Defaults.Exposed › Persediaan › DMARC

Cara menyediakan DMARC di Microsoft 365

Tambah rekod DMARC dalam DNS anda untuk memberitahu penerima apa yang perlu dilakukan terhadap emel yang gagal semakan SPF dan DKIM anda.

Mengapa ini penting untuk perniagaan anda

DMARC adalah polisi yang menghubungkan SPF dan DKIM bersama-sama. Ia memberitahu pelayan mel penerima apa yang perlu dilakukan apabila emel yang mendakwa datang dari domain anda gagal semakan tersebut — abaikan, hantar ke spam, atau tolak terus — dan ia boleh menghantar laporan kepada anda menunjukkan siapa yang menghantar (dan memalsukan) mel sebagai anda. Dalam bahasa mudah: DMARC adalah apa yang sebenarnya menghalang penjenayah dari menyamar sebagai domain anda untuk menipu pelanggan dan kakitangan anda. Ia percuma, dan ia mengubah SPF dan DKIM dari “bagus ada” kepada perlindungan sebenar.

Buat SPF dan DKIM dahulu

DMARC bergantung pada SPF dan DKIM. Sediakan dahulu, atau serentak, dengan DMARC. Rekod DMARC sahaja — tanpa SPF/DKIM yang berfungsi — boleh menyebabkan emel sah anda sendiri disekat. Mulakan dengan lembut (lihat nota polisi di bawah) dan ketatkan lama-kelamaan.

Penting: di mana ini dilakukan

Seperti SPF, DMARC adalah rekod DNS, bukan tetapan dalam Microsoft 365. Microsoft 365 adalah platform mel anda (ia menjalankan peti mel), tetapi rekod DMARC ditambah di mana pun DNS domain anda berada — pendaftar anda, hos web, Cloudflare, atau sesiapa yang mengawal nameserver anda. Jika anda membiarkan Microsoft menguruskan DNS anda, anda tambah di pusat pentadbiran Microsoft 365 → Settings → Domains → DNS records; jika tidak, ia berada di hos DNS anda. Tiada “suis DMARC” berasingan dalam Microsoft — bahagian Microsoft hanyalah SPF dan DKIM yang berfungsi (disediakan secara berasingan) yang diandalkan oleh DMARC.

Pertama: syarikat mana yang menguruskan DNS anda?

Rekod DMARC hanya berfungsi jika ditambah di mana pun nameserver domain anda menunjuk. Jika anda tidak pasti, semak bahagian Nameservers dalam akaun pendaftar anda, atau tanya sesiapa yang menyediakan laman web anda. Tambah rekod dalam tetapan DNS syarikat tersebut (cari DNS / Records / Advanced DNS).

Apa yang akan anda tambah

Satu rekod TXT pada nama hos khas: _dmarc.

Nilai permulaan yang selamat, yang hanya memantau dan tidak pernah menyekat apa-apa, ialah:

v=DMARC1; p=none; rua=mailto:[email protected]

• p=none = pemantauan sahaja; tiada yang disekat lagi. Baik untuk beberapa minggu pertama.
• rua=mailto:... = tempat laporan ringkasan dihantar. Gunakan peti mel sebenar yang anda semak.
• Setelah anda mengesahkan (melalui laporan dan semakan percuma) bahawa mel sah anda lulus, anda boleh mengetatkan polisi ke p=quarantine (hantar gagal ke spam) dan kemudian p=reject (tolak gagal terus). Microsoft mengesyorkan bergerak ke arah p=reject apabila anda yakin.

Langkah-langkah

1. Log masuk ke hos DNS anda (pendaftar, hos web, atau penyedia DNS anda — atau pusat pentadbiran Microsoft 365 jika Microsoft menguruskan DNS anda).
2. Buka tetapan DNS untuk domain anda (cari DNS / Records / Advanced DNS).
3. Tambah rekod baru dan pilih TXT.
4. Dalam medan Name / Host, masukkan tepat-tepat _dmarc (dengan garis bawah di hadapan). Jangan taip _dmarc.yourdomain.com — hos DNS menambahkan domain anda secara automatik.
5. Dalam medan Value, tampal rentetan DMARC anda, contoh v=DMARC1; p=none; rua=mailto:[email protected] (gantikan emel dengan alamat sebenar yang anda pantau).
6. Biarkan TTL pada lalai.
7. Simpan.

Kesilapan yang sering berlaku

• Ia bukan tetapan peti mel. Orang ramai mencari “DMARC” dalam tetapan Microsoft 365 — ia tidak ada sebagai togol. Ia berada dalam DNS anda.
• Nama hos adalah _dmarc, dengan garis bawah. Meninggalkan garis bawah, atau menaip domain penuh selepasnya, meletakkan rekod di tempat yang salah dan DMARC tidak akan dijumpai.
• Perhatikan petikan. Tampal nilai biasa; kebanyakan hos DNS menambah petikan untuk anda. Jangan bungkus dengan "..." sendiri.
• Satu rekod DMARC sahaja. Mestilah ada tepat satu rekod TXT di _dmarc. Jika ada satu, edit ia dan jangan tambah yang kedua.
• Mulakan dengan p=none. Melompat terus ke p=reject sebelum SPF/DKIM mantap boleh menyekat invois dan sebut harga anda sendiri. Pantau dahulu, ketatkan kemudian.
• Gunakan peti mel laporan yang sebenar. Alamat rua mestilah yang anda boleh terima sebenarnya.
• Beri masa. Perubahan DNS boleh mengambil dari beberapa minit hingga beberapa jam untuk berkuat kuasa di mana-mana.

Sahkan ia berfungsi

Setelah disimpan, sahkan rekod DMARC anda aktif dan betul dengan semakan percuma di Defaults.Exposed. Masukkan domain anda dan ia akan memberitahu anda dalam bahasa mudah sama ada DMARC disediakan dengan betul dan apa yang perlu dilakukan seterusnya. Data anda diproses di EU.

Sudah selesai? Semak domain anda secara percuma untuk mengesahkan ia berjaya — dan lihat gred penuh anda merentasi kesemua 34 semakan.