了解如何配置可信 ARC 密封器

企业邮箱身份验证已成为 不可协商的标准 对于企业和政府来说，它可以防止网络钓鱼、身份盗窃、勒索软件和其他基于企业邮箱的网络攻击。企业邮箱认证协议触发警报对于根据这些修改指示修改的企业邮箱内容 恶意行为者进行的篡改。

尽管大多数更改都是恶意的， 有些是合法的还。有一些真正的企业邮箱服务提供商编辑帖子在将它们放入您的 Microsoft 收件箱之前。这些更改还会导致 SPF、DKIM 和 DMARC 无法处理合法企业邮箱。

DKIM 的行为类似于强大的企业邮箱安全协议 非复杂中继情况s，但当中间服务器修改传输中的消息时失败。

典型的 DKIM 违规行为包括合法进程，例如企业邮箱网关添加页脚或重写 URL。当这些更改是合法业务流程的一部分时，使用经过身份验证的收据链 (ARC) 非常重要。 ARC 帮助 保留认证结果 通过中介。

ARC解决了这些问题并帮助 最大限度地减少企业邮箱身份验证失败 用于合法修改的传入企业邮箱。它的工作原理是在企业邮箱服务级别保留原始企业邮箱的身份验证信息，这也有助于确定对企业邮箱的更改是否有效。确定或怀疑。

ARC 是如何工作的？

以下简单描述了 ARC 如何确保企业邮箱编辑的真实性 维持一条链条 加密签名。

每个 企业邮箱管理器 （如接送服务）添加 ARC 标头集，其中包括：

当企业邮箱到达最终目的地时，收件人的企业邮箱服务通过检查以下内容来验证 ARC 字符串：

如果所有 ARC 印章完好无损并且来自受信任的域，则更改是 可能合法。

如果密封破损、签名不受信任或结果不一致，则更改可能是可疑的，并且可能来自恶意行为者。

如果你是一个 Microsoft 365 套件用户仅当发送到 Microsoft 365 收件人的企业邮箱是经常经历接下来是-

将批准的 ARC sealer 添加到 Defender 门户后，Microsoft 365 使用以下方法验证消息的真实性：原始认证信息打包的 弧形密封胶。

2. 然后你会遇到 企业邮箱验证设置 页面，您必须在其中检查弓该选项卡被选中。如果是，请单击添加。

建议： 如果 Trusted Sealers 已在 ARC 选项卡上列出，请单击修改。

3. 在 添加值得信赖的 ARC 密封剂 在打开的下拉菜单中，将受信任的签名域添加到给定空间。

重复此步骤 根据需要多次。要删除现有条目，点击它 x 入口旁边。

4. 当您完成后 添加值得信赖的 ARC 密封剂 弹出窗口，单击 为了保障。

图片来自learn.microsoft.com

如果您更喜欢使用 PowerShell 查看、添加或删除 受信任的 ARC 密封程序，登录 Exchange Online PowerShell 并运行以下命令：

Get-ArcConfig

如果未配置经批准的 ARC sealer，则该命令不会返回任何结果。

使用以下命令使用新的 ARC 密封器代替现有密封器：

Set-ArcConfig -Identity (TenantId\)Default -ArcTrustedSealers "Domain1","Domain2",..."DomainN"

您自己的组织中不需要 TenantId\ 值， 仅在授权组织中这是在 Microsoft 365 中的许多管理门户 URL 中可见的 GUID（tid= 值）：例如，a32d39e2-3702-4ff5-9628-31358774c091。

此示例将“cohovineyard.com”和“tailspintoys.com”配置为唯一值得信赖的 ARC 密封剂在组织中：

Set-ArcConfig -Identity Default -ArcTrustedSealers "cohovineyard.com","tailspintoys.com"

要保留现有的 ARC 密封剂，请务必将它们与您要添加的任何新密封剂一起列出。对于更详细的操作，例如添加或删除 ARC 密封剂不影响其他输入参考 示例部分 在 Set-ArcConfig 文档中。

分享此文章：