Поделиться через

Настройка доверенных запечатывщиков ARC

Email проверка подлинности помогает проверять почту, отправленную в организацию Microsoft 365 и из нее, чтобы предотвратить поддельные отправители, которые используются для компрометации электронной почты (BEC), программ-шантажистов и других фишинговых атак.

Но некоторые допустимые службы электронной почты могут изменять сообщения, прежде чем они будут доставлены в вашу организацию Microsoft 365. Изменение входящих сообщений при передаче может привести к следующим сбоям проверки подлинности электронной почты в Microsoft 365:

  • Сбой SPF из-за нового источника сообщений (IP-адреса).
  • DKIM завершается сбоем из-за изменения содержимого.
  • Сбой DMARC из-за сбоев SPF и DKIM.

Цепочка получения с проверкой подлинности (ARC) помогает сократить количество ошибок проверки подлинности входящей электронной почты из-за изменения сообщений допустимыми службами электронной почты. Arc сохраняет исходные сведения о проверке подлинности электронной почты в службе электронной почты. Вы можете настроить организацию Microsoft 365 так, чтобы она доверяла службе, изменив сообщение, и использовать эти исходные сведения в проверках проверки подлинности по электронной почте.

Когда следует использовать доверенные запечатыватели ARC?

Организация Microsoft 365 должна определять доверенные запечатывщики ARC только в том случае, если сообщения, доставляемые получателям Microsoft 365, регулярно затрагиваются следующими способами:

  • Служба-посредник изменяет заголовок сообщения или содержимое сообщения электронной почты.
  • Изменения сообщения приводят к сбою проверки подлинности по другим причинам (например, путем удаления вложений).

После того как администратор добавляет доверенный запечатыватель ARC на портале Defender, Microsoft 365 использует исходные сведения о проверке подлинности электронной почты, которые предоставляет запечатыватель ARC для проверки сообщений, отправляемых через службу в Microsoft 365.

Совет

Добавьте в организацию Microsoft 365 только допустимые необходимые службы в качестве доверенных запечатывщиков ARC. Это действие помогает затронутым сообщениям пройти проверку подлинности электронной почты и предотвратить доставку допустимых сообщений в папку "Нежелательная Email", помещены в карантин или отклонены из-за сбоев проверки подлинности электронной почты.

Что нужно знать перед началом работы

  • Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу параметров проверки подлинности Email, используйте https://security.microsoft.com/authentication.

  • Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell. Чтобы подключиться к автономному EOP PowerShell, см. раздел Подключение к PowerShell Exchange Online Protection.

  • Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

    • Microsoft Defender XDR единое управление доступом на основе ролей (RBAC) (если Email & совместной работы>Defender для Office 365 разрешения активны. Влияет только на портал Defender, а не На PowerShell: авторизация и параметры/Параметры безопасности/Основные параметры безопасности (управление) или Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (чтение).

    • разрешения Exchange Online: членство в группах ролей "Управление организацией" или "Администратор безопасности".

    • разрешения Microsoft Entra. Членство в ролях глобального администратора* или администратора безопасности предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

      Важно!

      * Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

Использование портала Microsoft Defender для добавления доверенных запечаток ARC

  1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите к разделу Email & Политики совместной работы>& Правила>Политики> угроз Email Параметры проверки подлинности в разделе >ПравилаARC. Или, чтобы перейти непосредственно на страницу параметров проверки подлинности Email, используйте https://security.microsoft.com/authentication.

  2. На странице Email параметров проверки подлинности убедитесь, что выбрана вкладка ARC, а затем нажмите кнопку Добавить.

    Совет

    Если доверенные запечатывщики уже указаны на вкладке ARC , выберите Изменить.

  3. Во всплывающем окне Добавление доверенных запечаток ARC введите в поле доверенный домен подписи (например, fabrikam.com).

    Доменное имя должно соответствовать домену, который отображается в значении d в заголовках ARC-Seal и ARC-Message-Signature в затронутых сообщениях. Используйте следующие методы для просмотра заголовка сообщения:

    Повторите этот шаг нужное количество раз. Чтобы удалить существующую запись, щелкните рядом с записью.

    По завершении во всплывающем окне Добавление доверенных запечатывщиков ARC выберите Сохранить.

Добавление доверенных запечаток ARC с помощью PowerShell Exchange Online

Если вы предпочитаете использовать PowerShell для просмотра, добавления или удаления доверенных запечатывщиков ARC, подключитесь к Exchange Online PowerShell, чтобы выполнить следующие команды.

  • Просмотр существующих доверенных уплотнителей ARC

    Get-ArcConfig

    Если доверенные запечатывщики ARC не настроены, команда не возвращает результатов.

  • Добавление или удаление доверенных уплотнителей ARC

    Чтобы заменить все существующие запечатывщики ARC указанными значениями, используйте следующий синтаксис:

    Set-ArcConfig -Identity [TenantId\]Default -ArcTrustedSealers "Domain1","Domain2",..."DomainN"

    Значение TenantId\ не требуется в вашей организации, только в делегированных организациях. Это GUID, который отображается во многих URL-адресах портала администрирования в Microsoft 365 ( tid= значение). Например, a32d39e2-3702-4ff5-9628-31358774c091.

    В этом примере настраивается "cohovineyard.com" и "tailspintoys.com" как единственные доверенные запечатывщики ARC в организации.

    Set-ArcConfig -Identity Default -ArcTrustedSealers "cohovineyard.com","tailspintoys.com"

    Чтобы сохранить существующие значения, обязательно включите уплотнители ARC, которые необходимо сохранить вместе с новыми уплотнителями ARC, которые вы хотите добавить.

    Сведения о добавлении или удалении запечаток ARC без влияния на другие записи см. в разделе Примеры в Set-ArcConfig.

Проверка надежного уплотнителя ARC

При наличии уплотнения ARC от службы до того, как сообщение достигнет Microsoft 365, проверка заголовок сообщения для последних заголовков ARC после доставки сообщения.

В последнем заголовке ARC-Authentication-Results найдите arc=pass и oda=1. Эти значения указывают:

  • Предыдущая arc была проверена.
  • Предыдущий запечатыватель ARC является доверенным.
  • Предыдущий результат прохода можно использовать для переопределения текущего сбоя DMARC.

Например:

ARC-Authentication-Results: i=2; mx.microsoft.com 1; spf=pass (sender ip is
172.17.17.17) smtp.rcpttodomain=microsoft.com
smtp.mailfrom=sampledoamin.onmicrosoft.com; dmarc=bestguesspass action=none
header.from=sampledoamin.onmicrosoft.com; dkim=none (message not signed);
arc=pass (0 oda=1 ltdi=1
spf=[1,1,smtp.mailfrom=sampledoamin.onmicrosoft.com]
dkim=[1,1,header.d=sampledoamin.onmicrosoft.com]
dmarc=[1,1,header.from=sampledoamin.onmicrosoft.com])

Чтобы проверка, использовался ли результат ARC для переопределения сбоя DMARC, найдите compauth=pass и reason=130 в последнем заголовке Authentication-Results. Например:

Authentication-Results: spf=fail (sender IP is 10.10.10.10)
smtp.mailfrom=contoso.com; dkim=fail (body hash did not verify)
header.d=contoso.com;dmarc=fail action=none
header.from=contoso.com;compauth=pass reason=130

Примечание.

Передача результата ARC от надежного уплотнителя ARC может потенциально переопределить сбои В SPF, DKIM или DMARC, вызванные изменением сообщения во время передачи. Однако окончательное определение спуфинга основано на результатах составной проверки подлинности (CompAuth). Сообщения, которые завершаются сбоем ARC, могут по-прежнему доставляться, если они проходят оценки SPF, DKIM, DMARC и составной проверки подлинности.

Схемы потоков обработки почты доверенного запечатателя ARC

Схемы в этом разделе контрастируют поток обработки почты и влияние на результаты проверки подлинности электронной почты с доверенным запечатывщиком ARC и без нее. На обеих схемах организация Microsoft 365 использует законную службу электронной почты, которая изменяет входящие сообщения перед доставкой в Microsoft 365. Это изменение прерывает поток обработки почты, что может привести к сбоям проверки подлинности электронной почты путем изменения исходного IP-адреса и обновления заголовка сообщения электронной почты.

На этой схеме показан результат без надежного уплотнителя ARC:

Компания Contoso публикует SPF, DKIM и DMARC. Отправитель, использующий SPF, отправляет сообщение электронной почты из contoso.com в fabrikam.com, и это сообщение проходит через законную стороннюю службу, которая изменяет IP-адрес отправки в заголовке электронной почты. Во время проверка DNS в Microsoft 365 сообщение завершается сбоем SPF из-за измененного IP-адреса и происходит сбой DKIM из-за изменения содержимого. Сбой DMARC из-за сбоев SPF и DKIM. Сообщение доставляется в папку

На этой схеме показан результат с доверенным запечатывщиком ARC:

Компания Contoso публикует SPF, DKIM и DMARC, но также настраивает необходимые доверенные запечатывающие устройства ARC. Отправитель, использующий SPF, отправляет сообщение электронной почты из contoso.com в fabrikam.com, и это сообщение проходит через законную стороннюю службу, которая изменяет IP-адрес отправки в заголовке электронной почты. Служба использует запечатывание ARC, и так как служба определена как доверенный запечатыватель ARC в Microsoft 365, изменение принимается. Сбой SPF для нового IP-адреса. DKIM завершается сбоем из-за изменения содержимого. Сбой DMARC из-за предыдущих сбоев. Но ARC распознает изменения, выдает pass и принимает изменения. Спуф также получает пропуск. Сообщение доставляется в папку

Дальнейшие действия

Проверьте заголовки ARC с помощью анализатора заголовков сообщений в https://mha.azurewebsites.net.

Ознакомьтесь с процедурами конфигурации SPF, DKIM, DMARC.