Как Office 365 използва рамката за политика на подателя (SPF), за да предотврати измама,
Резюме. Тази статия описва как Office 365 използва TXT записа на рамката на правилата за изпращача (SPF) в DNS, за да гарантира, че съобщенията, изпратени от вашия персонализиран домейн, се доверяват от целевите имейл системи. Това се отнася за изходяща поща, изпратена от Office 365. Съобщенията, изпратени от Office 365 до получател в Office 365, винаги преминават SPF проверка.Резюме: Тази статия описва как Office 365 използва TXT записа на рамката за правилата на подателя (SPF) в DNS, за да гарантира, че имейл системите на местоназначението се доверяват на съобщенията, изпратени от вашия персонализиран домейн. Това се отнася за изходяща поща, изпратена от Office 365. Съобщенията, изпратени от Office 365 до получател в рамките на Office 365, винаги ще преминават SPF.
Преди това, ако сте използвали и SharePoint Online, ще трябва да добавите друг SPF TXT запис към вашия персонализиран домейн. Преди това трябваше да добавите различен SPF TXT запис към вашия персонализиран домейн, ако сте използвали и SharePoint Online. Това вече не е необходимо. Това вече не е необходимо. Тази промяна е необходима, за да се гарантира, че известията на SharePoint Online не се озовават в папката за нежелана поща. Тази промяна трябва да намали риска уведомителните съобщения на SharePoint Online да завършат в папката за нежелана поща. Не е необходимо да правите промени веднага, но ако получите съобщение за твърде много търсения, променете SPF TXT записа, както е описано в Настройване на SPF в Office 365, за да предотвратите подправяне. Не е необходимо да правите промени веднага, но ако получите грешката „твърде много търсения“, променете своя SPF TXT запис, както е описано в Настройка на SPF в Office365, за да помогнете за предотвратяване на измама.
Как SPF работи за предотвратяване на спуфинг и фишинг в Office 365 Как SPF работи за предотвратяване на спуфинг и фишинг в Office 365
Рамката на политиката на изпращача определя дали подателят има право да изпраща съобщения от името на домейн. Ако на подателя бъде отказано това, т.е. съобщението не премине проверките на рамката на правилата на подателя на сървъра на получателя, тогава политиката за нежелана поща, конфигурирана на този сървър, определя как се третира съобщението. SPF определя дали подателят има право да изпраща от името на домейн. Ако на подателя не е разрешено да го направи, т.е. ако имейлът не премине SPF проверката на получаващия сървър, политиката за спам, конфигурирана на този сървър, определя какво да се прави със съобщението.
Разгледайте основния синтаксис за SPF правило:
Например, да кажем, че съществува следното SPF правило за contoso.com:
Тежка повреда. Знакът „тежка повреда“ се добавя към плика на съобщението и след това политиката за спам, конфигурирана на сървъра за този тип съобщение, се спазва.Труден отказ. Маркирайте съобщението с „труден отказ“ в плика на съобщението и след това следвайте конфигурираната политика за спам на получаващия сървър за този тип съобщения.
Лека повреда. Към плика на съобщението се добавя знак „мека повреда“. Обикновено пощенските сървъри са конфигурирани така или иначе да доставят такива съобщения. Този знак не се вижда от повечето потребители.Мек отказ. Маркирайте съобщението с „мек отказ“ в плика на съобщението. Обикновено имейлсървърите са конфигурирани така или иначе да доставят тези съобщения. Повечето крайни потребители не виждат този знак.
Неутрално. Не се предприемат действия, т.е. не се добавят знаци към плика на съобщението. Това правило обикновено е запазено за тестови цели и рядко се използва.Неутрално. Не правете нищо, тоест не маркирайте плика на съобщението. Това обикновено е запазено за тестови цели и се използва рядко.
Следващите примери показват как работи рамката на политиката на изпращача в различни ситуации. В тези примери contoso.com е подателят, а woodgrovebank.com е получателят. Следните примери показват как SPF работи в различни ситуации. В тези примери contoso.com е подателят, а woodgrovebank.com е получателят.
Пример 1: Удостоверяване на имейл на съобщение, изпратено директно от подател до получател
SPF работи най-добре, когато пътят от изпращача до получателя е директен, например:
Да предположим, че фишър намери начин да подмени contoso.com:
Пример 3: SPF и препратени съобщения
Основният недостатък на Sender Policy Framework е, че не работи с препратени съобщения. Да приемем, че потребител в домейна woodgrovebank.com е конфигурирал правило за препращане, което изпраща всички съобщения до акаунт в outlook.com: Един недостатък на SPF е, че не работи, когато имейл е препратен.Да предположим например, че потребителят на woodgrovebank.com е задал правило за препращане, за да изпраща всички имейли до акаунт в outlook.com:
Основи на SPF: Включително домейни на трети страни, които могат да изпращат поща от името на вашия домейн
Изисквания за вашия SPF TXT запис и Office 365
Създайте SPF TXT запис за Office 365 Формирайте своя SPF TXT запис за Office 365
Използвайте информацията за синтаксиса, предоставена в тази статия, за да създадете SPF TXT запис за потребителски домейн. Тук са описани най-често използваните синтаксиси, но има и други. След като записът бъде създаден, трябва да го актуализирате с вашия регистратор на имена на домейни. Използвайте информацията за синтаксиса в тази статия, за да формирате SPF TXT записа за вашия потребителски домейн. Въпреки че има други синтактични опции, които не са споменати тук, това са най-често използваните опции. След като сте формирали своя запис, трябва да актуализирате записа при вашия регистратор на домейни.
За информация относно домейните, които трябва да активирате за Office 365, вижте Външни DNS записи за Office 365. Следвайте ръководството стъпка по стъпка, за да актуализирате записите на Sender Policy Framework (TXT) за вашия регистратор на име на домейн. Ако вашият регистратор не е в списъка, ще трябва да се свържете с него лично, за да разберете как да актуализирате записа си. За информация относно домейните, които ще трябва да включите за Office 365, вижте Външни DNS записи, необходими за SPF. Използвайте инструкциите стъпка по стъпка за актуализиране на SPF (TXT) записи за вашия регистратор на домейни. Ако вашият регистратор не е в списъка, ще го направитетрябва да се свържете с тях отделно, за да научите как да актуализирате записа си.
Синтаксис на SPF TXT запис за Office 365
Типичен SPF TXT запис за Office 365 има следния синтаксис:
Например:
v=spf1 задължителен параметър. Той определя типа запис като SPF TXT. Изисква сеv=spf1. Това определя TXT записа като SPF TXT запис.
име на домейн е домейнът, който искате да добавите като безопасен подател. За списък с имена на домейни, които да включите за Office 365, вижте Външни DNS записи за Office 365. Името на домейн е домейнът, който искате да добавите като законен подател. За списък с имена на домейни, които трябва да включите за Office 365, вижте Външни DNS записи, необходими за SPF.
Обикновено се използва едно от следните правила за прилагане. Правилото за прилагане обикновено е едно от следните:
всички (мека повреда). Освен това, ако използвате DMARC с p=карантина или p=отхвърляне, можете да използвате квалификатора
всичко. В противен случай използвайте квалификатора -all. Показва мек отказ. Ако не сте сигурни, че имате пълния списък с IP адреси, тогава трябва да използвате
квалификатор за всички (мек отказ). Освен това, ако използвате DMARC с p=quarantine или p=reject, тогава можете да използвате
всичко. В противен случай използвайте -all.
Пример. SPF TXT запис, който да използвате, когато цялата ви поща се изпраща от Office 365 Пример: SPF TXT запис, който да използвате, когато цялата ви поща се изпраща от Office 365
Пример. SPF TXT запис за хибриден сценарий с един локален Exchange Server и Office 365 Пример: SPF TXT запис за хибриден сценарий с един локаленпомещения Exchange Server и Office 365
Пример. Пример: SPF TXT запис за множество изходящи локални пощенски сървъри и Office 365
Следващи стъпки: Настройте SPF за Office 365
След като създадете SPF TXT запис, добавете го към вашия домейн, като следвате стъпките в Настройване на SPF в Office 365, за да предотвратите подправяне. След като сте формулирали своя SPF TXT запис, следвайте стъпките в Настройване на SPF в Office 365, за да помогнете за предотвратяване на подправяне, за да го добавите към вашия домейн.
Въпреки че рамката на политиката на изпращача е проектирана да предотвратява фалшифициране, има някои техники, които могат да се използват за нейното заобикаляне. За да се предпазите от подобни атаки, след като завършите конфигурирането на рамката на правилата за изпращача, трябва също да конфигурирате DKIM и DMARC за Office 365. За да започнете, вижте Валидиране на изходящ имейл, изпратен от потребителски домейн в Office 365 с помощта на DKIM. За по-нататъшни стъпки вижте Използване на DMARC за валидиране на имейл в Office 365. Въпреки че SPF е предназначен да помага за предотвратяване на подправяне, има техники за подправяне, срещу които SPF не може да защити. За да се предпазите от тях, след като сте настроили SPF, трябва също да конфигурирате DKIM и DMARC за Office 365.
Отстраняване на неизправности: Най-добри практики за SPF в Office 365
За потребителски домейн може да бъде създаден само един записSPF TXT. Създаването на множество записи води до кръгова ситуация и повреда на инфраструктурата на правилата за подател. За да избегнете това, можете да създадете отделни записи за всеки поддомейн. Например създайте един запис за домейна contoso.com и друг запис за поддомейна bulkmail.contoso.com. Можете да създадете само един SPF TXT запис за вашия персонализиран домейн. Създаването на множество записи води до ситуация на кръгов режим и SPF ще се провали. За да избегнете това, можете да създадете отделни записи за всеки поддомейн. Например създайте един запис за contoso.com и друг запис за bulkmail.contoso.com.
Максималният брой скокове за съобщение е надвишен. Съобщението надхвърли броя на скокове.
Съобщението отне твърде много заявки. Съобщението изисква твърде много търсения.
Избягване на грешката „твърде много търсения“, когато използвате домейни на трети страни с Office 365
Някои SPF TXT записи за домейни на трети страни инструктират сървъра на получателя да извърши голям брой DNS заявки. Например, към момента на писане, записът на домейн Salesforce.com съдържа 5 инструкции за включване: Някои SPF TXT записи за домейни на трети страни насочват получаващия сървър да извърши голям брой DNS търсения. Например, към момента на писане на това съобщение, Salesforce.com съдържа 5 изявления за включване в своя запис:
За да избегнете грешката, можете да приложите политика, според която (например) всеки трябва да използва специален поддомейн за изпращане на групови имейли. След това можете да настроите отделен SPF TXT запис за поддомейна, който включва групови имейли. За да избегнете грешката, можете да приложите политика, при която всеки, който изпраща групови имейли, например, трябва да го направиизползвайте поддомейн специално за тази цел. След това дефинирате различен SPF TXT запис за поддомейна, който включва масовия имейл.
Когато включвате домейни на трети страни в SPF TXT запис, трябва да се съгласите с доставчика трета страна кой домейн или поддомейн да използвате, за да изпълните ограничението от 10 заявки. Когато включите домейни на трети страни във вашия SPF TXT запис, трябва да потвърдите с третата страна кой домейн или поддомейн да използвате, за да избегнете навлизането в ограничението от 10 търсения.
За повече информация
Нуждаете се от помощ при добавяне на TXT запис на Sender Policy Framework? Налични са инструкции стъпка по стъпка за актуализиране на такива записи на уебсайтовете на различни популярни регистратори на имена на домейни. Заглавките на съобщенията против нежелана поща включват синтаксис и полета за заглавки, които Office 365 използва за проверки с рамката на правилата за изпращача. Нуждаете се от помощ за добавяне на SPF TXT запис? Налични са инструкции стъпка по стъпка за актуализиране на SPF (TXT) записи при различни популярни регистратори на домейни. Заглавките на съобщенията против нежелана поща включват полетата за синтаксис и заглавки, използвани от Office 365 за SPF проверки.