• Účel nástroje/nastavení: ochrana proti spamu, ochrana proti phishingu

• Cílová skupina uživatelů: všichni uživatelé

• Požadované licence: libovolná licence

• Závislost na specifikách instance MS 365: ano

• Prostředí: Online i Hybrid

• Potřebná oprávnění: Global Administrator / Security Administrator

• Cena/Náročnost nasazení: Nízká / Střední / Vysoká

Popis opatření, funkce, nástroje

Sender Policy Framework (SPF) záznam v DNS akceptovaných domén Exchange Online slouží k ověření IP adresy odesílatele (hlavička 5321.MailFrom) na straně přijímajícího poštovního serveru proti seznamu oprávněných odesílatelů, který deklaroval správce dané domény. Brání tak podvržení adresy odesílatele, nepokrývá ale uživateli zobrazovanou adresu “Od“ (hlavička 5322.From). SPF záznam obsahuje také doporučené pravidlo pro přijímající stranu, jak se k nelegitimním zprávám zachovat - např. odmítnout nebo příjmout s příznakem spamu.

Domain Keys Identified Mail (DKIM) umožňuje digitální podepisování části hlaviček (včetně 5322.From) odchozích zpráv. Podpis poštovního systému zajišťuje integritu dat, autorizuje zprávy odeslané za danou doménu a příjemce jej může ověřit podle veřejného klíče dostupného v DNS záznamu domény. Podepisováním zpráv si doména buduje reputaci, dle které může cílový systém zprávy filtrovat. Jde o další vrstvu ochrany proti podvržení adresy odesílatele.

Aplikování obou metod (SPF i DKIM) snižuje počet false positive hlášení spamu v případech přesměrování legitimních zpráv prostřednictvím mezilehlých systémů, které nemusí být v SPF záznamu zavedeny.

Třetí autentizačním standardem je Domain-based Message Authentication, Reporting and Conformance (DMARC), který slouží k ověření legitimity zpráv na straně poštovního systému příjemce dle výsledku testů SPF a DKIM a podle (úplné nebo částečné) shody domén v adresách hlaviček 5321.MailFrom a 5322.From. DMARC umožňuje definici politiky, jak se ke zprávám nevyhovujícím politice zachovat - zda odmítnout, uložit do karantény nebo standardně doručit. Součástí DNS záznamu je také e-mailová adresa pro zasílání chybových reportů DMARC politiky.

Pro filtrování nevyžádaných zpráv MS 365 využívá informace obsahového filtru, výsledků autentizace (SPF, DKIM, DMARC), reputace odesílatele i heuristických dat. Podle výsledného hodnocení Spam Confidence Level (SCL) jsou pomocí Anti-spam politik a případného nastavení jednotlivých schránek zprávy odmítány, přesouvány do adresáře se spamem nebo zadrženy v karanténě. I přes možné přísnější nastavení DMARC politiky MS 365 standardně všechny nevyhovující zprávy filtruje jako spam - tj. neodmítá jejich doručení. Samotné MS 365 DMARC reporty neodesílá.

Prerekvizity

Pro nasazení SPF je nutná analýza prostředí pro detekci oprávněných odesílatelů. Problémovými mohou být multifunkční zařízení, mailingové/konferenční služby třetích stran nebo další webové služby. Kontrole nastavení odchozího SMTP serveru se nevyhnou uživatelé IMAP klientů především na domácích zařízeních, kteří jej mohou mít nastaven na adresu svého poskytovatele internetového připojení.

Po zavedení SPF je pro nasazení DMARC potřeba i zavedení DKIM pro všechny využívané domény v MS 365 včetně mailingových/konferenčních služeb třetích stran. Pokud vlastní doména nemá DKIM nastaven, MS 365 využívá konfiguraci pro výchozí doménu tenantu (*.onmicrosoft.com). V takovém případě může DMARC chybovat z důvodu nesouladu hlaviček 5321.MailFrom a 5322.From.

Postup nasazení, nastavení

SPF

Pro nastavení SPF na svém DNS publikujte TXT záznam pro využívané domény ve formátu dle dokumentace.

[MXToolbox] Jak vytvořit SPF záznam

[MS Docs] Jak nastavit SPF

DKIM

Nastavení DKIM v MS 365 včetně vygenerování klíčů a zapsání selektorů do DNS je detailně popsáno v dokumentaci. Microsoft následně automaticky rotuje DKIM klíče každých 6 měsíců.

[MS Docs] Jak nastavit DKIM

DMARC

Pro nastavení DMARC publikujte TXT záznam na svém DNS. Politika se aplikuje hierarchicky, tj. platí na všechny subdomény, pokud pro ně není explicitně uvedena samostatná politika.

Nasazení DMARC se doporučuje rozfázovat na tři etapy

• nastavte DMARC s politikou “p=none“ pro analýzu aktuálního stavu a možných dopadů nasazení

• nastavte DMARC s politikou “p=quarantine“ pro filtrování nelegitimní pošty jako spam

• nastavte DMARC s politikou “p=reject“ pro odmítání nelegitimní pošty

[MXToolbox] Jak vytvořit DMARC záznam

[MS Docs] Využití DMARC v MS 365

Další kroky

• Nasaďte doplněk pro hlášení (ne)vyžádané pošty

• Upozorněte uživatele na zprávy podezřelých odesílatelů

• Zpřesněte autentizaci odesílajicích systémů při využití GW/Relay

• Revidujte zprávy s podvrženými akceptovanými doménami

• Revidujte poštovní karanténu