Tăng cường bảo mật email trong Microsoft 365: Tinh chỉnh DKIM, cấu hình DMARC cho miền MOERA và chặn các lỗi DMARC đến hộp thư người dùng.
Tinh chỉnh DKIM bằng cách thường xuyên xoay các phím DKIM
Sau khi thiết lập DKIM trong Microsoft Defender cho Office 365, điều quan trọng là phải thiết lập việc xoay vòng thường xuyên các khóa DKIM này để ngăn chặn kẻ thù chặn và giải mã các khóa mã hóa của bạn. Việc xoay vòng khóa giúp giảm thiểu rủi ro bị xâm phạm khóa riêng tư. Trong Microsoft 365, bạn có thể xoay vòng các khóa DKIM cho các miền của mình để tăng cường bảo mật. Chu kỳ xoay vòng phải là 3 tháng một lần vì việc xoay vòng các khóa DKIM 3 tháng một lần đảm bảo việc xoay vòng hoàn toàn cả hai bộ chọn sau mỗi 6 tháng. Bạn có thể xoay vòng các khóa DKIM theo cách thủ công bằng cổng Defender hoặc Exchange Online PowerShell, nhưng rất dễ quên nếu bạn làm thủ công. Vì vậy, bạn nên ủy thác việc này cho Azure Automation bằng cách sử dụng runbook bên dưới:
#Connect EXO
Connect-ExchangeOnline -ManagedIdentity -Organization yourorg.onmicrosoft.com
#Rotate the DKIM keys for all enabled domains
$Domains = (Get-DkimSigningConfig | Where-Object {$_.Enabled -eq 'True'}).domain
foreach ($domain in $domains){
Rotate-DkimSigningConfig -KeySize 2048 -Identity $domain
}Thiết lập DMARC cho tên miền MOERA đối với email gửi đi
Tên miền của bạn onmicrosoft.com, còn được gọi là tên miền Địa chỉ Định tuyến Email Trực tuyến của Microsoft (MOERA), không được thiết lập chính sách DMARC theo mặc định. Điều này có nghĩa là tên miền này dễ bị lạm dụng và có thể được sử dụng để giả mạo onmicrosoft.comtên miền của bạn cho các tin nhắn gửi đi .
Ví dụ về một tin nhắn giả mạo gửi đi từ một onmicrosoft.commáy chủ không có chính sách từ chối DMARC:
LƯU Ý: Các tin nhắn giả mạo đến từ tên miền của bạn onmicrosoft.comsẽ bị chuyển vào Thư mục Thư rác, vì công nghệ phát hiện còn hạn chế Spoof intra-org. Tính năng Nhận diện giả mạo sẽ không kích hoạt chính sách chống lừa đảo của bạn đối với trường hợp phát hiện này.
Để ngăn chặn việc giả mạo email và lừa đảo qua mạng sử dụng tên miền này, bạn cần thiết lập chính sách từ chối DMARC trên tên miền MOERA, giống như bạn làm với tất cả các tên miền gửi và không gửi khác của mình. Việc thiết lập DMARC cho MOERA thường bị quên vì bạn không sở hữu tên miền MOERA, nhưng Microsoft đã cho phép bạn quản lý DNS công cộng của tên miền MOERA trong Trung tâm quản trị Microsoft 365.
- Trong trung tâm quản trị Microsoft 365, chọn Hiển thị tất cả > Cài đặt > Tên miền.
- Trên trang Tên miền, mở
onmicrosoft.comtên miền của bạn và nhấp vào Bản ghi DNS. - Nhấp vào Thêm bản ghi và thiết lập các giá trị sau:
- Kiểu:
TXT - Tên tệp TXT:
_dmarc - Giá trị TXT:
v=DMARC1; p=reject;
Nếu bạn không sử dụng tên miền này cho việc gửi tin nhắn đi, bạn có thể coi onmicrosoft.comtên miền của mình là tên miền không gửi tin nhắn, và các báo cáo DMARC Aggregate ( rua) và DMARC Forensic ( ruf) không bắt buộc phải được liệt kê trong TXTbản ghi DMARC.
Áp dụng chính sách từ chối DMARC cho email đến
Microsoft 365 ghi đè hành động xử lý lỗi DMARC từ rejectthành oreject(ghi đè từ chối) vì nó sử dụng xác thực email ngầm để đánh giá email đến trong Exchange Online Protection (EOP). Phương pháp này vượt xa các kiểm tra SPF, DKIM và DMARC truyền thống bằng cách kết hợp thêm các tín hiệu như uy tín người gửi, lịch sử người gửi và phân tích hành vi.
Ngay cả khi email không vượt qua DMARC với chính sách từ chối trên miền của người gửi, nó vẫn có thể được gửi đi nếu nó bỏ qua xác thực tổng hợp ( compauth=none) hoặc thậm chí vượt qua nó ( compauth=pass) nhờ các tín hiệu ngầm tích cực.
Cấu hình này tồn tại để ngăn chặn việc từ chối một số email hợp lệ có thể không vượt qua kiểm tra DMARC. Bằng cách tận dụng xác thực email ngầm, các tin nhắn không vượt qua các phương thức xác thực truyền thống vẫn có thể được cho phép vào Microsoft 365 nếu đánh giá tổng thể cho rằng chúng an toàn. Các trường hợp bỏ sót sai sót từ các kiểm tra xác thực ngầm nâng cao có thể được báo cáo cho Microsoft như là các email đáng ngờ để cải thiện khả năng phát hiện.
Ví dụ Authentication-Resultsvề tiêu đề email có thông báo lỗi DMARC orejectvà xác thực tổng hợp noneđược gửi đến hộp thư đến của người dùng, nhưng không bị hệ thống phát hiện email giả mạo (Spoof Intelligence) nhận diện là email giả mạo :
spf=fail (sender IP is 11.222.33.444) smtp.mailfrom=contoso.com; dkim=none (message not signed) header.d=none;dmarc=fail action=oreject header.from=contoso.com;compauth=none reason=451
Nếu bạn muốn kiểm soát chi tiết hơn các lỗi DMARC đến từ một miền có TXTbản ghi DMARC với chính sách là p=reject, bạn có thể cấu hình quy tắc luồng thư trong Exchange Online. Quy tắc này sẽ từ chối các email có giá trị dmarc=fail action=orejecttrong Authentication-Results trường tiêu đề thay vì gửi chúng.
Ví dụ về quy tắc luồng thư trong Exchange Online:
Ví dụ về NDR:
LƯU Ý: Phương pháp nêu trên có thể dẫn đến kết quả dương tính giả do các kỹ thuật xác thực ngầm của EOP. Tuy nhiên, theo ý kiến cá nhân của tôi , các email không tuân thủ DMARC luôn phải bị từ chối trước khi đến hộp thư đến của người dùng. Người gửi có trách nhiệm đảm bảo xác thực đầu ra đúng cách. Các email không tuân thủ DMARC nên được coi là đáng ngờ, ngay cả khi chúng vượt qua các kiểm tra nâng cao. Phương pháp này cũng bắt được các email chưa được Spoof Intelligence phát hiện là giả mạo (với chính sách DMARC được cấu hình để từ chối) mặc dù xác thực không thành công, vì chúng sẽ được xử lý theo quy tắc luồng thư được đề xuất để từ chối.
Tóm lại
Việc xoay vòng DKIM đảm bảo rằng ngay cả khi khóa bị xâm phạm, nó sẽ trở nên lỗi thời sau một khoảng thời gian nhất định, hạn chế thời gian dễ bị tổn thương. Thiết lập DMARC cho miền MOERA là rất quan trọng để bảo vệ chống lại gian lận email nhắm mục tiêu vào miền này, và bằng cách ngăn chặn các lỗi DMARC đến với hành động ghi đè oreject không cho đến hộp thư đến của người dùng, bạn sẽ tăng cường cấu hình DKIM và DMARC của mình trong Microsoft 365. Nếu gặp bất kỳ khó khăn nào trong quá trình thực hiện, bạn có thể liên hệ banquyenphanmem.com hoặc gọi số 028.22443013 để được trợ giúp. Với các hướng dẫn trên, chúng tôi hy vọng bạn đã giải quyết được nhu cầu của mình một cách nhanh chóng và hiệu quả.
