Inställningsguide för e-postsäkerhet för Microsoft 365

Den här guiden hjälper dig att konfigurera rätt säkerhetsinställningar för din domän när du använder Microsoft 365. Korrekt konfigurerade DNS-inställningar skyddar din organisation från e-postbedrägerier, förfalskning och andra säkerhetshot.

Viktigt meddelande

E-postsäkerhetskonfigurationer är avgörande för organisationens dataskydd. Felaktig installation kan leda till e-postleveransproblem, säkerhetssårbarheter eller till och med dataintrång.

Även om den här guiden innehåller detaljerade instruktioner rekommenderar vi starkt att du rådgör med din IT-avdelning eller en kvalificerad DNS-specialist innan du gör några ändringar i domänens DNS-poster. Felaktiga konfigurationer kan leda till störningar i e-posttjänsten.

Dessa inställningar bör implementeras av någon som är bekant med DNS-hantering och e-postautentiseringsprotokoll. Om du är osäker på något steg, sök professionell hjälp snarare än att fortsätta på egen hand.

Kom ihåg att DNS-ändringar kan ta 24-48 timmar att sprida sig helt över internet. Planera därefter och övervaka dina e-posttjänster noggrant efter att du har gjort ändringar.

Innehållsförteckning

1. SPF-inställningar
2. DKIM-inställningar
3. DMARC-inställningar
4. MX-poster
5. Vanliga problem och felsökning

SPF-inställningar

Vad är SPF?

SPF (Sender Policy Framework) är en metod för e-postautentisering som hjälper till att förhindra att någon utger sig för att vara din organisation genom att verifiera att e-postservrar som skickar e-post från din domän har behörighet att göra det.

Hur man konfigurerar SPF för Microsoft 365

1. Logga in på din DNS-leverantörs kontrollpanel (t.ex. GoDaddy, Cloudflare, Namecheap)
2. Leta reda på TXT-posthanteringen i DNS-inställningarna
3. Skapa eller uppdatera en TXT-post med följande värden:
   • Värd/Namn: @ eller tom (representerar din rotdomän)
   • Typ: TXT
   • TLL: 3600 (eller din DNS-leverantörs standard)
   • Värde/Data: v=spf1 inkludera: spf.protection.outlook.com -alla
   Notera: Om du redan har en SPF-post (börjar med v=spf1), måste du inte skapa en annan. Uppdatera istället den befintliga posten genom att lägga till Inkludera: spf.protection.outlook.com.
4. Spara ändringarna
5. Verifiera din SPF-post efter 24-48 timmar (den tid det tar för DNS-ändringar att sprida sig) genom att använda ett onlineverktyg som MXVerktygslåda

Exempel på en korrekt SPF-post för Microsoft 365

v=spf1 inkludera: spf.protection.outlook.com -alla


Om du använder flera tjänster för att skicka e-post, kombinera dem med ytterligare inkluderar: direktiv:

v=spf1 inkludera: spf.protection.outlook.com inkludera: sendgrid.net -all


SPF-mekanism Förklaring:

• -allt: Svårt misslyckande för alla e-postmeddelanden som inte matchar (rekommenderas för Microsoft 365)
• ~alla: Mjukt misslyckande (mindre strikt, kan användas under testperioder)
• ? allt: Neutral (för svag för produktionsmiljöer)
• +allaTillåt alla (starkt avskräckt ur ett säkerhetsperspektiv)

DKIM-inställningar

Vad är DKIM?

DKIM (DomainKeys Identified Mail) lägger till en digital signatur i utgående e-postmeddelanden så att mottagande servrar kan verifiera att meddelandena faktiskt kommer från din domän och inte har manipulerats.

Hur man konfigurerar DKIM för Microsoft 365

1. Förbered två CNAME-poster i DNS-konfigurationen:Du måste skapa två CNAME-poster i din DNS-konfiguration. Microsoft 365 använder två väljare: väljar1 och väljar2.
2. Skapa CNAME-posterna i DNS-leverantörens kontrollpanel:För Selector1:
   • Värd/Namn: väljaren1. _domännyckel
   • Typ: CNAME
   • TLL: 3600 (eller din DNS-leverantörs standard)
   • Poäng till/värde: <domainGUID>väljaren1-. _domännyckel. <initialDomain>.onmicrosoft.com
   För Selector2:
   • Värd/Namn: väljar2. _domännyckel
   • Typ: CNAME
   • TLL: 3600 (eller din DNS-leverantörs standard)
   • Poäng till/värde: <domainGUID>väljar2-. _domännyckel. <initialDomain>.onmicrosoft.com
   Notera: <domainGUID> och <initialDomain> är specifika för din Microsoft 365-klient. Du hittar dessa värden i administrationscentret för Microsoft 365.
3. Hitta dina specifika DKIM-värden i Microsoft 365 Admin Center:
   • Logga in på Administrationscenter för Microsoft 365
   • Gå till Administrationscenter > Utbyte
   • Välj Skydd i vänstermenyn
   • Klicka på DIE under rubriken ”E-postautentisering”
   • Välj din domän från listan
   • I fönstret som öppnas ser du de exakta CNAME-värdena du behöver använda
4. Spara ändringarna i DNS-konfigurationen
5. Aktivera DKIM-signering i Microsoft 365:
   • När DNS-ändringarna har spridit sig (24-48 timmar) går du tillbaka till DKIM-inställningarna i Exchange Admin Center
   • Klick Aktivera för din domän
6. Verifiera din DKIM-konfiguration med ett verktyg som MxToolbox DKIM Checker

Tips för DKIM-implementering med Microsoft 365

• Microsoft roterar automatiskt DKIM-tangenterna mellan selector1 och selector2
• Kontrollera att båda CNAME-posterna är korrekt konfigurerade innan du aktiverar DKIM
• Microsoft 365 använder en 2048-bitars nyckelstorlek för DKIM-signaturer

DMARC-inställningar

Vad är DMARC?

DMARC (Domainbased Message Authentication, Reporting & Conformance) bygger på SPF och DKIM för att ge domänägare kontroll över vad som händer med e-post som misslyckas med autentisering, samt ta emot rapporter om misslyckade försök.

Så här konfigurerar du DMARC för Microsoft 365

1. Skapa en ny TXT-post i DNS-konfigurationen:
   • Värd/Namn: _dmarc
   • Typ: TXT
   • TLL: 3600 (eller din DNS-leverantörs standard)
   • Värde/Data: Börja med en enkel DMARC-post, t.ex.:v=DmArc1; p=ingen; rua=mailto: dmarc-reports@yourdomain.com

2. Spara ändringarna
3. Verifiera DMARC-konfigurationen med ett verktyg som MxToolbox DMARC-kontroll

Stegvis implementering av DMARC-policy

För Microsoft 365 rekommenderas att implementera DMARC i faser:

1. Övervakningsläge (p = ingen):v=DmArc1; p=ingen; rua=mailto: dmarc-reports@yourdomain.com

   • Detta skickar rapporter utan att påverka e-postleveransen
   • Använd den här inställningen i minst 2-4 veckor för att samla in data
2. Karantänläge (p=karantän):v=DmArc1; p=karantän; pct=25; rua=mailto: dmarc-reports@yourdomain.com

   • Misstänkta meddelanden går till skräppostmappen
   • pct=25 tillämpar policyn på endast 25% av meddelandena
   • Gradvis öka procentandelen: 25%, 50%, 75%, 100%
3. Avvisningsläge (p = avvisa):v=DmArc1; p=avvisa; rua=mailto: dmarc-reports@yourdomain.com

   • Auktoriserade servrar avvisar e-post som misslyckas med autentisering
   • Implementera endast när du är säker på att alla legitima e-postflöden är korrekt konfigurerade

Förklaring av DMARC-tagg

• v=DmArC1: Protokollversion (alltid DMARC1)
• p=ingen/karantän/avvisa: Policy för hantering av misslyckad autentisering
• pct =: Procentandel av trafiken som policyn gäller för (1-100)
• rua=mail:: E-postadress för aggregerade rapporter
• ruf=mail:: E-postadress för detaljerade rättsmedicinska rapporter
• sp=: Subdomänpolicy (om den skiljer sig från huvuddomänen)

MX-poster

Vad är MX Records?

MX-poster (Mail Exchange) anger vilka e-postservrar som ska ta emot e-post för din domän.

Så här konfigurerar du MX-poster för Microsoft 365

1. Logga in på din DNS-leverantörs kontrollpanel
2. Leta reda på MX-posthanteringen i DNS-inställningarna
3. Ta bort befintliga MX-poster som inte hänför sig till Microsoft 365
4. Lägg till följande MX-post:PriorityHost/NamePoints till/value0@ eller blankyourdomain-com.mail.protection.outlook.comNotera:
   • Lägre prioritetsvärde indikerar högre prioritet
   • Ersätt ”dindomain-com” med din specifika Microsoft 365 MX-postinformation (där bindestreck ersätter punkter i ditt domännamn)
   • Det exakta MX-postvärdet finns i administrationscentret för Microsoft 365
5. Hitta din exakta MX-postinformation i Microsoft 365 Admin Center:
   • Logga in på Administrationscenter för Microsoft 365
   • Gå till Inställningar > Domäner
   • Klicka på din domän
   • Välj DNS-poster -fliken
   • Under MX-poster hittar du exakt det värde du ska använda
6. Spara ändringarna
7. Verifiera dina MX-poster efter 24-48 timmar med ett verktyg som MXToolbox MX Uppslag

Vanliga problem med MX-poster för Microsoft 365

• Duplicera MX-poster: Ta bort alla icke-Microsoft MX-poster om du uteslutande använder Microsoft 365
• Felaktigt domänformat: Kontrollera att du använder den specifika MX-postadressen för din klientorganisation
• Prioritetsfel: Kontrollera att prioritetsvärdet är korrekt angivet (0 rekommenderas)

Vanliga problem och felsökning

SPF-fel

• Fel 1: För många DNS-sökningar (max 10 är tillåtna)
  • Lösning: Förenkla din SPF-post genom att använda ”inkludera” istället för flera ”a:” eller ”mx:” -mekanismer
• Fel 2: Flera SPF-poster (endast en är tillåten)
  • Lösning: Kombinera alla direktiv till en enda SPF-post
• Fel 3: SPF-post som inte innehåller Microsoft 365-domänen
  • Lösning: Se till Inkludera: spf.protection.outlook.com finns i din SPF-post

DKIM-fel

• Fel 1: CNAME-poster som pekar på felaktiga värden
  • Lösning: Dubbelkontrollera de exakta värdena från administrationscentret för Microsoft 365
• Fel 2: DKIM aktiverat innan DNS-poster har spridit sig
  • Lösning: Vänta 24-48 timmar efter DNS-ändringar innan du aktiverar DKIM i Microsoft 365
• Fel 3: Endast en väljare konfigurerad
  • Lösning: Kontrollera att både selector1 och selector2 är korrekt konfigurerade

DMARC-fel

• Fel 1: Syntaxfel i DMARC-posten
  • Lösning: Verifiera syntaxen med en DMARC validator
• Fel 2: Rapporteringsadressen använder samma domän som DMARC-posten
  • Lösning: Konfigurera ytterligare en DMARC-post för rapporteringsdomänen eller använd en extern rapporteringsadress

MX-fel

• Fel 1: Konflikt mellan olika e-posttjänster
  • Lösning: Ta bort alla icke-Microsoft 365 MX-poster om du uteslutande använder Microsoft 365
• Fel 2: Felaktigt MX-värde
  • Lösning: Bekräfta det exakta MX-postvärdet i Microsoft 365-administrationscentret

Testverktyg och resurser

För att verifiera dina inställningar använder du följande verktyg:

• Microsofts fjärranslutningsanalysator - Specifik för Microsoft 365
• MXVerktygslåda - Komplett DNS-kontroll
• DMARC-analysator - För DMARC-analys och rapporter

Officiell dokumentation för Microsoft 365

• Exchange-onlineskydd (EOP) i Microsoft 365
• Office 365-e-postsäkerhet — bästa praxis

Slutsats

Korrekt konfigurering av dessa fyra säkerhetskomponenter (SPF, DKIM, DMARC och MX) är avgörande för att säkerställa din e-postsäkerhet med Microsoft 365. Genom att följa den här guiden kan du skapa en robust e-postsäkerhetsprofil som skyddar din organisation mot förfalskning, nätfiske och andra e-postrelaterade hot.

Kom ihåg att DNS-ändringar kan ta 24-48 timmar att sprida sig globalt, så ha tålamod när du testar efter att ha gjort ändringar. För komplexa miljöer med hybridlösningar eller speciella behov kan du överväga att konsultera en Microsoft-specialist för anpassad konfiguration.

‍

‍