Як Office 365 використовує інфраструктуру політики відправників (SPF) для запобігання спуфінгу,
Зведення. У цій статті описано, як Office 365 використовує запис TXT інфраструктури політики відправників (SPF) в DNS, щоб гарантувати, що кінцеві поштові системи довіряють повідомленням, надісланим з вашого особистого домену. Це стосується вихідної пошти, надісланої з Office 365. Повідомлення, надіслані з Office 365 одержувачу до Office 365, завжди проходять перевірку SPF.Суммари: Цей article describes як Office 365 використовує Sender Policy Framework (SPF) TXT запису в DNS для забезпечення того, що електронна система повідомлень truss messagesss від вашого custom domain. Це applies to outbound mail sent from Office 365. Messages sent from Office 365 to recipient within Office 365 будевсього pass SPF.
Раніше, якщо ви також використовували SharePoint Online, у особистий домен потрібно було додати інший запис SPF TXT. Перш за все, ви збираєтеся до різних SPF TXT запису до вашого клієнта дома, якщо ви використовуєте SharePoint Online. Цього більше не потрібно. Це не longer required. Ця зміна потрібна для того, щоб повідомлення SharePoint Online не потрапляли до папки небажаної пошти. Ця зміна повинна зменшити ризик SharePoint Online notification messages вгору в Junk Email folder. Не потрібно одразу вносити зміни, але якщо з'явиться повідомлення про надто велику кількість операцій пошуку (too many lookups), змініть запис SPF TXT, як описано в статті Set up SPF in Office 365 до help prevent spoofing. Ви не потрібні, щоб змінити зміни, але якщо ви придбаєте "надто багато покупок" помилка, змінити вашу SPF TXT записи, як описано в Set SPF в Office365 to help prevent spoofing.
Як інфраструктура політики відправників допомагає запобігти спуфінгу і фішингу в Office 365.
Інфраструктура політики відправників визначає, чи дозволено відправнику надсилати повідомлення від імені домену. Якщо відправнику це заборонено, тобто повідомлення не проходить перевірку інфраструктури політики відправників на сервері одержувача, політика небажаної пошти, налаштована на цьому сервері, визначає, як вчинити з повідомленням. SPF визначати те, що або не є sender is permitted to send on behalf of a domain. Якщо sender не може бути використаний для того, що є, якщо електронна пошта електронної пошти скасувати SPF на receiving server, spam policy configured на тому, що сервер визначить те, що до повідомлення з повідомленням.
Розглянемо базовий синтаксис правила для інфраструктури політики відправників:
Допустимо, для домену contoso.com є таке правило інфраструктури політики відправників: Для прикладу, хотіли б доповнити SPF rule exists for contoso.com:
Серйозний збій. До конверта повідомлення додається позначка "серйозний збій", а потім дотримується політика небажаної пошти, налаштована на сервері для цього типу повідомлень.Hard fail. Марк повідомлення з 'hard fail' в повідомленні повідомлення і продовжує отримання сервера configured spam policy for this type of message.
М'який збій. До конверта повідомлення додається позначка "м'який збій". Як правило, поштові сервери налаштовуються так, щоб однаково доставляти такі повідомлення. Ця позначка не видно більшості користувачів.Soft fail. Mark message with 'soft fail' in the message envelope. Typically, emailservers є configured to deliver ці messages anyway. Most end users не дає цей знак.
Нейтральне. Не виконується жодних дій, тобто до конверта повідомлення не додаються позначки. Зазвичай це правило зарезервовано для тестування та рідко використовується.Neutral. Do nothing, that is, do not mark the message envelope. Це використовується як правило для тестування purposes і rarely used.
У наведених нижче прикладах показано, як інфраструктура політики відправників працює в різних ситуаціях. У цих прикладах contoso.com є відправником, а woodgrovebank.com – одержувачем. Наведені приклади показують, як SPF працюють в різних випадках. У цих examples, contoso.com є sender and woodgrovebank.com є receiver.
Приклад 1. Перевірка автентичності повідомлення електронної пошти, відправленого безпосередньо від відправника до одержувача Example 1:
Інфраструктура політики відправників найкраще працює з прямими маршрутами від відправника до одержувача, наприклад: SPF works best when the path from sender to receiver is direct, for example:
Припустимо, зловмиснику вдалося знайти вразливість у домені contoso.com: Suppose
Приклад 3. Інфраструктура політики відправників та повідомлення, що пересилаються Example 3: SPF and forwarded messages
Головний недолік інфраструктури політики відправників полягає в тому, що вона не працює з повідомленнями, що пересилаються. Припустимо, користувач домену woodgrovebank.com налаштував правило пересилання, яке відправляє всі повідомлення в обліковий запис outlook.com: Один drawback of SPF є те, що він не працює, коли електронною поштою буде надіслано.Для прикладу, сприймає користувача на woodgrovebank.com має змогу підтримувати курс на один e-mail на outlook.com account:
Основні відомості про інфраструктуру політики відправників: включення сторонніх доменів, які можуть надсилати повідомлення від імені вашого домену SPF basics: Including third-party domains
Вимоги до запису SPF TXT та Office 365 Requirements for your SPF TXT record and Office 365
Створення запису типу TXT інфраструктури політики відправників для Office 365 Form your SPF TXT record for Office 365
Скористайтеся відомостями про синтаксис, наведеними в цій статті, щоб створити запис SPF TXT для особистого домену. Тут описані варіанти синтаксису, що найчастіше використовуються, але існують і інші. Після створення запису необхідно оновити його у реєстратора доменних імен. Використання syntax інформації в цій статті до форми SPF TXT запису для вашого будинку. Крім того, є інші syntaxні options, які не mentioned її, вони є найбільш загальним використанням options. Once you have ford your record, ви повинні update the record at your domain registrar.
Відомості про домени, які потрібно увімкнути для Office 365, див. у статті Зовнішні записи DNS для Office 365. Дотримуйтесь покрокового посібника з оновлення записів інфраструктури політики відправників (TXT) для свого реєстратора доменних імен. Якщо ваш реєстратор не вказано, вам потрібно буде зв'язатися з ним в особистому порядку, щоб дізнатися, як оновити запис. Для отримання інформації про домени ви повинні бути включені до служби Office 365, щоб вибрати External DNS записи, необхідні для SPF. Використовуйте відповідні інструкції для updating SPF (TXT) записи для вашого домашнього registrar. If your registrar is not listed, ви будетеПотрібно повідомити їх окремо до того, як дізнатися про оновлення вашого запису.
Синтаксис запису SPF TXT для Office 365 SPF TXT record syntax for Office 365
Синтаксис типового запису SPF TXT для Office 365 виглядає наступним чином:
Наприклад: For example:
v=spf1 - обов'язковий параметр. Він визначає тип запису як SPF TXT.v=spf1 is required. Це визначило TXT record як SPF TXT record.
domain name - це домен, який потрібно додати як надійний відправник. Список доменних імен, які слід увімкнути для Office 365, див. у статті Зовнішні записи DNS для Office 365. Домашній імен is the main you want to add as a legitimate sender. Для того, щоб переглянути домашні назви, ви повинні бути включені до Office 365, додаткові External DNS записи, необхідні для SPF.
Як правило, використовується одне із наведених нижче правил примусового застосування. Enforcement rule is usually one of the following:
all (м'який збій). Крім того, якщо використовується DMARC з параметром p=quarantine або p=reject, ви можете використовувати кваліфікатор
all. В іншому випадку скористайтеся кваліфікатором -all. Indicates soft fail. Якщо ви не бачите, що ви маєте повний список IP-адрес, то ви повинні використовувати
all (soft fail) qualifier. Also, якщо ви використовуєте DMARC з p=quarantine або p=reject, вони можуть використовувати
all. Іншіwise, use -all.
приклад. Запис SPF TXT, який використовується під час надсилання пошти з Office 365 Example: SPF TXT ви можете скористатися, коли всі ваші адреси є Office 365
приклад. Запис SPF TXT для гібридного сценарію з одним локальним сервером Exchange Server і Office 365 Example:premises Exchange Server and Office 365
приклад. Запис SPF TXT для кількох локальних серверів вихідної пошти та Office 365 Example: SPF TXT записує про багаторазові outbound on-premises mail servers and Office 365
Подальші дії: налаштування інфраструктури політики відправників для Office 365 Next steps: Set up SPF for Office 365
Після створення запису SPF TXT додайте його до свого домену, виконавши дії, описані у статті Set up SPF in Office 365 to help prevent spoofing. Після того, як ви маєте формулюваний свій SPF TXT запис, наступні кроки в Setup SPF в Office 365 до вподоби допоміжно додати до свого дому.
Незважаючи на те, що інфраструктура політики відправників покликана запобігти спуфінгу, існують деякі методики, які дозволяють обійти її. Щоб захиститися від таких атак, завершивши налаштування інфраструктури політики відправників, необхідно також налаштувати DKIM і DMARC для Office 365. Інструкції з початку роботи див. Подальші дії див. у статті Використання протоколу DMARC для перевірки електронної пошти в Office 365. Although SPF is designed to help prevent spoofing, але є spoofing techniques, що SPF cannot protect against. У відповідності з тим, щоб захистити їх, тільки ви маєте налаштувати SPF, ви повинні також налаштувати DKIM і DMARC для Office 365. Щоб отримати started, скористайтеся DKIM для validate outbound email sent from your custom domain in Office 365. Next, see до validate email в Office 365.
Виправлення неполадок: поради та рекомендації щодо інфраструктури політики відправників у Office 365 Troubleshooting: Best practices for SPF in Office 365
Для особистого домену можна створити лише один записSPF Txt. Створення кількох записів призводить до ситуації циклічного перебору та збою інфраструктури політики відправників. Щоб уникнути цього, можна створити окремі записи для кожного піддомену. Наприклад, створіть запис для домену contoso.com і ще один для піддомену bulkmail.contoso.com. Ви можете тільки створити один SPF TXT запис для вашого будинку. Створення множинних спостережень приводить до кола robin situation і SPF буде погано. Для того, щоб творити окремі записи для всіх субдоманів. Для прикладу, створіть один запис для contoso.com і інший запис для bulkmail.contoso.com.
Перевищено максимальну кількість стрибків повідомлення. Message exceeded the hop count.
Для повідомлення потрібно надто багато запитів. The message необхідний too many lookups.
Як уникнути помилки "занадто багато запитів" при використанні сторонніх доменів з Office 365
Деякі записи SPF TXT для сторонніх доменів доручають серверу одержувача виконувати велику кількість запитів DNS. Наприклад, на момент написання цієї статті запис домену Salesforce.com містить 5 операторів. Для прикладу, в часі цього листування, Salesforce.com contains 5 include statements in its record:
Щоб уникнути помилки, ви можете реалізувати політику, згідно з якою (наприклад) для надсилання масових розсилок усі повинні використовувати спеціальний піддомен. Потім ви можете встановити для піддомену окремий запис SPF TXT, що включає масові розсилки. Для того, щоб повідомити про помилку, ви можете зробити policy, де будь-який один повідомлення електронної пошти, для прикладу, має бутиuse a subdomain specifically for this purpose. Ви визначите різні SPF TXT записи для subdomain, які включають електронну пошту.
При включенні сторонніх доменів у запис SPF TXT необхідно погодити з стороннім постачальником, який домен або піддомен буде використовуватися, щоб дотримуватися обмеження в 10 запитів. Якщо ви включаєте тридцять-п'ятеро домашніх осіб в вашій SPF TXT запис, ви повинні скористатися трьома-частинами, які домівки або субдомани використовувати в ордер для того, щоб запустити в 10 lookup limit.
Додаткові відомості For more information
Чи потрібна допомога, щоб додати запис TXT інфраструктури політики відправників? Доступні покрокові вказівки для оновлення таких записів на веб-сайтах різних популярних реєстраторів доменних імен. Заголовки повідомлень захисту від небажаної пошти включає синтаксис і поля заголовків, які Office 365 використовує для перевірок за допомогою інфраструктури політики відправників. Потрібно help adding the SPF TXT record? Step-by-step інструкції для updating SPF (TXT) записи на ряді популярних домашніх власників є available. Anti-spam message headers включають syntax і header fields за допомогою Office 365 для SPF checks.