.jpg)
במאמר הקודם התמקדנו באפשרויות שונות להקשחת תעבורת הדואר באמצעות חוקים והתניות המתבססות על התראה לדואר זדוני מחוץ לארגון.
המאמר הזה יתמקד בהקשחה דואר ארגוני באמצעות Exchange Transport Rule בלבד, והינו חלק מסדרת מאמרים להקשחה באמצעות Exchange Online Protection, Office ATP ויכלול המון טיפים.
הקשחת דואר ארגונית ותקן SPF
אומנם תקני PSF ודומיו הינם תקנים ישנים בני 20 שנה ויותר, אך למרות שתקן תעבורת הדואר עדיין מבוסס עליו אנו צריכים למצוא את הדרכים להשתמש בו בכדי להגן על הדואר הארגוני.
ישנן דרכים רבות להקשיח את תעבורת הדואר על בסיס SPF, החל מהאופן שבו עובדים עם DNS ועד לתצורות אימות של SPF, מכיוון שהתקן של SPF מושפע מהאופן שבו מוגדרת רשומת DNS, אנו צריכים לדעת איך להגדיר את החוקים בכדי לא להשפיע על תעבורת הדואר בארגון.
לצד הגנה באמצעות SPF, ניתן לעבוד גם מאפיינים נוספים מתוך Message Header. למשל, ניתן לעבוד עם message headers המבוססים על Anti-spam, למשל: כל המאפיינים השייכים אל SFV ונוספים.
הקשחת על בסיס SPF Verification
כל תעבורת הדואר מתבססת על בדיקות שונות הכוללות בין היתר:
• Authentication-Results
• Received-SPF
• X-Forefront-Antispam-Report
כאשר פריט דואר מגיע לשרת הדואר, הוא מבצע בדיקת שונות – הכוללת בין היתר בדיקות על גבי תקנים שונים כדוגמת SPF, ובדיקת SPF נחלקת למספר בדיקות SPF Verification (מתואר בקצרה):
• None – לא נמצאה רשומת SPF קיימת של השולח
• Neutral – בעל הדומיין אינו מאפשר לבצע בדיקה מול רשומת SPF על גבי אותה כתובת IP (לצורך העניין שווה ערך אל None)
• Pass – כתובת IP מאושרת מול אותו דומיין. כלומר, נעשה זיהוי מלא ותקין
• Fail – הדומיין אינו מוגדר מול כתובת IP, ולכן SPF נופל בבדיקה מול רשומת SPF מול הדואר הארגוני
• SoftFail – הדומיין אינה מוגדרת מול כתובת IP ולכן SPF נופל בבדיקה מול רשומת SPF, אך ההודעה תמורקר כהודעת suspicious, וההודעה תגיע לתיבת הדואר של הנמען
ישנן בדיקות נוספות של TempError ושל PermError.
• הבעיה – דואר חיצוני אשר מגיע עם בדיקה מסוג SoftFail
• מניעה – הגדרת חוק עם Message Header מסוג Received-Spf עם SoftFail
דגשים בחוק
• ניתן להגדיר אכיפה אחרת, כדוגמת הצמדת הודעה או חסימת הדואר
• מומלץ לבצע בדיקה מול משתמשים מסוימים לפני שמחילים מול כל הארגון, או לחלופין להגדיר במצב Audit בלבד
טיפ: ניתן לקחת את המאפיין Authentication-Results ולהגדיר עם Message Header, אך חוק כזה יצטרך שילוב של Message Header נוספים.
חסימה לתעבורת דואר מסוג Bulk
דואר המוגדר כתעבורת דואר מסוג Bulk הוא בעייתי, כי לעיתים אינו מסווג כדואר Junk (יש הבדל קטן בין Bulk לבין Junk), ולכן מנגנוני הגנה מתקשים לזהות הבדלים בין Junk לבין Bulk.
דואר מסוג Bulk מתאפיין עם הודעות מסוג:
• If you are unable to view
• unsubscribe
• If you do not wish to receive further
• To stop receiving these
• If you no longer wish to receive
כיום, קמפיינים רבים של פישינג מתבססים על הודעות המסווגות כהודעות Bulk.
• הבעיה – דואר מסוג Bulk שעלול להיות פישינג
• המניעה – יצירת חוק שמתריע למשתמש או חוסם דואר Bulk
דגשים בחוק
• חייבים להגדיר התניה של דואר מחוץ לטרגון בכדי לא לעצור Newsletter מתוך הארגון
• אפשר להוסיף הצמדה של כותרת לחוק
• במידה וישנם מספר הגדרות word\pharses ניתן ליצור התניה נוספת באותו חוק
• לתעבורת דואר מסוג Bulk המבוסס על text patterns
רשימה חלקית של הודעות שניתן להגדיר
If you are unable to view the content of this email\, please
>(safe )?unsubscribe( here)?\</a\>
If you do not wish to receive further communications like this\, please
\<img height\="?1"? width\="?1"? sr\c=.?http\://
To stop receiving these+emails\:http\://
To unsubscribe from \w+ (e\-?letter|e?-?mail|newsletter)
no longer (wish )?(to )?(be sent|receive) w+ email
If you are unable to view the content of this email\, please click here
To ensure you receive (your daily deals|our e-?mails)\, add
If you no longer wish to receive these emails
to change your (subscription preferences|preferences or unsubscribe)
click (here to|the) unsubscribe
חסימה לתעבורת דואר Bulk נוספת
ישנה דרך נוספת לחסום, להעביר פריט דואר לתיקיית Junk או להצמיד כותרת, והיא דואר Bulk באמצעות הגדרת phrases בלבד.
רשימת חלקית של הודעות שניתן להגדיר
to change your preferences or unsubscribe
Modify email preferences or unsubscribe
This is a promotional email
You are receiving this email because you requested a subscription
click here to unsubscribe
You have received this email because you are subscribed
If you no longer wish to receive our email newsletter
to unsubscribe from this newsletter
If you have trouble viewing this email
This is an advertisement
you would like to unsubscribe or change your
view this email as a webpage
You are receiving this email because you are subscribed
לסיכום
הפעולות והדרכים להגדרת תנאים וחוקים על גבי ETR, מאפשרים למרקר הודעות דואר מסוימות ולחסום מקרים אחרים. כך, אנו יכולים לשלוט על כל תעבורת הדואר בהתאם לערכים והפרמטרים המוצעים על גבי Exchange Online.
האפשרויות עם ETR הן מגוונות, ואנו יכולים לקחת כל מאפיין אשר קיים ברמת Message Header.
מאת: אלי שלמה, מומחה למערכות מיקרוסופט וענן
רוצים להתעדכן בתכנים נוספים הקשורים לאבטחת ענן? הצטרפו לפורום המקצועי של IsraelClouds בתחום > להרשמה
במאמר הקודם התמקדנו באפשרויות שונות להקשחת תעבורת הדואר באמצעות חוקים והתניות המתבססות על התראה לדואר זדוני מחוץ לארגון.
המאמר הזה יתמקד בהקשחה דואר ארגוני באמצעות Exchange Transport Rule בלבד, והינו חלק מסדרת מאמרים להקשחה באמצעות Exchange Online Protection, Office ATP ויכלול המון טיפים.
הקשחת דואר ארגונית ותקן SPF
אומנם תקני PSF ודומיו הינם תקנים ישנים בני 20 שנה ויותר, אך למרות שתקן תעבורת הדואר עדיין מבוסס עליו אנו צריכים למצוא את הדרכים להשתמש בו בכדי להגן על הדואר הארגוני.
ישנן דרכים רבות להקשיח את תעבורת הדואר על בסיס SPF, החל מהאופן שבו עובדים עם DNS ועד לתצורות אימות של SPF, מכיוון שהתקן של SPF מושפע מהאופן שבו מוגדרת רשומת DNS, אנו צריכים לדעת איך להגדיר את החוקים בכדי לא להשפיע על תעבורת הדואר בארגון.
לצד הגנה באמצעות SPF, ניתן לעבוד גם מאפיינים נוספים מתוך Message Header. למשל, ניתן לעבוד עם message headers המבוססים על Anti-spam, למשל: כל המאפיינים השייכים אל SFV ונוספים.
הקשחת על בסיס SPF Verification
כל תעבורת הדואר מתבססת על בדיקות שונות הכוללות בין היתר:
• Authentication-Results
• Received-SPF
• X-Forefront-Antispam-Report
כאשר פריט דואר מגיע לשרת הדואר, הוא מבצע בדיקת שונות – הכוללת בין היתר בדיקות על גבי תקנים שונים כדוגמת SPF, ובדיקת SPF נחלקת למספר בדיקות SPF Verification (מתואר בקצרה):
• None – לא נמצאה רשומת SPF קיימת של השולח
• Neutral – בעל הדומיין אינו מאפשר לבצע בדיקה מול רשומת SPF על גבי אותה כתובת IP (לצורך העניין שווה ערך אל None)
• Pass – כתובת IP מאושרת מול אותו דומיין. כלומר, נעשה זיהוי מלא ותקין
• Fail – הדומיין אינו מוגדר מול כתובת IP, ולכן SPF נופל בבדיקה מול רשומת SPF מול הדואר הארגוני
• SoftFail – הדומיין אינה מוגדרת מול כתובת IP ולכן SPF נופל בבדיקה מול רשומת SPF, אך ההודעה תמורקר כהודעת suspicious, וההודעה תגיע לתיבת הדואר של הנמען
ישנן בדיקות נוספות של TempError ושל PermError.
• הבעיה – דואר חיצוני אשר מגיע עם בדיקה מסוג SoftFail
• מניעה – הגדרת חוק עם Message Header מסוג Received-Spf עם SoftFail
דגשים בחוק
• ניתן להגדיר אכיפה אחרת, כדוגמת הצמדת הודעה או חסימת הדואר
• מומלץ לבצע בדיקה מול משתמשים מסוימים לפני שמחילים מול כל הארגון, או לחלופין להגדיר במצב Audit בלבד
טיפ: ניתן לקחת את המאפיין Authentication-Results ולהגדיר עם Message Header, אך חוק כזה יצטרך שילוב של Message Header נוספים.
חסימה לתעבורת דואר מסוג Bulk
דואר המוגדר כתעבורת דואר מסוג Bulk הוא בעייתי, כי לעיתים אינו מסווג כדואר Junk (יש הבדל קטן בין Bulk לבין Junk), ולכן מנגנוני הגנה מתקשים לזהות הבדלים בין Junk לבין Bulk.
דואר מסוג Bulk מתאפיין עם הודעות מסוג:
• If you are unable to view
• unsubscribe
• If you do not wish to receive further
• To stop receiving these
• If you no longer wish to receive
כיום, קמפיינים רבים של פישינג מתבססים על הודעות המסווגות כהודעות Bulk.
• הבעיה – דואר מסוג Bulk שעלול להיות פישינג
• המניעה – יצירת חוק שמתריע למשתמש או חוסם דואר Bulk
דגשים בחוק
• חייבים להגדיר התניה של דואר מחוץ לטרגון בכדי לא לעצור Newsletter מתוך הארגון
• אפשר להוסיף הצמדה של כותרת לחוק
• במידה וישנם מספר הגדרות word\pharses ניתן ליצור התניה נוספת באותו חוק
• לתעבורת דואר מסוג Bulk המבוסס על text patterns
רשימה חלקית של הודעות שניתן להגדיר
If you are unable to view the content of this email\, please
>(safe )?unsubscribe( here)?\</a\>
If you do not wish to receive further communications like this\, please
\<img height\="?1"? width\="?1"? sr\c=.?http\://
To stop receiving these+emails\:http\://
To unsubscribe from \w+ (e\-?letter|e?-?mail|newsletter)
no longer (wish )?(to )?(be sent|receive) w+ email
If you are unable to view the content of this email\, please click here
To ensure you receive (your daily deals|our e-?mails)\, add
If you no longer wish to receive these emails
to change your (subscription preferences|preferences or unsubscribe)
click (here to|the) unsubscribe
חסימה לתעבורת דואר Bulk נוספת
ישנה דרך נוספת לחסום, להעביר פריט דואר לתיקיית Junk או להצמיד כותרת, והיא דואר Bulk באמצעות הגדרת phrases בלבד.
רשימת חלקית של הודעות שניתן להגדיר
to change your preferences or unsubscribe
Modify email preferences or unsubscribe
This is a promotional email
You are receiving this email because you requested a subscription
click here to unsubscribe
You have received this email because you are subscribed
If you no longer wish to receive our email newsletter
to unsubscribe from this newsletter
If you have trouble viewing this email
This is an advertisement
you would like to unsubscribe or change your
view this email as a webpage
You are receiving this email because you are subscribed
לסיכום
הפעולות והדרכים להגדרת תנאים וחוקים על גבי ETR, מאפשרים למרקר הודעות דואר מסוימות ולחסום מקרים אחרים. כך, אנו יכולים לשלוט על כל תעבורת הדואר בהתאם לערכים והפרמטרים המוצעים על גבי Exchange Online.
האפשרויות עם ETR הן מגוונות, ואנו יכולים לקחת כל מאפיין אשר קיים ברמת Message Header.
מאת: אלי שלמה, מומחה למערכות מיקרוסופט וענן
רוצים להתעדכן בתכנים נוספים הקשורים לאבטחת ענן? הצטרפו לפורום המקצועי של IsraelClouds בתחום > להרשמה
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר
