הקשחת דואר Bulk באמצעות ETR
המאמר מתמקד בהקשחה דואר ארגוני באמצעות Exchange Transport Rule בלבד והינו חלק מסדרת מאמרים להקשחה באמצעות Exchange Online Protection, Office ATP והמון טיפים.
המאמר הקודם התמקד באפשרויות שונות להקשחת תעבורת הדואר באמצעות חוקים והתניות המתבססות על התראה לדואר זדוני מחוץ לארגון, למאמר המלא הקשחת דואר ארגוני ETR .
הקשחת דואר ארגונית ותקן SPF
אומנם תקן PSF ודומיו הינם תקנים ישנים בני 20 שנה ויותר, אך למרות שתקן תעבורת הדואר עדיין מבוסס עליו אנו צריכים למצוא את הדרכים להשתמשמ בו בכדי להגן על הדואר הארגוני.
ישנם דרכים רבות להקשיח את תעבורת הדואר על בסיס SPF, החל מהאופן שבו עובדים עם DNS ועד לתצורות אימות של SPF, מכיוון שהתקן של SPF מושפע מהאופן שבו מוגדרת רשומת DNS אנו צריכים לדעת איך להגדיר את החוקים בכדי לא להשפיע על תעבורת הדואר בארגון.
לצד הגנה באמצעות SPF ניתן לעבוד גם מאפיינים נוספים מתוך Message Header, ולמשל ניתן לעבוד עם message headers מבוססים על Anti-spam, למשל כל המאפיינים השייכים אל SFV ונוספים.
הקשחת על בסיס SPF Verification
כל תעבורת הדואר מתבסס על בדיקות שונות בינהם Headers בין היתר:
- Authentication-Results
- Received-SPF
- X-Forefront-Antispam-Report
כאשר פריט דואר מגיע לשרת הדואר הוא מבצע בדיקת שונות בין היתר בדיקות על גבי תקנים שונים כודגמת SPF, ובדיקת SPF נחלקת למספר בדיקות SPF Verification: (מתואר בקצרה)
- None – לא נמצאה רשומת SPF קיימת של השולח
- Neutral – בעל הדומיין אינו מאפשר לבצע בדיקה מול רשומת SPF על גבי אותה כתובת IP (לצורך הענין שווה ערך אל None)
- Pass – כתובת IP מאושרת מול אותו דמיין, כלומר נעשה זיהוי מלא ותקין
- Fail – הדומיין אינו מוגדר מול כתובת IP ולכן SPF נופל בבדיקה מול רשומת SPF מול הדואר הארגוני
- SoftFail – הדומיין אינה מוגדרת מול כתובת IP ולכן SPF נופל בבדיקה מול רשומת SPF אך ההודעה תמורקר כהודעת suspicious וההודעה תגיע לתיבת הדואר של הנמען
ישנם בדיקות נוספות של TempError ושל PermError.
- הבעיה – דואר חיצוני אשר מגיע עם בדיקה מסוג SoftFail
- מניעה – הגדרת חוק עם Message Header מסוג Received-Spf עם SoftFail
דגשים בחוק
- ניתן להגדיר אכיפה אחרת כדוגמת הצמדת הודעה או חסימת הדואר
- מומלץ לבצע בדיקה מול משתמשים מסוימים לפני שמחילים מול כל הארגון או לחלופין להגדיר במצב Audit בלבד
טיפ: ניתן לקחת את המאפיין Authentication-Results ולהגדיר עם Message Header אך חוק כזה יצטרך שילוב של Message Header נוספים.
חסימה לתעבורת דואר מסוג Bulk
דואר המוגדר כתעבורת דואר מסוג Bulk הוא בעייתי כי לעיתים אינו מסווג כדואר Junk (יש הבדל קטן בין Bulk לבין Junk), ולכן מנגנוני הגנה מתקשים לזהות הבדלים בין Junk לבין Bulk.
דואר מסוג Bulk מתאפיין עם הודעות מסוג:
- If you are unable to view
- unsubscribe
- If you do not wish to receive further
- To stop receiving these
- If you no longer wish to receive
כיום קמפיינים רבים של פישינג מתבססים על הודעות המסווגות כהודעות Bulk.
- הבעיה – דואר מסוג Bulk שעלול להיות פישינג
- המניעה – יצירת חוק שמתריע למשתמש או חוסם דואר Bulk
דגשים בחוק
- חייבים להגדיר התניה של דואר מחוץ לטרגון בכדי לא לעצור Nesletter מתוך הארגון
- אפשר להוסיף הצמדה של כותרת לחוק
- במידה וישנם מספר הגדרות word\pharses ניתן ליצור התניה נוספת באותו חוק
- לתעבורת דואר מסוג Bulk עם המבוסס על text patterns
רשימה חלקית של הודעות שניתן להגדיר
If you are unable to view the content of this email\, please
>(safe )?unsubscribe( here)?\</a\>
If you do not wish to receive further communications like this\, please
\<img height\="?1"? width\="?1"? sr\c=.?http\://
To stop receiving these+emails\:http\://
To unsubscribe from \w+ (e\-?letter|e?-?mail|newsletter)
no longer (wish )?(to )?(be sent|receive) w+ email
If you are unable to view the content of this email\, please click here
To ensure you receive (your daily deals|our e-?mails)\, add
If you no longer wish to receive these emails
to change your (subscription preferences|preferences or unsubscribe)
click (here to|the) unsubscribe
חסימה לתעבורת דואר Bulk נוספת
ישנה דרך וספת לחסום, להעביר פריט דואר לתיקיית Junk או להצמיד כותרת והוא דואר Bulk באמצעות הגדרת phrases בלבד.
רשימת חלקית של הודעות שניתן להגדיר
to change your preferences or unsubscribe
Modify email preferences or unsubscribe
This is a promotional email
You are receiving this email because you requested a subscription
click here to unsubscribe
You have received this email because you are subscribed
If you no longer wish to receive our email newsletter
to unsubscribe from this newsletter
If you have trouble viewing this email
This is an advertisement
you would like to unsubscribe or change your
view this email as a webpage
You are receiving this email because you are subscribed
לסיכום
הפעולות והדרכים להגדרת תנאים וחוקים על גבי ETR מאפשרים למרקר הודעות דואר מסוימות ולחסום מקרים אחרים, ואנו יכולים לשלוט על כל תעבורת דואר בהתאם לערכים והפרטמטרים המוצעים על גבי Exchange Online.
האפשרויות עם ETR הן מגוונות ואנו יכולים לקחת כל מאפיין אשר קיים ברמת Message Header.
אחלה מאמר, הערה קצרה על חוקי ה etr:
דירוג 8 או 9 ב scl שווה ל quarantine ולא junk (אלא אם הוגדר לבצע junk גם ברמה הגבוהה ב spam policy.
תודה רבה.
חשוב לציין כי הסוגיה מוכרת אך במסמך הרשמי של מיקרוסופט בנושא מדובר על High confidence
https://docs.microsoft.com/en-us/office365/securitycompliance/spam-confidence-levels