EOP 如何验证发件人地址以防止钓鱼

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

网络钓鱼攻击对任何电子邮件组织都是一个持续的威胁。 除了使用 伪造 (伪造) 发件人电子邮件地址外,攻击者还经常使用违反 Internet 标准的发件人地址中的值。 为了帮助防止此类网络钓鱼,Exchange Online Protection (EOP) 和 Outlook.com 要求入站邮件包含符合 RFC 标准的发件人地址,如本文所述。

  • 如果定期收到来自格式不正确的组织的电子邮件,如本文所述,请鼓励这些组织更新其电子邮件服务器,以符合现代安全标准。

  • 相关“发件人”字段 (由“代表发送”和邮件列表) 不受这些要求的影响。 有关详细信息,请参阅以下博客文章:当我们 引用电子邮件的“发件人”时,我们意味着什么?

电子邮件标准概述

标准 SMTP 电子邮件由邮件信封和邮件内容组成。 邮件信封包含在 SMTP 服务器之间传输和传递邮件所需的信息。 邮件内容包含邮件头字段(统称为邮件头)和邮件正文。 RFC 5321 中介绍了消息信封,RFC 5322 中介绍了消息头。 收件人永远不会看到实际的邮件信封,因为它是由邮件传输过程生成的,而且它实际上不是邮件的一部分。

  • MAIL FROM 地址 (也称为 5321.MailFrom 地址、P1 发件人或信封发件人) 是在邮件的 SMTP 传输中使用的电子邮件地址。 此电子邮件地址通常记录在邮件头 (的 “返回路径 ”标头字段中,尽管发件人可以在) 指定不同的 “返回路径 ”电子邮件地址。

  • 发件人地址 (也称为 5322.From 地址或 P2 发件人) 是 发件人 标头字段中的电子邮件地址,是电子邮件客户端中显示的发件人电子邮件地址。 “发件人”地址是本文中要求的重点。

源地址在多个 RFC (详细定义,例如 RFC 5322 部分 3.2.3、3.4 和 3.4.1 以及 RFC 3696) 。 在寻址以及被视为有效或无效的内容方面有许多变化。 为简单起见,建议使用以下格式和定义:

From: "Display Name" <EmailAddress>

  • 显示名称:描述电子邮件地址所有者的可选短语。

    • 建议始终将显示名称括在双引号 (“) 中,如下所示。 如果显示名称包含逗号, 则必须 按 RFC 5322 将字符串括在双引号中。
    • 如果 From 地址包含显示名称,则 EmailAddress 值必须括在尖括号中, <> () 如下所示。
    • Microsoft强烈建议在显示名称和电子邮件地址之间插入空格。
  • EmailAddress:电子邮件地址使用格式 local-part@domain

    • local-part:标识与地址关联的邮箱的字符串。 此值在域中是唯一的。 通常使用邮箱所有者的用户名或 GUID。
    • domain:完全限定的域名 (FQDN) 托管由电子邮件地址的本地部分标识的邮箱的电子邮件服务器。

    此外:

    • 仅一个电子邮件地址。
    • 建议不要用空格分隔尖括号。
    • 电子邮件地址后不要包含文本。

“发件人”地址的“好”和“坏”示例

下表包含有效 From 地址的示例:

地址 Comments
From: sender@contoso.com 确定
From: <sender@contoso.com> 确定
From: < sender@contoso.com > 可以,但不建议这样做,因为尖括号和电子邮件地址之间有空格。
From: "Sender, Example" <sender.example@contoso.com> 确定
From: "Microsoft 365" <sender@contoso.com> 确定
From: Microsoft 365 <sender@contoso.com> 正常,但不建议这样做,因为显示名称未用双引号引起来。

下表包含无效的 From 地址的示例:

地址 Comments
否发件人地址 当邮件到达 Microsoft 365 或没有发件人地址 Outlook.com 时,我们尝试将 MAIL FROM 地址分配给发件人地址,以确保邮件可送达。 目前,即使原始发件人地址为 From: <>,服务也接受这些消息。
From: <firstname lastname@contoso.com> 电子邮件地址包含一个空格。
From: Microsoft 365 sender@contoso.com 显示名称存在,但电子邮件地址未用尖括号括起来。
From: "Microsoft 365" <sender@contoso.com> (Sent by a process) 电子邮件地址后面的文本。
From: Sender, Example <sender.example@contoso.com> 显示名称包含逗号,但不用双引号引起来。
From: "Microsoft 365 <sender@contoso.com>" 整个值错误地用双引号括起来。
From: "Microsoft 365 <sender@contoso.com>" sender@contoso.com 显示名称存在,但电子邮件地址未用尖括号括起来。
From: Microsoft 365<sender@contoso.com> 显示名称与左尖括号之间没有空格。
From: "Microsoft 365"<sender@contoso.com> 右双引号和左尖括号之间没有空格。

禁止自动答复自定义域

不能使用 值 From: <> 来取消自动答复。 相反,你需要为自定义域设置 空 MX 记录 。 设置空 MX 记录后, 所有 答复都会自然被禁止,因为响应服务器没有要向其发送邮件的已发布地址。

对于空 MX 记录,请选择无法接收电子邮件的电子邮件域。 例如,如果主域 contoso.com,则可以选择 noreply.contoso.com。 此域的 null MX 记录由单个句点组成。 例如:

noreply.contoso.com IN MX .

有关设置 MX 记录的详细信息,请参阅 在任何 DNS 托管提供程序上为 Microsoft 365 创建 DNS 记录

有关发布 null MX 的详细信息,请参阅 RFC 7505

替代源地址强制实施

若要绕过入站电子邮件的发件人地址要求,可以使用 IP 允许列表 (连接筛选) 或邮件流规则 (也称为传输规则) ,如 在 Microsoft 365 中创建安全发件人列表中所述。 Outlook.com 不允许任何形式的替代,即使通过支持请求也是如此。

无法覆盖从 Microsoft 365 或 Outlook.com 发送的出站电子邮件的发件人地址要求。

Microsoft 365 中防止和防范网络犯罪的其他方法

有关如何加强组织抵御网络钓鱼、垃圾邮件、数据泄露和其他威胁的详细信息,请参阅 保护 Microsoft 365 商业版计划的最佳做法