Настройка инфраструктуры политики отправителей в Office 365 для предотвращения спуфинга

Exchange Online
 

Применимо к:Exchange Online, Exchange Online Protection

Последнее изменение раздела:2016-11-17

Сводка. В этой статье описано, как обновить запись DNS, чтобы использовать инфраструктуру политики отправителей (SPF) с личным доменом в Office 365. С помощью инфраструктуры политики отправителей можно проверять почту, отправляемую из личного домена.

Чтобы использовать личный домен в Office 365, в запись DNS необходимо добавить запись SPF TXT для предотвращения спуфинга. Инфраструктура политики отправителей определяет, каким почтовым серверам разрешается отправлять сообщения от вашего имени. Инфраструктура политики отправителей, а также DKIM, DMARC и другие технологии, поддерживаемые Office 365, помогают предотвратить спуфинг и фишинг. Инфраструктура политики отправителей добавляется в виде записи TXT, которую служба DNS использует, чтобы определить, какие почтовые серверы могут отправлять сообщения от имени вашего личного домена. Почтовые системы получателей могут просматривать записи SPF TXT, чтобы определить, было ли сообщение из вашего личного домена отправлено с уполномоченного сервера обмена сообщениями.

Допустим, ваш личный домен contoso.com использует Office 365. Мы добавим запись SPF TXT, в которой перечислены серверы обмена сообщениями Office 365, разрешенные для домена. Когда сервер получателя получает сообщение от joe@contoso.com, сервер находит запись SPF TXT для домена contoso.com и определяет, является ли сообщение допустимым. Если сервер получателя определит, что сообщение отправлено с сервера, не указанного в списке серверов обмена сообщениями Office 365 в записи SPF, то сервер получателя может отклонить сообщение как спам.

Кроме того, если на вашем личном домене отсутствует запись SPF TXT, некоторые серверы получателей могут сразу отклонить сообщение. Это вызвано тем, что сервер получателя не может проверить, отправлено ли сообщение с уполномоченного сервера обмена сообщениями.

Если для Office 365 уже настроена почта, то серверы обмена сообщениями Майкрософт уже включены в службу DNS в виде записи SPF TXT. Но в некоторых случаях может потребоваться обновить запись SPF TXT в службе DNS. Например:

  • Раньше, если вы использовали SharePoint Online, в личный домен нужно было добавить другую запись SPF TXT. Этого больше не требуется. Это изменение необходимо для того, чтобы уведомления SharePoint Online не попадали в папку нежелательной почты. Обновите запись SPF TXT, если достигнут предел в 10 запросов и возникают ошибки с сообщениями вроде "превышен предел запросов" и "слишком много прыжков".

  • Используется гибридная среда с Office 365 и локальной службой Exchange.

  • Вы планируете настроить DKIM и DMARC (рекомендуется).

Прежде чем обновлять запись TXT в службе DNS, необходимо собрать некоторые сведения и определить формат записи. Это поможет избежать ошибок DNS. Расширенные примеры и подробное обсуждение поддерживаемых команд для инфраструктуры политики отправителей см. в разделе Как инфраструктура политики отправителей помогает предотвратить спуфинг и фишинг в Office 365.

Подготовьте указанные ниже данные.

  • Текущая запись SPF TXT для личного домена. Сведения о том, как это сделать, см. в статье Сбор необходимых сведений для создания записей DNS в Office 365.

  • IP-адреса всех локальных серверов обмена сообщениями. Пример: 192.168.0.1.

  • Доменные имена, используемые для всех сторонних доменов, которые требуется включить в запись SPF TXT. Некоторые поставщики массовых рассылок настраивают поддомены для своих клиентов. Например, компания MailChimp создала поддомен servers.mcsv.net.

  • Определите, какое правило принудительного применения следует использовать для записи SPF TXT. Рекомендуется использовать правило -all. Подробные сведения о других вариантах команд см. в разделе Синтаксис записи SPF TXT для Office 365.

Добавление и обновление записи типа TXT инфраструктуры политики отправителей
  1. Создайте запись типа TXT инфраструктуры политики отправителей (если вы еще не сделали этого) с помощью команд из указанной ниже таблицы.

     

    Используемая система Распространенность среди пользователей Office 365 Добавляемый параметр

    1

    Любая почтовая система (обязательно)

    Распространенная. Все записи SPF TXT начинаются с этого значения

    v=spf1

    2

    Exchange Online

    Распространенная

    include:spf.protection.outlook.com

    3

    Только для Exchange Online

    Нераспространенная

    ip4:23.103.224.0/19 ip4:206.191.224.0/19 ip4:40.103.0.0/16 include:spf.protection.outlook.com

    4

    Office 365 Germany, только Microsoft Cloud Germany

    Нераспространенная

    include:spf.protection.outlook.de

    5

    Сторонняя почтовая система

    Нераспространенная

    include:<доменное имя>,

    где <доменное имя> — это доменное имя сторонней почтовой системы.

    6

    Локальная почтовая система, например Exchange Online Protection с другой почтовой системой

    Нераспространенная

    Используйте один из следующих параметров для каждой дополнительной почтовой системы:

    • ip4:<IP address>

    • ip6:<IP address>

    • include:<domain name>

    где значение <IP address> — это IP-адрес другой почтовой системы, а <domain name> — доменное имя другой почтовой системы, которая отправляет сообщения от имени вашего домена.

    7

    Любая почтовая система (обязательно)

    Распространенная. Все записи SPF TXT заканчиваются этим значением

    <enforcement rule>

    Это может быть одно из нескольких значений. Рекомендуем использовать значение -all.

    Например, если ваша организация целиком размещена в Office 365 (то есть у вас нет локальных почтовых серверов), то в запись SPF TXT будут включены строки 1, 2 и 7, и она будет выглядеть следующим образом:

     v=spf1 include:spf.protection.outlook.com -all
    

    Это одна из самых распространенных записей SPF TXT для Office 365. Эта запись подходит практически для всех, независимо от того, где находится ваш центр данных Office 365 — в США, Европе (в том числе, в Германии) или другом месте.

    Но если вы приобрели Office 365 Germany в составе Microsoft Cloud Germany, следует использовать оператор include из строки 4, а не из строки 2. Например, если ваша организация целиком размещена в Office 365 Germany (то есть у вас нет локальных почтовых серверов), то в запись SPF TXT будут включены строки 1, 4 и 7, и она будет выглядеть следующим образом:

     v=spf1 include:spf.protection.outlook.de -all
    

    При переходе с Office 365 на Office 365 Germany необходимо обновить запись SPF TXT для личного домена. Для этого измените include:spf.protection.outlook.com на include.spf.protection.outlook.de.

  2. Создав запись SPF TXT, вам необходимо будет обновить ее в службе DNS. Для домена можно создать только одну запись SPF TXT. Поэтому если такая запись существует, то вместо того чтобы добавлять новую запись, следует обновить существующую. Откройте статью Создание записей DNS для Office 365 при самостоятельном управлении записями DNS, а затем перейдите по ссылке, соответствующей вашему поставщику DNS. (Если ваш поставщик DNS не указан на этой странице, вы можете выполнить общие инструкции по добавлению записей или обратиться за помощью к поставщику DNS.)

  3. Проверьте запись SPF TXT, используя один из этих инструментов.

Расширенные примеры, подробное обсуждение поддерживаемого синтаксиса для инфраструктуры политики отправителей и сведения о спуфинге, устранении неполадок и о том, как Office 365 поддерживает инфраструктуру политики отправителей, см. в разделе Как инфраструктура политики отправителей помогает предотвратить спуфинг и фишинг в Office 365.

Возникли проблемы с записью типа TXT инфраструктуры политики отправителей? Прочитайте статью Устранение неполадок: рекомендации по инфраструктуре политики отправителей в Office 365.

Несмотря на то что инфраструктура политики отправителей разработана для предотвращения спуфинга, существует ряд методик, позволяющих обойти ее. Чтобы защититься от таких атак, по завершении настройки инфраструктуры политики отправителей необходимо настроить DKIM и DMARC для Office 365. Соответствующие инструкции по началу работы см. в статье Проверка исходящей электронной почты, отправляемой с личного домена в Office 365, с помощью DKIM. Дальнейшие действия см. в статье Использование протокола DMARC для проверки электронной почты в Office 365.

 
Показ: