servrar/icke-O365-servrar kommer att göra DMARC-kontroller.It just ensures the validation, as we cannot be certain that all on-premise/non-O365 servers will do DMARC checks. DMARC kan tillämpas för en kunds domän (inte server) när du konfigurerar DMARC TXT-posten men det är upp till den mottagande servern att faktiskt göra tillämpningen.DMARC is eligible to be enforced for a customer's domain (not server) when you set up the DMARC TXT record, but it is up to the receiving server to actually do the enforcement. Om du konfigurerar EOP som mottagande server gör EOP DMARC-tillämpningen.If you set up EOP as the receiving server, then EOP does the DMARC enforcement.

En felsökningsbild för DMARC, av Daniel Mande

Mer informationFor more information

Vill du ha mer information om DMARC?Want more information about DMARC? De här resurserna kan hjälpa dig.These resources can help.

Se ävenSee also

Så använder Microsoft 365 SPF (Sender Policy Framework) för att förhindra förfalskningHow Microsoft 365 uses Sender Policy Framework (SPF) to prevent spoofing

Konfigurera SPF i Microsoft 365 för att förhindra förfalskningSet up SPF in Microsoft 365 to help prevent spoofing

Använd DKIM för att validera utgående e-post som skickas från din egna domän i Microsoft 365Use DKIM to validate outbound email sent from your custom domain in Microsoft 365