Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Проверка подлинности электронной почты помогает проверять подлинность почтовых сообщений, отправляемых в вашу организацию Microsoft 365 и из неё, чтобы предотвратить подмену отправителей, которая используется в атаках с компрометацией деловой электронной почты (BEC), программах-вымогателях и других фишинговых атаках.
Но некоторые допустимые службы электронной почты могут изменять сообщения перед их доставкой в организацию Microsoft 365. Изменение входящих сообщений при передаче может привести к следующим сбоям проверки подлинности электронной почты в Microsoft 365:
- Сбой SPF из-за нового источника сообщений (IP-адреса).
- Проверка DKIM не проходит из-за изменения содержания.
- Сбой DMARC из-за сбоев SPF и DKIM.
Цепочка получения с проверкой подлинности (ARC) помогает сократить количество ошибок проверки подлинности входящей электронной почты из-за изменения сообщений допустимыми службами электронной почты. Arc сохраняет исходные сведения о проверке подлинности электронной почты в службе электронной почты. Вы можете настроить организацию Microsoft 365 так, чтобы она доверяла службе, которая изменила сообщение, и использовала эти исходные данные при проверках подлинности электронной почты.
Когда следует использовать доверенные запечатки ARC
Организация Microsoft 365 должна определять доверенные запечатывщики ARC только в том случае, если сообщения, доставляемые получателям Microsoft 365, регулярно затрагиваются следующими способами:
- Служба-посредник изменяет заголовок сообщения или содержимое сообщения электронной почты.
- Изменения сообщения приводят к сбою проверки подлинности по другим причинам (например, при удалении вложений).
После того как администратор добавляет доверенный запечатыватель ARC на портале Defender, Microsoft 365 использует исходные сведения о проверке подлинности электронной почты, которые предоставляет запечатыватель ARC для проверки сообщений, отправляемых через службу в Microsoft 365.
Совет
Добавляйте в своей организации Microsoft 365 только законные и необходимые службы как доверенные средства ARC-запечатывания. Добавление только законных служб помогает этим сообщениям проходить проверки подлинности электронной почты и предотвращает доставку законных сообщений в папку нежелательной почты, помещение в карантин или отклонение из-за сбоев при проверке подлинности электронной почты.
Что нужно знать перед началом работы
Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу параметров проверки подлинности Email, используйте https://security.microsoft.com/authentication.
Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.
Прежде чем вы сможете добавлять доверенные ARC-средства подписывания или управлять ими, вам должны быть назначены соответствующие разрешения. Возможны следующие варианты:
Microsoft Defender XDR: единое управление доступом на основе ролей (RBAC) (если для Электронная почта & совместная работа>Defender для Office 365 разрешение имеет значение
Active. Влияет только на портал Defender, но не на PowerShell): Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (управление) или Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (чтение).разрешения Exchange Online: членство в группах ролей "Управление организацией" или "Администратор безопасности".
разрешения Microsoft Entra: членство в глобальном администраторе*. Члены роли "Администратор безопасности" не могут получить доступ к параметрам проверки подлинности электронной почты на портале Defender.
Важно!
* Корпорация Майкрософт решительно выступает за принцип наименьших привилегий. Назначение учетным записям только минимальных разрешений, необходимых для выполнения их задач, помогает снизить риски безопасности и повысить общую защиту вашей организации. Глобальный администратор — это очень привилегированная роль, которую следует ограничить сценариями чрезвычайных ситуаций или в случаях, когда вы не можете использовать другую роль.
Использование портала Microsoft Defender для добавления доверенных запечаток ARC
На портале Microsoft Defender по адресу https://security.microsoft.com перейдите в Электронная почта и совместная работа>Политики и правила>Политики угроз>Параметры проверки подлинности электронной почты в разделе Правила>ARC. Или, чтобы перейти непосредственно на страницу параметров проверки подлинности Email, используйте https://security.microsoft.com/authentication.
На странице Параметры проверки подлинности электронной почты убедитесь, что выбрана вкладка ARC, а затем выберите
Добавить.Совет
Если доверенные запечатывщики уже указаны на вкладке ARC , выберите
Изменить.Во всплывающем окне Добавление доверенных запечаток ARC введите в поле доверенный домен подписи (например, fabrikam.com).
Доменное имя должно соответствовать домену, который отображается в значении d в заголовках ARC-Seal и ARC-Message-Signature в затронутых сообщениях. Используйте следующие методы для просмотра заголовка сообщения:
- Просмотр заголовков сообщений в Интернете в Outlook.
- Используйте анализатор заголовков сообщений по адресу https://mha.azurewebsites.net.
Повторите этот шаг нужное количество раз. Чтобы удалить существующую запись, щелкните
рядом с записью.Завершив работу во всплывающем окне Добавление доверенных запечатывщиков ARC , нажмите кнопку Сохранить.
Используйте PowerShell для Exchange Online, чтобы добавить доверенные средства ARC-подписи
Если вы предпочитаете использовать PowerShell для просмотра, добавления или удаления доверенных запечатывщиков ARC, подключитесь к Exchange Online PowerShell, чтобы выполнить следующие команды.
Просмотрите существующие доверенные запечатки ARC: выполните следующую команду, чтобы проверить, какие доверенные запечатки ARC настроены в вашей организации:
Get-ArcConfigЕсли доверенные запечатывщики ARC не настроены, команда не возвращает результатов.
Добавление или удаление доверенных уплотнителей ARC
Чтобы заменить любые существующие средства запечатывания ARC на указанные вами значения, используйте следующий синтаксис:
Set-ArcConfig -Identity [TenantId\]Default -ArcTrustedSealers "Domain1","Domain2",..."DomainN"Значение TenantId\ не требуется в вашей собственной организации, а только в делегированных организациях. Это GUID, который можно увидеть во многих URL-адресах в портале администрирования Microsoft 365 (значение
tid=). Например, aaaabbbb-0000-cccc-1111-dddd2222eeee.В этом примере настраивается "cohovineyard.com" и "tailspintoys.com" как единственные доверенные запечатывщики ARC в организации.
Set-ArcConfig -Identity Default -ArcTrustedSealers "cohovineyard.com","tailspintoys.com"Чтобы сохранить существующие значения, обязательно укажите уплотнители ARC, которые нужно сохранить, вместе с новыми уплотнителями ARC, которые нужно добавить.
Сведения о добавлении или удалении запечаток ARC без влияния на другие записи см. в примерах в Set-ArcConfig.
Конфигурация уплотнителя ARC для конкретного поставщика
При добавлении доверенного запечатывщика ARC в Microsoft 365 введите домен, указанный в значении d заголовка ARC-Seal . В следующей таблице перечислены домены запечатывания ARC для общих поставщиков безопасности электронной почты:
| Поставщик | Домен запечатателя ARC (d= значение) |
Типичное значение селектора (s=) |
Примечания |
|---|---|---|---|
| Proofpoint | pphosted.com |
arcselector |
Используется в Proofpoint Protection Server (PPS) и Proofpoint Essentials. |
| Mimecast | mimecast.com |
arc-2018 |
Используется всеми развертываниями Шлюза безопасности Mimecast Email. |
| Барракуда | barracudanetworks.com |
arc1 |
Используется в Barracuda Email Gateway Defense и Email Security Gateway. |
| Sophos | sophos.com |
arc |
Используется системой Sophos Central Email Security. |
Важно!
Домен запечатателя ARC не является доменом вашей организации. Это домен подписи поставщика, который отображается в d= поле заголовка ARC-Seal. Прежде чем настраивать доверенный модуль запечатывания, всегда проверяйте фактическое значение d= в заголовке сообщения.
Настройка доверенных запечаток ARC для Proofpoint
Proofpoint Protection Server (PPS) добавляет заголовки ARC при обработке сообщений через шлюз. В заголовке ARC-Seal используется d=pphosted.com.
Проверьте домен запечатателя ARC из заголовка сообщения: найдите
d=значение в заголовкеARC-Seal, чтобы определить домен запечатателя ARC. Для Proofpoint найдите следующий шаблон в заголовках сообщений:ARC-Seal: i=1; a=rsa-sha256; d=pphosted.com; s=arcselector; t=1657920000; cv=none; b=<signature>Добавьте доверенный запечатыватель ARC в Microsoft 365: подключитесь к Exchange Online PowerShell и выполните следующую команду:
Set-ArcConfig -Identity Default -ArcTrustedSealers "pphosted.com"Примечание.
Некоторые развертывания Proofpoint используют личный домен для запечатывания ARC (например,
proofpoint.comили конкретный домен клиента). Всегда проверяйте фактические заголовки сообщений, чтобы подтвердить значениеd=перед тем, как настраивать доверенные модули запечатывания.
Настройка доверенных запечаток ARC для Mimecast
Mimecast Email Security добавляет заголовки ARC при обработке входящей и исходящей почты. В заголовке ARC-Seal используется d=mimecast.com.
Проверьте домен запечатывщика ARC из заголовка сообщения. Найдите следующий шаблон в заголовках сообщений:
ARC-Seal: i=1; a=rsa-sha256; t=1623745127; cv=none; d=mimecast.com; s=arc-2018; b=<signature>Добавьте доверенный запечатыватель ARC в Microsoft 365: подключитесь к Exchange Online PowerShell и выполните следующую команду:
Set-ArcConfig -Identity Default -ArcTrustedSealers "mimecast.com"Совет
Если вы переходите с Mimecast на встроенную защиту Microsoft 365, сохраняйте настройку доверенного запечатывщика ARC Mimecast до тех пор, пока вы не будете полностью сократить записи MX и не будут доставлены все сообщения в очереди.
Настройка доверенных запечаток ARC для Barracuda
Barracuda Email Gateway Defense и Email Security Gateway добавляют заголовки ARC с помощью d=barracudanetworks.com.
Проверьте домен запечатателя ARC из заголовка сообщения: найдите
d=значение в заголовкеARC-Seal, чтобы подтвердить домен запечатывания Barracuda. Найдите следующий шаблон в заголовках сообщений:ARC-Seal: i=1; a=rsa-sha256; d=barracudanetworks.com; s=arc1; t=1680000000; cv=none; b=<signature>Добавьте доверенный запечатыватель ARC в Microsoft 365: подключитесь к Exchange Online PowerShell и выполните следующую команду:
Set-ArcConfig -Identity Default -ArcTrustedSealers "barracudanetworks.com"
Настройка доверенных запечаток ARC для Sophos
Sophos Central Email Security добавляет заголовки ARC с помощью d=sophos.com.
Проверьте домен подписи ARC в заголовке сообщения: найдите значение
d=в заголовкеARC-Seal, чтобы подтвердить домен подписи Sophos. Найдите следующий шаблон в заголовках сообщений:ARC-Seal: i=1; a=rsa-sha256; t=1686324586; cv=none; d=sophos.com; s=arc; b=<signature>Добавьте доверенный запечатыватель ARC в Microsoft 365: подключитесь к Exchange Online PowerShell и выполните следующую команду:
Set-ArcConfig -Identity Default -ArcTrustedSealers "sophos.com"
Настройка доверенных запечаток ARC для нескольких поставщиков
Если в организации используется несколько служб электронной почты, которые добавляют печать ARC, подключитесь к Exchange Online PowerShell и добавьте все домены поставщиков в одну команду.
Важно!
Параметр -ArcTrustedSealersзаменяет все существующие записи. Чтобы сохранить существующие доверенные запечатывщики, включите их в команду вместе с новыми доменами, которые нужно добавить.
Предостережение
Добавляйте только поставщиков, которым вы активно пользуетесь и которым доверяете. Добавление ненужных запечатывщиков ARC увеличивает вероятность атаки, так как скомпрометированный поставщик может передавать поддельные сообщения через проверки подлинности.
Set-ArcConfig -Identity Default -ArcTrustedSealers "pphosted.com","mimecast.com","barracudanetworks.com","sophos.com"
Найдите домен ARC-сигнатуры вашего поставщика
Если вашего поставщика нет в таблице доменов ARC Sealer для поставщиков, выполните следующие действия, чтобы определить правильный домен ARC Sealer:
- Отправка тестового сообщения электронной почты через службу-посредника в почтовый ящик Microsoft 365.
- Откройте заголовки сообщений (в Outlook:Свойства>файлов>в Интернете заголовки или используйте анализатор заголовков сообщений).
- Найдите
ARC-Seal:в заголовках. - Обратите внимание на значение
d=. Это значение указывает домен, который нужно добавить как доверенное средство подписи ARC.
Проверка надежного уплотнителя ARC
Если до того, как сообщение достигнет Microsoft 365, служба добавляет подпись ARC, после доставки сообщения проверьте заголовок сообщения на наличие последних заголовков ARC.
В последнем заголовке ARC-Authentication-Results найдите arc=pass и oda=1. Эти значения указывают:
- Предыдущая ARC была проверена.
- Предыдущий герметик ARC пользуется доверием.
- Результат предыдущей проверки можно использовать для игнорирования текущего сбоя проверки DMARC.
В следующем примере показан заголовок ARC-Authentication-Results, где arc=pass и oda=1 подтверждают доверенного ARC-подписанта:
ARC-Authentication-Results: i=2; mx.microsoft.com 1; spf=pass (sender ip is
172.17.17.17) smtp.rcpttodomain=microsoft.com
smtp.mailfrom=sampledoamin.onmicrosoft.com; dmarc=bestguesspass action=none
header.from=sampledoamin.onmicrosoft.com; dkim=none (message not signed);
arc=pass (0 oda=1 ltdi=1
spf=[1,1,smtp.mailfrom=sampledoamin.onmicrosoft.com]
dkim=[1,1,header.d=sampledoamin.onmicrosoft.com]
dmarc=[1,1,header.from=sampledoamin.onmicrosoft.com])
Чтобы проверить, использовался ли результат ARC для переопределения сбоя DMARC, найдите compauth=pass и reason=130 в последнем заголовке Authentication-Results. В следующем примере показан заголовок Authentication-Results, в котором составная проверка подлинности пройдена благодаря доверенному средству запечатывания ARC (reason=130):
Authentication-Results: spf=fail (sender IP is 10.10.10.10)
smtp.mailfrom=contoso.com; dkim=fail (body hash did not verify)
header.d=contoso.com;dmarc=fail action=none
header.from=contoso.com;compauth=pass reason=130
Примечание.
Результат ARC pass от доверенного сервиса ARC-подписи может перекрыть сбои SPF, DKIM или DMARC, вызванные изменением сообщения при передаче. Однако окончательное определение спуфинга основано на результатах составной проверки подлинности (CompAuth). Сообщения, которые не проходят проверку ARC, всё равно могут быть доставлены, если они проходят проверки SPF, DKIM, DMARC и составной аутентификации.
Схемы потоков обработки почты доверенного запечатателя ARC
Схемы в этом разделе сопоставляют поток почты и влияние на результаты аутентификации электронной почты с доверенным ARC-запечатывателем и без него. На обеих схемах организация Microsoft 365 использует законную службу электронной почты, которая изменяет входящие сообщения перед ее доставкой в Microsoft 365. Это изменение прерывает поток обработки почты, что может привести к сбоям проверки подлинности электронной почты путем изменения исходного IP-адреса и обновления заголовка сообщения электронной почты.
На следующей схеме потока обработки почты показан результат без доверенного запечатателя ARC:
На следующей схеме почтового потока показан результат при использовании доверенного ARC-запечатывателя:
Распространенные сценарии сбоя ARC
Если ARC работает не так, как ожидается, воспользуйтесь следующим руководством по устранению неполадок.
Краткий справочник: симптомы сбоя ARC
В следующей таблице перечислены распространенные симптомы сбоя ARC, их вероятные причины и рекомендуемые разрешения.
| Признак | Вероятная причина | Решение |
|---|---|---|
arc=fail в ARC-Authentication-Results |
Домен подписывания ARC не добавлен в список доверенных, или указан неверный домен. |
d= Проверьте значение в заголовке ARC-Seal и добавьте его в доверенные запечатывщики. |
arc=none в ARC-Authentication-Results |
Промежуточная служба не добавляет заголовки ARC. | Обратитесь к поставщику, чтобы включить подписывание ARC. |
oda=0 Несмотря arc=pass |
Домен запечатателя ARC отсутствует в списке доверенных запечатывщиков. | Добавьте правильный домен с помощью Set-ArcConfig. |
compauth=fail reason=000 несмотря на доверенный запечатыватель |
Сбой проверки цепочки ARC (сломанная цепочка). | Проверьте наличие проблем с целостностью цепочки (см . раздел Сломанная цепочка ARC). |
dmarc=fail и заголовки ARC отсутствуют |
Сообщение не прошло через посредника, поддерживающего ARC. | ARC не может помочь. Исправьте SPF/DKIM в источнике. |
| Сообщения, помещенные в карантин, несмотря на прохождение ARC | Действие политики защиты от нежелательной почты, переопределяющее результат ARC. | Ознакомьтесь с политикой карантина. ARC переопределяет только DMARC, а не фильтрацию нежелательной почты. |
Неправильно настроен домен запечатывания ARC
Проблема: Вы добавили собственный домен (например, contoso.com) вместо домена ARC-подписи поставщика услуг.
Заголовки сообщений отображают фактический домен подписи ARC поставщика.
d= Проверьте значение в заголовкеARC-Seal, чтобы определить правильный домен для настройки в качестве доверенного запечатателя:
ARC-Seal: i=1; a=rsa-sha256; d=pphosted.com; s=arcselector;
cv=none; b=<signature>
Но при запуске Get-ArcConfig в Exchange Online PowerShell в выводе отображается ваш собственный домен вместо домена ARC для запечатывания, предоставленного поставщиком:
ArcTrustedSealers : {contoso.com}
Решение: Используйте домен ARC поставщика для подписи. Например, вы можете:
Set-ArcConfig -Identity Default -ArcTrustedSealers "pphosted.com"
Промежуточная служба не добавляет заголовки ARC
Проблема. Сообщения проходят через шлюз, но не содержат заголовки ARC. Промежуточная служба либо не поддерживает ARC, либо ARC не включен.
Диагноз. Поиск заголовков сообщений для ARC-Seal:. Если заголовок ARC-Seal не существует, посредник не запечатывается.
Решение. Включите вход ARC в консоль управления поставщика:
| Поставщик | Включение ARC |
|---|---|
| Proofpoint | Включите ARC в настройках Защита электронной почты>Маршрутизация электронной почты>Исходящая почта. |
| Mimecast | Включите через Администрирование>Шлюз>Политики>Определения>Подписание ARC. |
| Барракуда | ARC включен по умолчанию в Email Gateway Defense. Проверьте защиту отфишинга в параметрах >для входящеготрафика. |
| Sophos | Включите в Sophos Central>Защита электронной почты>Параметры>ARC. |
Важно!
Если ваш поставщик не поддерживает ARC, рассмотрите альтернативные решения:
- Настройте правило обработки почтового потока Exchange (правило транспорта), чтобы обходить фильтрацию нежелательной почты для сообщений с IP-адресов службы.
- Добавьте отправляющие IP-адреса службы в список разрешенных IP-адресов фильтра подключений.
- Используйте расширенную фильтрацию для соединителей (пропустить список), чтобы сохранить исходную проверку подлинности.
Сломанная цепочка ARC (cv=fail)
Проблема. Проверка цепочки ARC показывает cv=fail, что означает, что предыдущую печать ARC в цепочке не удалось проверить.
В следующем примере показан заголовок ARC-Seal , в котором cv=fail указывается сломанная цепочка ARC:
ARC-Seal: i=2; a=rsa-sha256; d=mimecast.com; s=arc-2018;
cv=fail; b=<signature>
Этот сбой обычно имеет следующие причины:
- Предыдущий посредник изменил сообщение после того, как добавил свою подпись ARC, тем самым нарушив цепочку.
- Проблемы с DNS не позволили найти открытый ключ запечатателя ARC.
- Открытый ключ ARC был повернут, но срок действия кэшированных записей DNS не истек.
Решение. Выполните следующие действия, чтобы диагностировать и исправить сломанную цепочку.
- Проверьте значение
cv=в каждом экземпляре ARC (i=1,i=2и т. д.), чтобы определить, где сломалась цепочка. - Убедитесь, что открытый ключ запечатателя ARC опубликован в DNS. Например, используйте
nslookup -type=TXT arcselector._domainkey.pphosted.com, чтобы запросить запись ключа. - Если DNS не возвращает результата, обратитесь к поставщику по поводу публикации ключа ARC.
- Если цепочка разрывается между двумя службами, которые вы управляете, убедитесь, что изменения сообщений происходят до запечатывания ARC, а не после.
ARC проходит проверку, но сообщения по-прежнему попадают в папку «Нежелательная почта»
Проблема: проверка ARC проходит (arc=pass, compauth=pass reason=130), но сообщения по-прежнему доставляются в папку "Нежелательная Email".
Объяснение. ARC переопределяет только ошибки проверки подлинности DMARC. Он не обходит:
- Фильтрация нежелательной почты на основе содержимого (значения SCL из анализа содержимого).
- Массовая фильтрация электронной почты (пороговое значение BCL).
- Действия политики защиты от нежелательной почты.
- Действия правил потока почты.
- Списки надежных или заблокированных отправителей.
Диагностика: проверьте заголовок X-Forefront-Antispam-Report, чтобы определить, привела ли фильтрация спама на основе содержимого к тому, что сообщение попало в папку «Нежелательная почта», независимо от ARC:
X-Forefront-Antispam-Report: CIP:10.10.10.10; CTRY:US; LANG:en; SCL:5;
SFV:SPM; H:mail.fabrikam.com; PTR:mail.fabrikam.com; CAT:SPM;
Если CAT:SPM или SCL:5 выше, сообщение отфильтровывалось как спам с помощью фильтрации содержимого, которая не зависит от ARC.
Решение. Попробуйте следующие параметры, чтобы устранить фильтрацию нежелательной почты:
- Создайте правило потока обработки почты, чтобы присвоить SCL значение -1 для сообщений от доверенных отправителей или IP-адресов.
- Добавьте домен отправителя в список разрешенных политик защиты от нежелательной почты.
- Отправьте сообщение как ложноположительное на портале Microsoft Defender.
Справочник кодов причин CompAuth
В следующей таблице приведены коды причин составной проверки подлинности (CompAuth), отображаемые в заголовке Authentication-Results .
| Код причины | Описание |
|---|---|
000 |
Сообщение не прошло составную аутентификацию (явный отказ). |
001 |
Сообщение не прошло комплексную проверку подлинности (неявная ошибка). |
002 |
Сообщение имеет явный обход SPF/DKIM, который предотвращает оценку составной проверки подлинности. |
010 |
Сообщение было исключено из фильтрации DMARC (например, отправлено самому себе). |
1xx |
Сообщение не прошло проверку DMARC с действием, определённым политикой DMARC. |
130 |
Переопределение ARC: составная аутентификация прошла благодаря доверенному подписывающему узлу ARC. |
2xx |
Сообщение условно прошло составную аутентификацию (источник был подозрительным). |
3xx |
Составная аутентификация не проверена. |
4xx |
Сообщение обошло составную проверку подлинности. |
Совет
После добавления или изменения доверенных запечатывителей ARC предоставьте до 30 минут, чтобы конфигурация влалась в силу. Протестируйте новые сообщения, отправленные после этого периода.
Дальнейшие действия
Проверьте заголовки ARC с помощью анализатора заголовков сообщений по адресу https://mha.azurewebsites.net.
Настройте SPF, DKIM и DMARC для вашего домена.
Сведения о диагностике и устранении ошибок проверки подлинности электронной почты см. в статье Устранение неполадок с проверкой подлинности электронной почты в Microsoft 365.