Defaults.Exposed › Asennus › DMARC

DMARC-tietueen lisääminen Microsoft 365:ssä

Lisää DMARC-tietue DNS:ääsi ja kerro vastaanottajille, miten toimia viestien kanssa, jotka eivät läpäise SPF- ja DKIM-tarkistuksia.

Miksi tämä on tärkeää yrityksellesi

DMARC on käytäntö, joka yhdistää SPF:n ja DKIM:n. Se kertoo vastaanottaville sähköpostipalvelimille, mitä tehdä, kun verkkotunnuksesi nimissä lähetetty viesti epäonnistuu näissä tarkistuksissa — jättää sen huomiotta, siirtää roskapostiin tai hylätä se kokonaan — ja se voi lähettää sinulle raportteja siitä, kuka lähettää (ja väärentää) sähköpostia nimissäsi. Käytännössä: DMARC on se mekanismi, joka estää rikollisia esiintymästä verkkotunnuksesi nimissä huijatakseen asiakkaitasi ja henkilöstöäsi. Se on ilmainen, ja se muuttaa SPF:n ja DKIM:n “mukavasta lisästä” todelliseksi suojaksi.

Tee ensin SPF ja DKIM

DMARC on riippuvainen SPF:stä ja DKIM:stä. Määritä ne ennen DMARC:ia tai samanaikaisesti. DMARC-tietue yksinään — ilman toimivaa SPF:ää/DKIM:iä — voi estää oman aidon sähköpostisi toimituksen. Aloita varovaisesti (katso alla olevaa käytäntöhuomiota) ja tiukenna asetuksia vähitellen.

Tärkeää: missä tämä tehdään

Kuten SPF, DMARC on DNS-tietue, ei asetus Microsoft 365:ssä. Microsoft 365 on sähköpostiympäristösi (se pyörittää postilaatikoita), mutta DMARC-tietue lisätään sinne, missä verkkotunnuksesi DNS sijaitsee — rekisteröijällesi, web-hotellillesi, Cloudflaressa tai kenellä tahansa, joka hallinnoi nimipalvelimiasi. Jos annat Microsoftin hallita DNS:äsi, voit lisätä sen Microsoft 365 -hallintakeskuksessa → Asetukset → Verkkotunnukset → DNS-tietueet; muutoin se lisätään DNS-isäntääsi. Microsoftissa ei ole erillistä “DMARC-kytkintä” — Microsoftin rooli on yksinkertaisesti se, että toimiva SPF ja DKIM (erikseen määritettynä) ovat DMARC:in perusta.

Ensin: mikä yritys hallinnoi DNS:äsi?

DMARC-tietue toimii vain, jos se lisätään sinne, mihin verkkotunnuksesi nimipalvelimet osoittavat. Jos olet epävarma, tarkista rekisteröijätilisi Nameservers-osio tai kysy sivustosi rakentajalta. Lisää tietue sen yrityksen DNS-asetuksiin (etsi DNS / Records / Advanced DNS).

Mitä lisätään

Yksi TXT-tietue erityisessä isäntänimessä: _dmarc.

Turvallinen aloitusarvo, joka vain seuraa eikä koskaan estä mitään:

v=DMARC1; p=none; rua=mailto:[email protected]

• p=none = pelkkä seuranta; mitään ei estetä vielä. Hyvä ensimmäisille viikoille.
• rua=mailto:... = minne yhteenvetoraportit lähetetään. Käytä oikeaa postilaatikkoa, jota tarkistat.
• Kun olet vahvistanut (raporttien ja ilmaisen tarkistuksen avulla), että aito sähköpostisi läpäisee tarkistukset, voit tiukentaa käytäntöä p=quarantine-tasolle (epäonnistuneet viestit roskapostiin) ja myöhemmin p=reject-tasolle (epäonnistuneet viestit hylätään). Microsoft suosittelee tavoittelemaan p=reject-tasoa, kun olet varma tilanteesta.

Vaiheet

1. Kirjaudu sisään DNS-isäntääsi (rekisteröijäsi, web-hotellisi tai DNS-palveluntarjoajasi — tai Microsoft 365 -hallintakeskukseen, jos Microsoft hallinnoi DNS:äsi).
2. Avaa verkkotunnuksesi DNS-asetukset (etsi DNS / Records / Advanced DNS).
3. Lisää uusi tietue ja valitse TXT.
4. Kirjoita Name / Host -kenttään täsmälleen _dmarc (alaviivalla). Älä kirjoita _dmarc.yourdomain.com — DNS-isäntä lisää verkkotunnuksesi automaattisesti.
5. Liitä Value-kenttään DMARC-merkkijono, esim. v=DMARC1; p=none; rua=mailto:[email protected] (korvaa sähköpostiosoite oikealla osoitteella, jota seuraat).
6. Jätä TTL oletusasetukselle.
7. Tallenna.

Yleisiä virheitä

• Se ei ole postilaatikkoasetus. Monet etsivät Microsoft 365:n asetuksista “DMARC”-kytkintä — sitä ei siellä ole. Se kuuluu DNS:ääsi.
• Isäntänimi on _dmarc, alaviivoineen. Alaviivan puuttuminen tai koko verkkotunnuksen kirjoittaminen sen perään sijoittaa tietueen väärään paikkaan, eikä DMARC:ia löydetä.
• Kiinnitä huomiota lainausmerkkeihin. Liitä arvo sellaisenaan; useimmat DNS-isännät lisäävät lainausmerkit puolestasi. Älä ympäröi sitä "..."-merkeillä itse.
• Vain yksi DMARC-tietue. _dmarc-osoitteessa tulee olla täsmälleen yksi TXT-tietue. Jos sellainen on jo olemassa, muokkaa sitä äläkä lisää toista.
• Aloita p=none. Hyppääminen suoraan p=reject-tasolle ennen kuin SPF/DKIM on kunnossa voi estää omien laskujesi ja tarjoustesi toimituksen. Seuraa ensin, tiukenna myöhemmin.
• Käytä oikeaa raportointipostilaatikkoa. rua-osoitteen täytyy olla sellainen, johon oikeasti pystyt vastaanottamaan sähköpostia.
• Anna muutoksille aikaa. DNS-muutokset voivat kestää muutamasta minuutista pariin tuntiin.

Tarkista, että se toimi

Kun olet tallentanut tietueen, vahvista, että DMARC-tietueesi on aktiivinen ja järkevä Defaults.Exposed-sivuston ilmaisella tarkistuksella. Syötä verkkotunnuksesi, niin se kertoo selkokielellä, onko DMARC määritetty oikein ja mitä tehdä seuraavaksi. Tietosi käsitellään EU:ssa.

Valmis? Tarkista verkkotunnuksesi ilmaiseksi vahvistaaksesi, että se toimi — ja nähdäksesi koko arvosanasi kaikissa 34 tarkistuksessa.