为 Microsoft 365 配置 DMARC 记录

您的组织已设置 SPF 和 DKIM，因此最后一步是配置 DMARC 记录。这是保护您的域免受垃圾邮件和网络钓鱼攻击的终极组合。在本文中，您将了解如何为 Microsoft 365 域配置 DMARC 记录。

什么是 SPF、DKIM 和 DMARC？

DMARC、DKIM 和 SPF 是三种电子邮件身份验证方法。它们共同帮助防止垃圾邮件发送者、网络钓鱼者和其他未经授权的各方代表他们不拥有的域发送电子邮件。

1. 为 Microsoft 365 配置 SPF 记录
2. 为 Microsoft 365 配置 DKIM 记录
3. 为 Microsoft 365 配置 DMARC 记录（本文）

什么是 DMARC？

DMARC 代表基于域的消息身份验证、报告和一致性。它是一种电子邮件身份验证协议，与 SPF 和 DKIM 一起发挥着重要作用。借助 DMARC，您可以提高电子邮件的送达率和安全性。

DMARC 政策和报告

SPF 和 DKIM 到位后，您可以在 DNS 记录中发布 DMARC 策略。 DMARC 策略指定如果传入电子邮件未通过 SPF 或 DKIM 检查，电子邮件接收者应采取哪些操作。

DMARC 策略具有三种不同的模式，您可以设置：

• 无（监控模式）- 域所有者收到有关身份验证尝试失败的报告，但不指示电子邮件接收者采取任何特定操作。
• 隔离 - 电子邮件接收者应将未通过身份验证的电子邮件视为可疑电子邮件，并将其发送到收件人的垃圾邮件或隔离文件夹。
• 拒绝 - 电子邮件接收者应拒绝且不发送未通过身份验证的电子邮件。

DMARC 还向域所有者提供有关电子邮件身份验证结果的详细报告。该报告指示电子邮件是否已成功通过身份验证、失败或未通过身份验证。 DMARC 报告很重要，因为它可以判断合法电子邮件何时未通过 SPF 和 DKIM，或者垃圾邮件发送者何时试图发送合法电子邮件。

在 Microsoft 365 中配置 DMARC

您需要使用工具创建 DMARC 记录。然后复制 DMARC TXT 记录并将其添加到 DNS。

1. 在 Microsoft 365 中创建 DMARC 记录

要创建 DMARC 记录，请执行以下步骤：

1. 转到 MxToolBox DMARC 记录生成器
2. 输入域名
3. 点击检查 DMARC 记录

如何创建 DMARC 记录：

1. 选择无
2. 输入将接收 DMARC 报告的电子邮件地址
3. 输入将再次接收 DMARC 报告的电子邮件地址
4. 选择否
5. 复制建议的 DMARC 记录

注意：您需要添加将接收 DMARC 报告的电子邮件地址。

2. 将 Microsoft 365 的 DMARC TXT 记录添加到 DNS

创建 DMARC 记录后，我们必须将 DMARC TXT 记录添加到我们的公共 DNS 服务器。在我们的示例中，我们需要添加以下信息。

Type: TXT
Host/Name: _DMARC.a-d.site
Value: v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1

要添加 Microsoft 365 DMARC TXT 记录，请按照以下步骤操作：

1. 登录您的提供商 (Cloudflare)
2. 转到 DNS 记录
3. 添加TXT
4. 输入主机名：_dmarc
5. 添加您在上一步中从生成器复制的 DMARC TXT 记录值

添加 DMARC 记录，如下面的屏幕截图所示。

注意：完成 DMARC 更改最多可能需要 24 小时，但大多数情况下，它将在 15 分钟内解决。

验证 DMARC TXT 记录

为了验证 Microsoft 365 的 DMARC 记录设置正确，我们将使用不同的方法。 MxToolBox 和 Dmarcian 测试仅显示您是否将 DMARC 记录正确发布到 DNS 中。这并不意味着发送电子邮件时包含 DMARC 身份验证。因此，您还需要发送测试邮件并分析邮件标头。

使用 MxToolbox 检查 DMARC

要检查 DMARC 记录，请执行以下步骤：

1. 转到 MxToolBox DMARC 检查工具
2. 填写域名
3. 单击DMARC 查找

1. DMARC记录结果为绿色，表示发布成功
2. DMARC 策略出现警告，因为它未设置为隔离或拒绝

结果是正确的，因为我们出于监控目的将 DMARC 策略设置为“无”

注意：如果您在一个月后对 DMARC 结果感到满意，可以将政策从无更改为隔离或拒绝 。

1. 前往您的 DNS 提供商并将策略从 p=none 更改为 p=reject 或 p=quarantine
2. 然后再次在MxToolBox中测试DMARC记录

在我们的示例中，启用了 DMARC 策略，并将其更改为 p=reject。

您正确配置了 DMARC 记录！

使用 Dmarcian 检查 DMARC

使用 Dmarcian DMARC 记录检查器检查您的 DMARC 记录：

1. 输入您的域名
2. 单击检查域

向下滚动以查看有关 DMARC 记录的结果和信息。

1. 它显示 DMARC 记录有效，并且 DMARC 策略设置为 p=reject

使用 Gmail 检查 DMARC

验证 DMARC 是否已成功添加的另一种方法是将测试电子邮件从 Microsoft 365 组织邮箱发送到外部电子邮件 (Gmail)。

在我们的示例中，我们从 [email protected] 向外部电子邮件地址 [email protected] 发送了一封电子邮件。

转到收件人的 Gmail 收件箱查看原始电子邮件标头：

1. 打开电子邮件
2. 单击三个点
3. 点击显示原始内容

1. DMARC信息显示PASS

Gmail 原始邮件不会显示 DMARC 是否未通过测试，而是删除整个 DMARC 行。因此，当您在原始消息中找不到 DMARC 时，则意味着您没有设置它，或者配置不正确。

使用 CheckTLS 检查 DMARC

使用 CheckTLS 工具测试邮件标头中的 DMARC 身份验证：

1. 转到检查TLS
2. 单击选择要显示的额外项目
3. 选择DMARC信息
4. 单击启动侦听器

在我们的示例中，我们将从 [email protected] 发送电子邮件。

请按照以下步骤发送测试电子邮件：

1. 将地址复制并粘贴到 [email protected]
2. 将密码复制并粘贴到电子邮件的主题中
3. 在消息中输入DMARC

1. 创建包含所需信息的新电子邮件
2. 发送测试电子邮件

发送电子邮件后，您需要检查收件箱，因为您将收到一封来自 CheckTLS 的电子邮件。

1. 打开来自 CheckTLS 的电子邮件以查看报告
2. 结果显示DMARC_result: pass，表示邮件发送成功

另外，请检查您发布的 DMARC 策略 > DMARC_published.p：拒绝。在我们的示例中，我们在 DNS 中将其从 p=none 更改为 p=reject。结果不应为 p: none，因为这意味着您没有完全实施 DMARC。

常见问题 (FAQ)

我需要设置 DMARC 吗？

是的，设置 DMARC 来保护您的域非常重要。它需要配置有效的 SPF 和 DKIM，因为这些身份验证方法可以区分合法电子邮件和虚假电子邮件。

什么是 DMARC 记录？

DMARC 记录是您在 DNS 托管提供商处发布的 DNS（域名系统）TXT 记录。 DMARC 记录包含有关域的 DMARC 策略的信息。它指定如果传入电子邮件未通过 SPF 或 DKIM 检查，电子邮件接收者应采取哪些操作。

DMARC 是唯一需要设置的电子邮件身份验证方法吗？

DMARC 只是三种电子邮件身份验证方法中的一部分。每个组织都应实施邮件安全标准 SPF、DKIM 和 DMARC。

结论

您了解了如何为 Microsoft 365 配置 DMARC 记录。使用 MxToolbox DMARC 记录生成器创建 DMARC 记录。然后复制 DMARC 记录，并将 DMARC TXT 记录添加到您的 DNS 中。通过在 MxToolBox 或 Dmarcian 中执行 DMARC 测试来验证您发布了有效的 DMARC 记录。另外，通过发送带有 CheckTLS 的测试电子邮件来检查邮件标头中的 DMARC 身份验证。

您喜欢这篇文章吗？您可能还喜欢在 Microsoft 365 中配置捕获所有邮箱。不要忘记关注我们并分享这篇文章。