Reklama:

E-mailové zprávy, které odesíláte nemusí vždy být vaše. Co tím myslím? Internetoví útočníci mohou například podvrhnout vaši e-mailovou adresu jako jejich vlastní. Může tak přijít e-mail, který se tváří jako odeslaný od vás, ale není to pravda.

Jak se můžete chránit? Pomocí speciálních DNS záznamů typu TXT. Těmito záznamy jsou v Office 365 záznamy SPF, DKIM a DMARC. Ty přidáte ke své doméně a máte vyhráno.

Co je SPF záznam pro Office 365 a jak ho nastavit?

SPF = Sender Policy Framework ověřuje IP adresu odesílatele a pomáhá tak zabránit zfalšování (spoofingu) odesílatele e-mailu. V DNS záznamech je zapsánajako TXT záznam potřebný pro Office 365 a jiné služby, které odesílají e-maily jménem vaší domény. SPF záznam spolupracuje se záznamem DMARC.

v=spf1 include:spf.protection.outlook.com -all
Takto vypadá DNS záznam SPF v Office 365. Pokud používáte další služby odesílající e-maily jménem vaší domény, záznamů je potřeba více.

Jak vytvořit SPF záznam pro Exchange Online?

Záleží na tom, co vše používáte pro odesílání e-mailů z vaší domény. Podle toho sestavíte SPF záznam.

Záznam musí obsahovat tyto hodnoty:

v=spf1

Tento záznam je začátek každého SPF záznamu TXT v DNS.

pravidlo prosazování <-all, ~all, ?all>

-All ~all ?all
Pokud znáte veškeré IP adresy a odesílatele a uvedete je v SPF záznamu, použijte toto pravidlo – silně doporučuji Pokud nevíte, zda jste uvedli veškeré IP adresy a odesílatele, použijte toto pravidlo. Pokud používáte DMARC s pravidlem p=quarantine nebo p=reject Pouze pro testovací účely záznamu. Nedoporučuji používat.

include:spf.protection.outlook.com

Tento záznam znamená, že Exchange Online smí odesílat jménem vaší domény.

Volitelné hodnoty:

a

Přidá k SPF záznamu IP adresu na kterou směřuje DNS záznam typu A u domény.

mx

Přidá k SPF záznamu adresu na kterou směřuje DNS záznam typu MX u domény.

ip4:<IP adresa>

ip6:<IP adresa>

Jako IP adresu můžete doplnit adresu dalšího e-mailového serveru, který smí odesílat poštu jménem vaší domény.

include: <název domény>

Jako název domény můžete doplnit doménu další služby, který smí odesílat poštu jménem vaší domény.

Ukázkové nastavení

Office 365 + Vlastní server na IP adrese 192.168.1.1.

v=spf1 ip:192.168.1.1 include:spf.protection.outlook.com -all

Office 365 + Vlastní server na IP adrese 192.168.1.1. + Webový server

v=spf1 a ip:192.168.1.1 include:spf.protection.outlook.com -all

 

Co je DKIM záznam pro Office 365 a jak ho nastavit?

DKIM = DomainKeys Identified Mail přidává do hlavičky e-mailu ověření odesílatele pomocí privátního klíče (elektronického podpisu), který říká, že je odesílatel za svou zprávu zodpovědný. V DNS jde o CNAME záznamy pro služby, které odesílají e-maily jménem vaší domény.

Host name:
selector1._domainkey.<doména>
Points to address or value:
selector1-<GUID>._domainkey.<počáteční doména>
TTL:
3600
Host name:
selector2._domainkey.<doména>
Points to address or value:
selector2-<GUID>._domainkey.<počáteční doména>
TTL:
3600

Takto vypadají DNS záznamy pro DKIM v Office 365. Pokud používáte další služby odesílající e-maily jménem vaší domény, které podporují DKIM, budete potřebovat přidat další záznamy.

Jak vytvořit DKIM záznam pro Exchange Online?

K vytvoření DKIM záznamu potřebujete znát adresu vaší dočasné domény, kterou jste si vytvořili při založení Office 365 tenantu.

Záznam musí obsahovat tyto hodnoty:

<doména>

Doména, ze které odesíláte e-maily, například: domena.cz

<GUID>

Stejný název domény, jako ten, který obsahuje MX záznam Exchange Online, například domena-cz.mail.protection.outlook.com

<počáteční doména>

Přednastavená doména .onmicrosoft, kterou získáte při založení Office 365. Například: domena-cz.onmicrosoft.com

Ukázkové nastavení

Office 365 s vlastní doménou domena.cz, GUID domena-cz a počáteční doménou domena-cz.onmicrosoft.com

Hostitel: selector1._domainkey.domena.cz
Míří na hodnotu nebo adresu: selector1-domena-cz._domainkey.domena-cz.onmicrosoft.com
TTL: 3600
Hostitel: selector2._domainkey.domena.cz
Míří na hodnotu nebo adresu: selector2-domena-cz._domainkey.domena-cz.onmicrosoft.com
TTL: 3600

Office 365 s vlastní doménou microsoft-office-365.cz, GUID microsoft-office-365-cz a počáteční doménou microsoftoffice365cz.onmicrosoft.com:

Hostitel: selector1._domainkey.microsoft-office-365.cz
Míří na hodnotu nebo adresu: selector1-microsoft-office-365-cz._domainkey.microsoftoffice365cz.onmicrosoft.com
TTL: 3600
Hostitel: selector2._domainkey.microsoft-office-365.cz
Míří na hodnotu nebo adresu: selector2-microsoft-office-365-cz._domainkey.microsoftoffice365cz.onmicrosoft.com
TTL: 3600

Povolení DKIM v Exchange Online Admin Centru (EAC)

  1. Připravíte si CNAME záznamy pro DKIM a počkáte minimálně 1h než se propíšou do DNS
  2. Přihlásíte se do Office 365 pomocí účtu s právy administrátora
  3. Přejdete do správce Office 365
  4. V dolní části levého menu vyberete Centra pro správu > Exchange
  5. Vyberete Ochrana >DKIM
  6. Zvolíte doménu a v pravé části obrazovky kliknete na tlačítko Povolit pod textem: Podepsat zprávy pro tuto doménu pomocí podpisů DKIM: Zakázáno
    exchange-online-dkim

 

Co je DMARC záznam pro Office 365 a jak ho nastavit?

DMARC = Domain-based Message Authentication, Reporting and Conformance je systém, který na základě výsledků obou předchozích kontrol SPF a DKIM vyhodnocuje, zda nebyla zpráva falšována. SPF záznam zkontroluje DNS u příjemce, DKIM zkontroluje odesílatele. Pokud jedna z kontrol objeví problém, pak DMARC ověření selže. Výhodou je, že DMARC může odpovědné osobě zasílat reporty. Pověřená osoba pak může vyhodnocovat jak s e-maily pracují zaměstnanci a najít bezpečnostní rizika. V DNS záznamech se DMARC zapisuje jako TXT záznam.

_dmarc.domena.cz. 3600 IN TXT "v = DMARC1; p = none; pct = 100; rua = mailto: ales@domena.cz; ruf = mailto: ales@domena.cz;
Takto vypadá TXT záznam DMARC v DNS pro služby Office 365 a doménu domena.cz. V Office 365 se nastavuje DMARC pro odchozí poštu.

Jak vytvořit DMARC záznam pro Exchange Online?

Záleží na tom, co vše budete v DMARC záznamu chtít používat. Důležité je mít správně nastaveny předchozí záznamy, tedy DKIM a SPF. Bez nich vám DMARC fungovat nebude a pravděpodobně si vyřadíte z provozu firemní poštu.

Záznam musí obsahovat tyto hodnoty:

v=DMARC1;

Tento záznam je začátek každého DMARC záznamu TXT v DNS. Jde o verzi protokolu.

p = <none, quarantine, reject>;

Nastavení politiky odmítnutí pro doménu:

none quarantine reject
Ideální možnost při první implementaci DMARCu. Pokud nastavíte p = none; poběží pouze monitorování. Podle výstupů z reportingu se pak můžete zaměřit na nastavení emailů ze svých systému a ostatních prvků DMARC záznamu a přejít na striktnější nastavení. Ve chvíli, kdy si budete jisti, že veškerá legitimní e-mailová komunikace je vpořádku zabezpečená pomocí DMARCu, můžete přepnout na režim karantény. V tomto režimu žádáte příjemce, aby e-maily přemístil do karantény, pokud ověření DMARC selhalo. Pokud jste si jisti, že všechny vaše e-maily splňují DMARC pravidla, přepnete na p = reject; čímž řeknete serveru, který přijímá vaše e-maily aby e-maily, které neprojdou kontrolou DMARC, odmítal.

 

Volitelné hodnoty:

sp = <none, quarantine, reject>;

Nastavení politiky odmítnutí pro subdomény.

pct = 100;

Nastavení procento zpráv, které mají procházet kontrolou.

rua:mailto:<e-mail>;

E-mailová adresa pro zasílání souhrnných přehledů.

ruf:mailto:<e-mail>;

E-mailová adresa pro zasílání přehledů o porušení DMARC politiky.

ri: <čas v sekundách>

Definuje čas v sekundách mezi souhrnmi reporty v XML. Standardně 86400 (24h).

Ukázkové nastavení

DMARC pro celou doménu v monitorovacím režimu a s reporty o e-mailech

"v=DMARC1; p=none; rua=mailto:reporty@domena.cz; ruf=mailto:reporty@domena.cz"

DMARC pro doménu v režimu karantény s 25% vzorkem e-mailů, které jsou podrobeny ověření

"v=DMARC1; p=quarantine; rua=mailto:reporty@domena.cz, mailto:reporty@domena.cz; pct=25;

Reklama: