Ao lidar com a configuração do Microsoft 365 Email, você descobrirá que a Microsoft exige que sua organização configure um registro SPF (Sender Policy Framework) para acompanhar o locatário do Exchange Online. Este é um registro de texto DNS que permite aos servidores de mensagens do Microsoft 365 Email enviar emails para o seu domínio. Vamos cobrir o que você precisa saber sobre como começar a usar os registros SPF do Microsoft 365.
O registro que você adicionou ao DNS externo tem esta aparência. v = spf1 inclui: spf.protection.outlook.com -all
Os registros SPF de e-mail do Microsoft 365 são tudo que eu preciso, certo?
Errado! À medida que mais e mais provedores de nuvem surgem com software como serviço que pode enviar e-mail em nome de sua organização, lentamente começamos a ter problemas com o registro SPF. O problema com um registro SPF é que ele é limitado a no máximo 10 nomes baseados em DNS por registro e os endereços IP são ilimitados. O que estou descobrindo ao trabalhar com esses registros é que os provedores de SaaS que usam nomes baseados em DNS podem consumir vários registros se tiverem sub-registros semelhantes. Portanto, uma empresa que eu permito enviar e-mail em nome da minha organização pode aceitar vários dos meus 10 nomes baseados em DNS por registro. Quando sua organização tiver 10 entradas, você precisará inserir endereços IP ou ficará sem opções adicionais para permitir que entidades enviem e-mail em nome de sua organização sem que sejam bloqueados por filtros de spam.
Lembre-se também de que você só pode ter um registro SPF para o domínio de envio, o que, segundo estou, pode ser um tanto limitador.
O que mais pode ser feito?
O bom sobre o tópico de envio de e-mail em nome de uma organização é que você pode fazer muito mais se estiver preparado. Há mais dois itens a serem considerados e eles se enquadram no tópico de “proteção de marca”. DMARC e DKIM. Agora você pode olhar para essas coisas e dizer o que isso significa. Bem, vamos discutir isso a seguir.
Email Microsoft 365 e DMARC
DMARC (Domain-Based Message Authentication, Reporting, and Conformance) para seu registro DNS externo. DMARC é um protocolo que pode ser usado para detectar e impedir o envio ou entrega de mensagens de e-mail fraudulentas. Os registros DMARC devem ser inicialmente configurados para serem executados em modo de “monitoramento”, para que você possa analisar os dados antes de configurar e formar uma falha grave. DMARC funciona melhor ao usar um 3rd solução do partido para relatórios. Sem essa solução, não há outra maneira de coletar dados sobre abuso de marca.
A sintaxe de uma configuração de registro DMARC apenas para monitoramento geralmente será semelhante a esta:
Nome: _dmarc.domainname.com
Tipo: TXT
V = DMARC1; p = nenhum; fo = 1; rua = mailto:[email protegido]
O DMARC, uma vez ativado, pode permitir que sua organização use SPF ou outra coisa chamada assinatura DKIM para permitir que outras entidades enviem em nome de sua organização. A seguir, vamos mergulhar no DKIM.
DKIM
DKIM é uma forma de assinar eletronicamente mensagens de e-mail enviadas por sua organização. O DKIM, em sua forma mais simples, adiciona uma “assinatura” ao cabeçalho da mensagem de e-mail quando as mensagens de e-mail válidas deixam sua organização a caminho do destinatário pretendido. Essa assinatura deve ser ativada em seu produto de gateway de e-mail para cada um dos domínios de envio de e-mail. É importante não pensar que essa assinatura não funcione completamente até que você adicione um registro TXT ao DNS externo que inclui essa assinatura. Este registro será semelhante ao mostrado abaixo.
domainname._domainkey.domainname.com
v=DKIM1;k=rsa; t=s; p=ABCiJKLgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAx2lmftvQ
TIkIEWQniuSnLXZTQfKoq5PIc7XKNAj7i8zzLljCghlm5Cou1CNRu0ckxHBC9rOpV+cPAyZ9gF
qXS5EluzAJY5ydXd4/28gcaGi5tWOCtQckTm27T82ni8Xm3Yyk3ttV2m9ijfFZh39nYPXikm5v
S+mDDvm1/kWnf9CxzNNlsKeQBnKs+6YO7oa9rk++yNSY91hAPVBDvpPEZVGJlHnTE+nPywCUFs
BMYpRdYBt4TIBtazoKSvUA86U2J5Lqn82DK1xMk645MrvjW1CQ8EqjmJAyUpM1CxmuPyYnRswB
agz/lt5V4SJKoJbKaPF19G+Nb/jE6eeYMi2MiwIHDILE
A assinatura DKIM é simples e é uma das melhores maneiras de validar se o e-mail que sua organização está enviando é seu. Agora, dê um passo adiante e peça aos seus provedores de SaaS para gerar uma assinatura DKIM para o e-mail que estão enviando em seu nome. Coloque a assinatura DKIM em um registro DNS e isso agora pode ser usado no lugar do SPF.
Considerações finais sobre o Microsoft 365 Email SPF
Para registros SPF de email do Microsoft 365 e prevenção de falsificação, você precisará de mais do que a configuração SPF. A única maneira de tudo isso funcionar é se o DMARC estiver funcionando, analisando o DKIM e o SPF para validar se um e-mail enviado é realmente seu. DMARC é o que permite a capacidade de usar SPF ou DKIM em vez de ambos. Isso fornece a capacidade de liberar parte do seu registro de texto DNS ou economizar espaço no registro SPF para o próximo cenário em que o uso do registro SPF não pode ser evitado.
A proteção da marca é obrigatória e é assim que você começa a usar os registros SPF do Microsoft 365!
Continue aprendendo com alguns de nossos outros conteúdos do M365 aqui!
English
Arabic
Bengali
Dutch
English
French
German
Greek
Hindi
Irish
Italian
Japanese
Portuguese
Spanish
Swedish
