Mam pytanie dotyczące naszego serwera Exchange: Czy uważasz, że dobrym pomysłem jest odrzucanie przychodzących zewnętrznych wiadomości e-mail, które mają naszą domenę na końcu?
Jak zewnętrzna wiadomość e-mail od [email protected]
?
Ponieważ gdyby to był prawdziwy nadawca w naszej firmie, e-mail nigdy nie pochodziłby z zewnątrz?
Jeśli tak, jaki jest najlepszy sposób?
security
email-server
exchange-2013
Steffen Maier
źródło
źródło
Odpowiedzi:
Tak, jeśli wiesz, że e-mail dla Twojej domeny powinien pochodzić tylko z twojego własnego serwera, powinieneś zablokować każdy e-mail dla tej domeny pochodzący z innego serwera. Nawet jeśli klient poczty e-mail nadawcy znajduje się na innym hoście, powinien logować się na serwerze (lub dowolnym innym serwerze e-mailowym), aby wysłać wiadomość e-mail.
Idąc o krok dalej, możesz skonfigurować serwer, aby sprawdzał rekordy SPF. Tak wielu hostów zapobiega tego rodzaju aktywności e-mail. Rekordy SPF to rekord DNS, rekord TXT, który określa reguły dotyczące serwerów, które mogą wysyłać wiadomości e-mail dla Twojej domeny. Jak włączyć sprawdzanie rekordów SPF, będzie zależeć od twojej usługi e-mail i wykracza poza zakres tego, co tu znajdziesz. Na szczęście większość środowisk hostingowych i oprogramowania będzie miała dokumentację do pracy z rekordami SPF. Możesz ogólnie dowiedzieć się więcej o SPF. Oto artykuł w Wikipedii: https://en.wikipedia.org/wiki/Sender_Policy_Framework
źródło
Jest to już standard. To się nazywa DMARC . Wdrażasz go przy użyciu podpisu DKIM (co i tak jest dobrym pomysłem).
Przegląd ogólny polega na tym, że podpisujesz każdy e-mail opuszczający domenę nagłówkiem DKIM (co jest dobrą praktyką). Następnie konfigurujesz DMARC, aby odrzucał każdy e-mail, który trafia na twój serwer pocztowy, z domeny, którą posiadasz, która nie jest podpisana prawidłowym nagłówkiem DKIM.
Oznacza to, że nadal możesz mieć zewnętrzne usługi dostarczające pocztę e-mail do Twojej domeny (takie jak hostowane oprogramowanie pomocy technicznej itp.), Ale może blokować próby phishingu typu spear.
Inną wspaniałą rzeczą w DMARC jest to, że otrzymujesz raporty awarii, dzięki czemu możesz zarządzać obsługą wyjątków zgodnie z wymaganiami.
Wadą jest to, że musisz upewnić się, że wszystko zostało wcześniej dokładnie uporządkowane, w przeciwnym razie możesz zacząć upuszczać prawidłowe wiadomości e-mail.
źródło
Taki blok najprawdopodobniej zmniejszy spam i może utrudnić socjotechnikę, ale może również blokować legalną pocztę. Przykłady obejmują usługi przekazywania poczty, listy mailingowe, użytkowników ze źle skonfigurowanymi klientami pocztowymi, aplikacje internetowe, które wysyłają pocztę bezpośrednio z hosta bez angażowania głównego serwera pocztowego i tak dalej.
Dkim może w pewnym stopniu temu zaradzić, umożliwiając identyfikację wiadomości wysłanej z Twojej sieci, zapętlonej przez listę mailingową lub spedytora, a następnie otrzymanej na twoją pocztę, ale nie jest to idealne lekarstwo, niektóre listy mailingowe złamią podpisy dkim nadal masz problem ze śledzeniem wszystkich wiarygodnych punktów początkowych poczty i upewnianiem się, że przechodzą one przez osobę podpisującą dkim.
Stąpaj ostrożnie, zwłaszcza jeśli implementujesz to w istniejącej domenie.
źródło
Być może, ale są pewne przypadki, które należy rozważyć przed dokonaniem takiej zmiany.
1) Czy ktoś w Twojej firmie korzysta z jakiejkolwiek usługi zewnętrznej (na przykład Survey Monkey, Constant Contact itp.), Aby wysyłać wiadomości e-mail, które wydają się być „z” Twojej domeny? Nawet jeśli nie robią tego dzisiaj, czy mogliby to zrobić w przyszłości?
2) Czy są jakieś adresy zewnętrzne, które przekazują użytkownikom? Załóżmy na przykład, że konto gmail „[email protected]” przesyła dalej do „sprzedaż@mojafirma.com”, a użytkownik „[email protected]” wysyła na adres „[email protected]”. W takim przypadku wiadomość nadejdzie z „z zewnątrz”, ale z adresem „@ mojafirma.com” z adresu:.
3) Czy któryś z Twoich użytkowników subskrybuje zewnętrzne listy dystrybucyjne, które zachowują oryginalny adres „Od:” w wiadomościach na listę? Na przykład, jeśli Bob zasubskrybuje „[email protected]” i wyśle wiadomość, otrzyma wiadomość przychodzącą wyglądającą mniej więcej tak: Od: [email protected] Do: [email protected]. com Nadawca:
Jeśli Twój serwer naiwnie patrzy na nagłówek „From:” (zamiast „Sender:”), może odrzucić tę wiadomość, ponieważ odbierasz ją z zewnątrz.
Ze względu na wszystkie powyższe, posiadanie ogólnej zasady „... od prawdziwego nadawcy w naszej firmie, e-mail nigdy nie nadejdzie z zewnątrz” nie zawsze jest wykonalne.
źródło
Możesz to zrobić w PowerShell, aktualizując swoje uprawnienia do odbierania oprogramowania sprzęgającego, aby wykluczyć anonimowych użytkowników z wysyłania jako autorytatywnego nadawcy domeny:
Problem pojawia się jednak, gdy masz zdalne serwery aplikacji, które muszą wysyłać do Ciebie wiadomości e-mail o statusie, ponieważ zazwyczaj używają nazwy domeny pod adresem Od. Możliwe jest utworzenie dodatkowego złącza odbierającego dla ich określonych adresów IP, abyś ich nieumyślnie wykluczył.
źródło
GMail ma ustawienie, w którym pozwala wysyłać wiadomości e-mail z domeną inną niż GMail, pod warunkiem, że adres e-mail zostanie zweryfikowany jako pierwszy. Twoja decyzja zablokuje te e-maile.
To, czy masz użytkowników, którzy mogliby skorzystać z tej funkcji Gmaila, i czy warto się nimi zająć, zależy w dużej mierze od zachowania w Twojej firmie.
źródło
SPF nie wyleczy tego, ponieważ koperta może mieć odpowiednie hasło SPF (tj. Spamerzy używający zainfekowanego serwera), podczas gdy sfałszują wiadomość e-mail wewnątrz koperty. Potrzebujesz bloku wiadomości e-mail z własnej domeny, który ma serwer pocztowy pochodzący z koperty, którego nie możesz zaakceptować.
źródło