Come configurare l'autenticazione e-mail con Microsoft Office (SPF, DKIM, DMARC)

Autenticazione e-mail di Microsoft Office 365 - SPF, DKIM, DMARC

Stiamo riscontrando sempre più problemi di consegna con i clienti in questi giorni e troppe aziende non hanno le basi autenticazione e-mail istituito con i loro fornitori di servizi di posta elettronica e marketing di posta elettronica dell'ufficio. La più recente è stata una società di e-commerce con cui stiamo lavorando che invia i propri messaggi di supporto da Microsoft Exchange Server.

Questo è importante perché le e-mail di assistenza clienti del cliente utilizzano questo scambio di posta e quindi vengono instradate attraverso il loro sistema di ticket di supporto. Pertanto, è essenziale impostare l'autenticazione e-mail in modo che tali e-mail non vengano rifiutate inavvertitamente.

Quando configuri Microsoft Office per la prima volta sul tuo dominio, Microsoft ha una buona integrazione con la maggior parte dei server di registrazione del dominio dove configurano automaticamente tutto lo scambio di posta necessario (MX) record nonché un quadro normativo per il mittente (SPF) record per l'e-mail di Office. Un record SPF con Microsoft che invia l'e-mail dell'ufficio è un record di testo (TXT) nel tuo registrar di domini che assomiglia a questo:

v=spf1 include:spf.protection.outlook.com -all

SPF è una tecnologia più vecchia, tuttavia, e l'autenticazione e-mail è avanzata con l'autenticazione, il reporting e la conformità dei messaggi basati sul dominio (DMARC) tecnologia in cui è meno probabile che il tuo dominio venga falsificato da uno spammer e-mail. DMARC fornisce la metodologia per impostare la severità con cui si desidera che i provider di servizi Internet (ISP) convalidino le informazioni di invio e fornisce una chiave pubblica (RSA) per verificare il tuo dominio con il provider di servizi, in questo caso Microsoft.

Passaggi per configurare DKIM in Office 365

Mentre a molti ISP piace Area di lavoro di Google fornire 2 record TXT da configurare, Microsoft lo fa in modo leggermente diverso. Spesso ti forniscono 2 record CNAME in cui qualsiasi autenticazione viene rinviata ai loro server per la ricerca e l'autenticazione. Questo approccio sta diventando piuttosto comune nel settore... in particolare con i fornitori di servizi di posta elettronica e i fornitori di DMARC-as-a-service.

  1. Pubblica due record CNAME:

CNAME: selector1._domainkey 
VALUE: selector1-{your sending domain}._domainkey.{your office subdomain}.onmicrosoft.com
TTL: 3600

CNAME: selector2._domainkey
VALUE: selector2-{your sending domain}._domainkey.{your office subdomain}.onmicrosoft.com
TTL: 3600

Ovviamente, devi aggiornare rispettivamente il tuo dominio di invio e il tuo sottodominio dell'ufficio nell'esempio sopra.

  1. Creare le tue chiavi DKIM nel tuo Microsoft 365 Defender, il pannello di amministrazione di Microsoft per consentire ai clienti di gestire la sicurezza, le politiche e le autorizzazioni. Lo troverai dentro Politiche e regole > Politiche sulle minacce > Politiche antispam.

dkim keys microsoft 365 defender

  1. Dopo aver creato le tue chiavi DKIM, dovrai abilitarle Firma i messaggi per questo dominio con firme DKIM. Una nota su questo è che potrebbero essere necessarie ore o addirittura giorni per la convalida poiché i record di dominio sono memorizzati nella cache.
  2. Una volta aggiornato, puoi esegui i tuoi test DKIM per assicurarsi che funzionino correttamente.

Che dire dell'autenticazione e-mail e dei rapporti sulla consegna?

Con DKIM, in genere imposti un indirizzo e-mail di acquisizione per ricevere eventuali rapporti sulla consegna. Un'altra caratteristica interessante della metodologia di Microsoft qui è che registrano e aggregano tutti i tuoi rapporti sulla consegna, quindi non è necessario monitorare quell'indirizzo e-mail!

report di spoofing della posta elettronica di sicurezza di Microsoft 365