Настройка SPF для определения допустимых источников электронной почты для домена Microsoft 365

Совет

Знаете ли вы, что можете бесплатно опробовать функции XDR в Microsoft Defender для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и использовать условия пробной версии, см. в статье Пробная версия Microsoft Defender для Office 365.

Платформа политики отправителей (SPF) — это метод проверки подлинности электронной почты , который помогает проверить почту, отправленную из организации Microsoft 365, чтобы предотвратить поддельные отправители, которые используются при компрометации деловой электронной почты (BEC), программах-шантажистах и других фишинговых атаках.

Основное назначение SPF — проверка источников электронной почты для домена. В частности, SPF использует запись TXT в DNS для определения допустимых источников почты для домена. Системы получения электронной почты используют запись SPF TXT, чтобы убедиться, что сообщение электронной почты с адреса отправителя, используемого во время передачи сообщения SMTP (известного как адрес 5321.MailFrom ПОЧТЫ, адрес, отправитель P1 или отправитель конверта), получено от известного, указанного источника почты для этого домена.

Например, если домен электронной почты в Microsoft 365 является contoso.com, создайте запись SPF TXT в DNS для домена contoso.com, чтобы определить Microsoft 365 как авторизованный источник почты от contoso.com. Конечные почтовые системы проверяют запись SPF TXT в contoso.com, чтобы определить, пришло ли сообщение из авторизованного источника для contoso.com электронной почты.

Прежде чем приступить к работе, ознакомьтесь с тем, что необходимо знать о SPF в Microsoft 365 на основе домена электронной почты:

  • Если для электронной почты используется только домен Microsoft Online Email Routing Address (MOERA) (например, contoso.onmicrosoft.com), вам ничего не нужно делать. Запись SPF TXT уже настроена. Корпорация Майкрософт владеет доменом onmicrosoft.com, поэтому мы отвечаем за создание и обслуживание записей DNS в этом домене и поддоменах. Дополнительные сведения о доменах *.onmicrosoft.com см. в разделе Почему у меня есть домен onmicrosoft.com?.

  • Если вы используете один или несколько личных доменов для электронной почты (например, contoso.com): процесс регистрации Microsoft 365 уже требует создания или изменения записи SPF TXT в DNS для личного домена, чтобы определить Microsoft 365 в качестве авторизованного источника почты. Но для максимальной защиты электронной почты вам еще предстоит выполнить больше работы:

    • Рекомендации по поддомену:

      • Для служб электронной почты, которые не контролируются напрямую (например, служб массовой электронной почты), рекомендуется использовать поддомен (например, marketing.contoso.com) вместо основного домена электронной почты (например, contoso.com). Вы не хотите, чтобы проблемы с почтой, отправленной из этих служб электронной почты, влияли на репутацию почты, отправленной сотрудниками в вашем основном домене электронной почты. Дополнительные сведения о добавлении поддоменов см. в статье Добавление пользовательских поддоменов или нескольких доменов в Microsoft 365?

      • Для каждого поддомена, используемого для отправки электронной почты из Microsoft 365, требуется собственная запись SPF TXT. Например, запись SPF TXT для contoso.com не охватывает marketing.contoso.com; marketing.contoso.com требуется собственная запись SPF TXT.

        Совет

        Защита проверки подлинности электронной почты для неопределенных поддоменов охватывается DMARC. Все поддомены (определенные или нет) наследуют параметры DMARC родительского домена (которые можно переопределить на поддомен). Дополнительные сведения см. в статье Настройка DMARC для проверки домена из адреса для отправителей в Microsoft 365.

    • Если вы являетесь владельцем зарегистрированных, но неиспользуемых доменов. Если у вас есть зарегистрированные домены, которые не используются для электронной почты или вообще (также известные как припаркованные домены), настройте записи SPF TXT, чтобы указать, что ни один адрес электронной почты не должен поступать из этих доменов, как описано далее в этой статье.

  • Одного SPF недостаточно. Чтобы обеспечить наилучший уровень защиты электронной почты для личных доменов, необходимо также настроить DKIM и DMARC в рамках общей стратегии проверки подлинности электронной почты . Дополнительные сведения см. в разделе Дальнейшие действия в конце этой статьи.

    Важно!

    В сложных организациях, где трудно определить все допустимые источники почты для домена, важно быстро настроить подписывание DKIM и DMARC (в режиме "не предпринимать никаких действий") для домена. Служба отчетов DMARC очень полезна для определения источников электронной почты и сбоев SPF для домена.

В оставшейся части этой статьи описываются записи SPF TXT, которые необходимо создать для личных доменов в Microsoft 365.

Совет

В Microsoft 365 нет порталов администрирования или командлетов PowerShell для управления записями SPF в вашем домене. Вместо этого вы создаете запись SPF TXT в регистраторе доменных имен или в службе размещения DNS (часто в той же компании).

Мы предоставляем инструкции по созданию записи TXT для подтверждения владения доменом для Microsoft 365 у многих регистраторов доменов. Эти инструкции можно использовать в качестве отправной точки для создания значения записи SPF TXT. Дополнительные сведения см. в разделе Добавление записей DNS для подключения к домену.

Если вы не знакомы с конфигурацией DNS, обратитесь к регистратору доменных имен и попросите о помощи.

Синтаксис для записей SPF TXT

Записи SPF TXT подробно описаны в RFC 7208.

Основной синтаксис записи SPF TX для личного домена в Microsoft 365:

v=spf1 <valid mail sources> <enforcement rule>

Или:

v=spf1 [<ip4>|<ip6>:<PublicIPAddress1> <ip4>|<ip6>:<PublicIPAddress2>... <ip4>|<ip6>:<PublicIPAddressN>] [include:<DomainName1> include:<DomainName1>... include:<DomainNameN>] <-all | ~all>

Например:

v=spf1 ip4:192.168.0.10 ip4:192.168.0.12 include:spf.protection.outlook.com -all
  • v=spf1 идентифицирует запись TXT как запись ТИПА TXT SPF.

  • Допустимые источники почты: указаны допустимые источники почты для домена. Использует домены, IP-адреса или и то, и другое:

    • Домены: include: значения указывают другие службы или домены в качестве допустимых источников почты из исходного домена. Эти значения в конечном итоге приводят к IP-адресу с использованием поиска DNS.

      Большинству организаций Microsoft 365 требуется include:spf.protection.outlook.com запись SPF TXT для домена. Другим сторонним службам электронной почты часто требуется дополнительное include: значение, чтобы определить службу как допустимый источник электронной почты из исходного домена.

    • IP-адреса. Значение IP-адреса включает оба следующих элемента:

      • Значение ip4: или ip6: для определения типа IP-адреса.
      • Общедоступный IP-адрес исходной почтовой системы. Например:
        • Отдельный IP-адрес (например, 192.168.0.10).
        • Диапазон IP-адресов, использую Inter-Domain щий нотацию CIDR (например, 192.168.0.1/26). Убедитесь, что диапазон не слишком велик или слишком мал.

      В Microsoft 365 IP-адреса обычно используются в записи SPF TXT, только если у вас есть локальные почтовые серверы, которые отправляют почту из домена Microsoft 365 (например, гибридные развертывания Exchange Server). Некоторые сторонние службы электронной почты также могут использовать диапазон IP-адресов вместо include: значения в записи SPF TXT.

  • Правило принудительного применения. Сообщает целевым почтовым системам, что делать с сообщениями из источников, которые не указаны в записи SPF TXT для домена. Допустимые значения:

    • -all (жесткий сбой). Источники, не указанные в записи SPF TXT, не имеют прав на отправку почты для домена, поэтому сообщения должны быть отклонены. То, что на самом деле происходит с сообщением, зависит от целевой почтовой системы, но сообщения обычно удаляются.

      Для доменов Microsoft 365 рекомендуется -all (жесткий сбой), так как для домена также рекомендуется DKIM и DMARC. Политика DMARC указывает, что следует делать с сообщениями, которые завершаются сбоем SPF или DKIM, а отчеты DMARC позволяют проверять результаты.

      Совет

      Как указывалось ранее, DMARC, настроенный со службой отчетов DMARC, значительно помогает в определении источников электронной почты и сбоев SPF для домена.

    • ~all (обратимый сбой). Источники, не указанные в записи SPF TXT , вероятно , не авторизованы на отправку почты для домена, поэтому сообщения должны быть приняты, но помечены. То, что на самом деле происходит с сообщением, зависит от целевой почтовой системы. Например, сообщение может быть помещено в карантин как спам, доставлено в папку Нежелательная почта или доставлено в папку "Входящие" с идентификатором, добавленным в тему или текст сообщения.

      Так как мы также рекомендуем DKIM и DMARC для доменов Microsoft 365, различия между -all (жесткий сбой) и ~all (мягкий сбой) эффективно устраняются (DMARC рассматривает любой результат как сбой SPF). DMARC использует SPF для подтверждения выравнивания доменов в адресах MAIL FROM и From , а сообщение поступило из допустимого источника для домена From.

    Совет

    ?all (нейтральный) также доступен для предложения каких-либо конкретных действий в отношении сообщений из неопознанных источников. Это значение используется для тестирования, и мы не рекомендуем это значение в рабочих средах.

Важные моменты, которые следует помнить:

  • Для каждого определенного домена или поддомена в DNS требуется запись SPF TXT, и для каждого домена или поддомена допускается только одна запись SPF. Защита проверки подлинности электронной почты для неопределенных поддоменов лучше всего обрабатывается DMARC.
  • Вы не можете изменить существующую запись SPF TXT для домена *.onmicrosoft.com.
  • Когда целевая система электронной почты проверяет допустимые источники электронной почты в записи SPF, проверка SPF завершается ошибкой, если для проверки требуется слишком много подстановок DNS. Дополнительные сведения см. в разделе Устранение неполадок с записями SPF TXT далее в этой статье.

Записи SPF TXT для личных доменов в Microsoft 365

Совет

Как упоминалось ранее в этой статье, вы создаете запись SPF TXT для домена или поддомена у регистратора доменов для домена. В Microsoft 365 не доступна конфигурация записей SPF TXT.

  • Сценарий. Вы используете contoso.com для электронной почты в Microsoft 365, и Microsoft 365 является единственным источником электронной почты от contoso.com.

    Запись SPF TXT для contoso.com в Microsoft 365 и Microsoft 365 для государственных организаций (GCC):

    v=spf1 include:spf.protection.outlook.com -all
    

    Запись SPF TXT для contoso.com в Microsoft 365 Government Community Cloud High (GCC High) и Microsoft 365 Department of Defense (DoD):

    v=spf1 include:spf.protection.office365.us -all
    

    Запись SPF TXT для contoso.com в Microsoft 365 под управлением 21Vianet

    v=spf1 include:spf.protection.partner.outlook.cn -all
    
  • Сценарий. Вы используете contoso.com для электронной почты в Microsoft 365 и уже настроили запись SPF TXT в contoso.com со всеми источниками электронной почты из домена. Вы также являетесь владельцем доменов contoso.net и contoso.org, но не используете их для электронной почты. Вы хотите указать, что никто не имеет прав на отправку электронной почты из contoso.net или contoso.org.

    Запись SPF TXT для contoso.net:

    v=spf1 -all
    

    Запись SPF TXT для contoso.org:

    v=spf1 -all
    
  • Сценарий. Вы используете contoso.com для электронной почты в Microsoft 365. Вы планируете отправлять почту из следующих источников:

    • Локальный почтовый сервер с внешним адресом электронной почты 192.168.0.10. Так как вы напрямую контролируете этот источник электронной почты, мы считаем, что можно использовать сервер для отправителей в домене contoso.com.
    • Служба массовой рассылки Adatum. Так как у вас нет прямого контроля над этим источником электронной почты, рекомендуется использовать поддомен, чтобы создать marketing.contoso.com для этой цели. Согласно документации по службе Adatum, необходимо добавить include:servers.adatum.com в запись SPF TXT для вашего домена.

    Запись SPF TXT для contoso.com:

    v=spf1 ip4:192.168.0.10 include:spf.protection.outlook.com -all
    

    Запись SPF TXT для marketing.contoso.com:

    v=spf1 include:servers.adatum.com include:spf.protection.outlook.com -all
    

Устранение неполадок с записями TXT SPF

  • Одна запись SPF на домен или поддомен. Несколько записей SPF TXT для одного домена или поддомена вызывают цикл подстановки DNS, который приводит к сбою SPF, поэтому используйте только одну запись SPF для каждого домена или поддомена.

  • Менее 10 подстановок DNS. Когда целевые почтовые системы запрашивают запись SPF TXT для допустимых источников для домена адреса MAIL FROM, запрос сканирует IP-адреса и include: инструкции в записи до тех пор, пока источник сообщения (в конечном итоге IP-адрес) не соответствует одному из указанных источников. Если количество подстановок DNS (которое может отличаться от количества запросов DNS) больше 10, сообщение завершается ошибкой SPF с постоянной ошибкой (также известной permerrorкак ). Система электронной почты назначения отклоняет сообщение в отчете о недоставке (также известном как сообщение о недоставке или отказе) с одной из следующих ошибок:

    • Превышено максимальное количество прыжков для сообщения.
    • Для сообщения потребовалось слишком много запросов.

    В записи SPF TXT отдельные IP-адреса или диапазоны IP-адресов не вызывают поиск DNS. Для каждой include: инструкции требуется по крайней мере один поиск DNS, и может потребоваться больше подстановок, если include: значение указывает на вложенные ресурсы. Иными словами, наличие менее 10 include: операторов не гарантирует менее 10 подстановок DNS.

    Кроме того, помните: целевые почтовые системы оценивают источники в записи SPF TXT слева направо. Оценка останавливается при проверке источника сообщения и больше не проверяются источники. Таким образом, запись SPF TXT может содержать достаточно информации, чтобы вызвать более 10 поисков DNS, но проверка некоторых источников почты в некоторых местах назначения не проходит достаточно глубоко в записи, чтобы привести к ошибке.

    Помимо сохранения репутации домена электронной почты main, не превышение количества подстановок DNS является еще одной причиной использования поддоменов для других служб электронной почты, которые вы не контролируете.

Вы можете использовать бесплатные онлайн-инструменты для просмотра записей SPF TXT и других записей DNS для вашего домена. Некоторые средства даже вычисляют количество подстановок записей DNS, необходимых для записи SPF TXT.

Дальнейшие действия

Как описано в разделе Как SPF, DKIM и DMARC работают вместе для проверки подлинности отправителей сообщений электронной почты, одного SPF недостаточно, чтобы предотвратить подделывание домена Microsoft 365. Кроме того, необходимо настроить DKIM и DMARC для максимально возможной защиты. Инструкции см. в следующих статьях:

Для почты , поступающей в Microsoft 365, также может потребоваться настроить надежные запечатывщики ARC, если вы используете службы, которые изменяют сообщения при передаче перед доставкой в организацию. Дополнительные сведения см. в разделе Настройка доверенных запечатывщиков ARC.