跳至內容
部分或全部頁面已經過機器翻譯。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=email-message-authentication

訊息驗證

郵件驗證可讓您驗證電子郵件的原始來源是否與宣稱的來源一致。Sophos Email 使用 DMARC、SPF 和 DKIM 執行此操作。

郵件驗證檢查按照在您的 Email Security 原則中顯示的順序執行。如果電子郵件未能通過第一個郵件驗證,則不會執行其他驗證。請參見 郵件驗證的運作方式

有關不同情況下驗證執行順序的詳細資訊,請參閱 郵件驗證的順序

我們建議將每個郵件驗證類別設定為 隔離

您可以透過在內送允許清單中允許網域和電子郵件地址來覆寫郵件驗證。

對於每個郵件驗證,您可以選擇將未通過檢查的郵件傳送到終端使用者隔離區

警告

如果您訂閱了 Sophos EMS 並且它設置在第三方提供的主要電子郵件安全工具後面,Sophos 可能會收到修改過的電子郵件。因此,DKIM 檢查可能會失敗,DMARC 對齊可能無法正常工作。DKIM 或 DMARC 檢查失敗並不一定意味著電子郵件存在安全風險。

配置郵件驗證

要配置郵件驗證,請按以下步驟操作:

  1. 在您的 Email Security 原則中,前往 設定 > 內送 > 驗證

  2. 根據需要啟用 DMARC、SPF 和 DKIM 檢查。

    注意

    默認情況下,DMARC 檢查已啟用,硬失敗設置為符合寄件者原則

  3. 點擊 新增規則 以設置失敗類型並為每個檢查選擇操作。

    有關可用失敗類型和操作的詳細資訊,請參閱 DMARCSPFDKIM

    添加其他 DMARC 失敗類型可能尚未對所有客戶可用。

  4. 儲存此原則。

新的驗證設置適用於所有內送電子郵件。新增的條件從上到下檢查,並應用第一個匹配項。

DMARC

基於網域的郵件驗證、報告和一致性 (DMARC) 是一項電子郵件驗證原則和報告通訊協定。它基於 DKIM 和 SPF 協定,偵測並防止電子郵件欺詐。您可以控制未通過 DMARC 檢查的訊息的處理方式。

硬失敗:當消息因為 SPF 和 DKIM 都未通過對齊而失敗 DMARC 時,會發生此失敗。根據預設,此選項設置為 遵循發件人政策

檢查標頭中的域名與信封中的域名的 SPF 對齊。檢查 DKIM 簽名中的 d=domain 與標頭中的域名的 DKIM 對齊。

您還可以配置電子郵件安全性政策以檢查 DMARC 失敗類型。

以下選項可能尚未面向所有客戶提供。

您可以設定以下選項:

  • p=none:當發件人的政策設置為 時,此選項允許您對 DMARC 失敗採取行動。

    注意

    僅在選項 硬性失敗 設置為 遵循發件人政策 時,添加此失敗類型才有用。當您 遵循發件人政策 且發件人將政策設置為無 (p=none) 時,如果 DMARC 檢查對發件人的消息失敗,則無法執行失敗操作。

  • 不受支援:當發送域不存在 DMARC 記錄時,會發生此失敗。此失敗類型僅與網關模式相關。

  • M365 最佳猜測密碼:此失敗類型僅與 M365 郵件流模式相關。有關 M365 如何評估 "bestguesspass" 的詳細信息,請參見 M365 文檔
  • 暫時失敗:當 DNS(域名伺服器)上的 DMARC 記錄查詢以臨時失敗響應時,會發生此失敗。此錯誤可能無需任何干預即可自行解決。
  • 永久性失敗:當 DNS 查詢返回的域名 DMARC 記錄無法正確解釋時,會發生此失敗。此錯誤可能由 DNS 記錄的擁有者解決。

對於每種類型的失敗,您可以應用以下操作:

  • 符合寄件者原則:訊息的處理方式取決於寄件者在其 DMARC 策略中所陳述的內容。這是預設值。

    注意

    此操作僅適用於 硬性失敗

  • 標記主旨行:Sophos Email 會將標記新增到訊息的主旨列,表示這是欺騙訊息。

  • 隔離:訊息被隔離。

    注意

    如果您選擇 包含在最終用戶隔離中,您的用戶可以檢查、釋放或刪除消息。請參見 終端使用者隔離

  • 拒絕:訊息已被拒絕。

    注意

    拒絕的郵件無法獲得原始標頭。

  • 傳送:郵件會傳送到下一個掃描層。

SPF

寄件者原則架構 (SPF) 能讓您驗證內送電子郵件是否來自經由寄件網域管理員授權的 IP 位址。垃圾郵件和網路詐騙郵件通常使用偽造地址。

當寄件者的 IP 位址未列為授權寄件者時,就會發生硬失敗。為確保只有授權的 IP 位址才能傳送電子郵件,寄件者必須在 SPF 記錄中新增 -all。此選項是預設的 SPF 檢查,您可以為其設定失敗動作。

您也可以配置其他 SPF 失敗類型,例如:

  • 軟失敗:當寄件者的 IP 位址可能未授權時發生。這可能是因為網域擁有者未設定更明確的限制,這將導致更強烈的「失敗」。為確保只有授權的 IP 位址才能傳送電子郵件,但並非絕對,寄件者必須在 SPF 記錄中新增 ~all
  • 中性:當寄件者的網域透過在 SPF 記錄中指定 ?all 來明確聲明其不主張寄件者的 IP 位址是否經過授權時發生。在這種情況下,來自任何寄件者 IP 位址的電子郵件都會產生中性結果。
  • 不受支援:當寄件者尚未設定 SPF 記錄時發生。
  • 暫時失敗:由於執行檢查時出現臨時錯誤(通常由於 DNS)而發生。此錯誤可能無需 DNS 操作員的任何干預就會自行解決。
  • 永久性失敗:當無法正確解釋網域的已發佈記錄時發生。這表示出現了需要 DNS 操作員干預的錯誤。

對於每種類型的失敗,您可以應用以下操作:

  • 標記主旨行:Sophos Email 會將標記新增到訊息的主旨列,表示這是欺騙訊息。這是預設值。

  • 隔離:訊息被隔離。

    注意

    如果您選擇 包含在最終用戶隔離中,您的用戶可以檢查、釋放或刪除消息。請參見 終端使用者隔離

  • 拒絕:訊息已被拒絕。

    注意

    拒絕的郵件無法獲得原始標頭。

  • 傳送:郵件會傳送到下一個階段。

DKIM

網域名稱金鑰識別郵件 (DKIM) 是一種驗證框架,用於根據寄件者的網域對郵件進行簽署和驗證。您可以控制未通過 DKIM 檢查的訊息的處理方式。

DKIM 設定完畢後,DKIM 簽名出現在電子郵件中,DNS 回應正常,但 DKIM 檢查未通過時,會出現硬失敗。此選項是預設的 DKIM 檢查,您可以為其設定失敗動作。

您也可以配置其他 DKIM 失敗類型,例如:

  • 不受支援:當寄件者尚未設定 DKIM 或寄件者在 DNS 記錄中發佈的 DKIM 金鑰無效時發生。
  • 暫時失敗:由於執行檢查時出現臨時錯誤(通常由於 DNS)而發生。此錯誤可能無需 DNS 操作員的任何干預就會自行解決。
  • 永久性失敗:當無法正確解釋網域的已發佈記錄時發生。這表示出現了需要 DNS 操作員干預的錯誤。

對於每種類型的失敗,您可以應用以下操作:

  • 標記主旨行:Sophos Email 會將標記新增到訊息的主旨列,表示這是欺騙訊息。這是預設值。

  • 隔離:訊息被隔離。

    注意

    如果您選擇 包含在最終用戶隔離中,您的用戶可以檢查、釋放或刪除消息。請參見 終端使用者隔離

  • 拒絕:訊息已被拒絕。

    注意

    拒絕的郵件無法獲得原始標頭。

  • 傳送:郵件會傳送到下一個階段。