הקשחת דואר לפי SFV באמצעות ETR
המאמר מתמקד בהקשחה דואר ארגוני באמצעות Exchange Transport Rule בלבד והינו חלק מסדרת מאמרים להקשחה באמצעות Exchange Online Protection, Office ATP והמון טיפים.
המאמר הקודם התמקד באפשרויות שונות להקשחת תעבורת הדואר באמצעות חוקים והתניות המתבססות על התראה לדואר זדוני מחוץ לארגון, למאמר המלא הקשחת דואר Bulk באמצעות ETR.
כאשר Exchange Online מבצע סריקה של תעבורת דואר נכנס הוא מתייג את פריטי הדואר עם Message Headers שונים לזיהוי אוטנטיקציה, זיהוי דואר ספאם ובין היתר ניתן למצוא מאפיינים כדוגמת:
X-Forefront-Antispam-Report – בכל קבלה של דואר מוצמד המאפיין של X-Forefront-Antispam-Report במטרה לתת מידע מפורט ובין היתר ניתן למצוא את המידע הבא:
- הכתובת שממנה נשלחה ההודעה
- המדינה שממנה נשלחה ההודעה
- שפה בעת כתיבת הדואר
- הרייטניג של הספאם
- הרייטינג של הפישינג
- האם ההודעה סומנה בהודעת Bulk
- האם המייל עבר רשימת Allow\Black
טיפ: המאפיין של X-Forefront-Antispam-Reportמכיל מידע חשוב כדוגמת SFV שמסייע בהגדרת חוקים ומסייע בחיסמה של דואר מסוג ספאם, Bulk ודואר שאנו מעוניינים לחסום.
X-Microsoft-Antispam – מתייג מידע נוסף אודות הדואר שמתקבל בממוקד בעיקר בדואר ספאם ודואר פישינג. עובד עם הפרמטרים של BCL ושל PCL ואפשרויות רייטניג של כל אפשרות.
Authentication-results – תפקידו העיקרי של Authentication-results הוא לבצע בדיקת חתימות של התקנים שאיתם מתבצעת אוטנטיקציה כדוגמת: SPF, DKIM, DMARC.
הבדיקות אשר נעשות הם בדיקות מסוג check stamp ולצורך הדוגמה הבדיקה נראית כך
spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=domain.com
spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=domain.com
טיפ: למרות שבדיקות אוטנטיקציה מול התקנים הקיימים היא ישנה, עדיין מדובר על בדיקות נדרשות ובמיוחד בימים שבהם רוב המערכות עדיין מתבססות על תקנים אלה.
חשוב להדגיש כי בנוסף לאותם מאפיינים ספציפיים ישנם עוד מאפיינים רבים המתויגים בכל שליחה וקבלת דואר, אך המאפיינים המוזכרים מעלה מסייעים לקבל מידע ספציפי לגבי איך המידע התקבל בשרתי הדואר או בשירות Exchange Online.
הדבר החשוב במאפיין של Authentication-results הוא המידע אשר קיים בתעברות הדואר, בין היתר ניתן למצוא את המידע הבא והחשוב:
- smtp.mailfrom – מכיל את השולח והדומיין ולמעשה מכיל את המידע של 5321.MailFrom
- header.from – מכיל את הדומיין של השולח ולמעשה מכיל את המידע של 5322.From
טיפ: במקרים רבים שבהם מבצעים דיאנוסטיקה לגבי תעבורת הדואר, המידע של 5321.MailFrom ושל 5322.From מכיל מידע חשוב ויכול להעיד על התחזות ומקרים בהם ישנו תירגוט של השולח.
התראה או חסימה של Message Headers
כל החוקים המוגדרים עם X-Forefront-Antispam-Report מטרתם לבצע חסימה של דואר, העברת דואר לתיקית Junk, להרתיע על דואר בעייתי וכן הלאה, באמצעות זיהוי המאפיין של X-Forefront-Antispam-Report.
למאפיין של X-Forefront-Antispam-Report ישנם מספר פרמטרים המבוססים על SFV שהוא ערך ייעודי המתייג כל תעבורת דואר בעייתית.
הגדרת חוק לערך SFV:SKI
הערך של SFV:SKI מתייג תעבורת דואר שהגיע מגורמים כדוגמת intra-organizational וביצעו עקיפה למנגנוני filter השונים, ולכן אנ ויכולים להתריע על כך או לפי הדוגמה שלפנינו להעביר את הדואר לתיקית Junk.
הגדרת Message Header עם ערך X-Forefront-Antispam-Report אשר כולל את SFV:SKI
טיפ: אנו יכולים ליצור חוקים נוספים של X-Forefront-Antispam-Report לערכי SFV אחרים ונוספים
טיפ: מומלץ ליצור לכל SFV חוק ייעודי ולא להעמיס על אותו חוק X-Forefront-Antispam-Report את כל התנאים של ערך SFV.
החוקים הנוספים שניתן להגדיר הם בהתאם לערכי SFV של המאמר בקישור המצורף
https://docs.microsoft.com/en-us/office365/securitycompliance/anti-spam-message-headers
לסיכום
דרך נוספת להתמודדות עם דואר בעייתי הוא באמצעות Anti-spam message headers ועל גבי מאפיינים וערכים ייעודים, שאותם נגדיר בחוקי Mail Flow Rules לביצוע חסימות, התראות וצימוד כותרות וכן העברת לתיקית Junk.
מאפיינים של Message Headers כדוגמת X-Forefront-Antispam-Report ונוספים מאפשרים להרחיב את אפשרויות ההגנה על הדואר הארגוני.
