Negeren is wat sterk uitgedrukt, maar Microsoft 365 houdt zich inderdaad standaard niet helemaal aan de specificaties van SPF en DMARC.
Als je in Microsoft 365 een zogenaamde hardfail-policy instelt voor SPF of DMARC, maakt het daar standaard zelf een zwakkere softfail-policy van. Met andere woorden: Microsoft 365 levert e-mails die niet met succes door een SPF- of DMARC-check komen, en verwijderd moeten worden, toch gewoon af bij de ontvanger. Dat gaat tegen de regels van het protocol in. Waarschijnlijk komen deze e-mails wel in de spam-folder in plaats van de inbox, maar toch. Dat is niet wat de specificaties van SPF en DMARC voorschrijven.
Waarom doet Microsoft dat zo? Waarschijnlijk om claims van klanten te voorkomen. Stel dat Microsoft 365 een legitiem e-mailbericht volgens de SPF-controle weigert af te leveren vanwege een hardfail-policy. Als iemand daardoor een goede zakelijke deal misloopt of op een andere manier schade oploopt, zou die Microsoft daarvoor verantwoordelijk kunnen houden. Dat is natuurlijk geen prettig vooruitzicht.
Maar ja, wat doe je dan als je zeker bent van je zaak en e-mails met een hardfail gewoon wilt laten verwijderen door Microsoft 365? Dan moet je met de hand aanvullende spamregels in Microsoft 365 instellen die het handhaven van de hardfail-policy afdwingen.
In onze whitepaper ‘Waarom met Microsoft 365 je e-mail niet vanzelf beveiligd is tegen domein spoofing en phishing’ lees je meer over het beveiligen van e-mail in Microsoft 365.