הקשחת דואר לפי SFV באמצעות ETR

המאמר מתמקד בהקשחה דואר ארגוני באמצעות Exchange Transport Rule בלבד והינו חלק מסדרת מאמרים להקשחה באמצעות Exchange Online Protection, Office ATP והמון טיפים.

המאמר הקודם התמקד באפשרויות שונות להקשחת תעבורת הדואר באמצעות חוקים והתניות המתבססות על התראה לדואר זדוני מחוץ לארגון, למאמר המלא הקשחת דואר Bulk באמצעות ETR.

כאשר Exchange Online מבצע סריקה של תעבורת דואר נכנס הוא מתייג את פריטי הדואר עם Message Headers שונים לזיהוי אוטנטיקציה, זיהוי דואר ספאם ובין היתר ניתן למצוא מאפיינים כדוגמת:

X-Forefront-Antispam-Report – בכל קבלה של דואר מוצמד המאפיין של X-Forefront-Antispam-Report במטרה לתת מידע מפורט ובין היתר ניתן למצוא את המידע הבא:

  • הכתובת שממנה נשלחה ההודעה
  • המדינה שממנה נשלחה ההודעה
  • שפה בעת כתיבת הדואר
  • הרייטניג של הספאם
  • הרייטינג של הפישינג
  • האם ההודעה סומנה בהודעת Bulk
  • האם המייל עבר רשימת Allow\Black

טיפ: המאפיין של X-Forefront-Antispam-Reportמכיל מידע חשוב כדוגמת SFV שמסייע בהגדרת חוקים ומסייע בחיסמה של דואר מסוג ספאם, Bulk ודואר שאנו מעוניינים לחסום.

X-Microsoft-Antispam – מתייג מידע נוסף אודות הדואר שמתקבל בממוקד בעיקר בדואר ספאם ודואר פישינג. עובד עם הפרמטרים של BCL ושל PCL ואפשרויות רייטניג של כל אפשרות.

Authentication-results – תפקידו העיקרי של Authentication-results הוא לבצע בדיקת חתימות של התקנים שאיתם מתבצעת אוטנטיקציה כדוגמת: SPF, DKIM, DMARC.

הבדיקות אשר נעשות הם בדיקות מסוג check stamp ולצורך הדוגמה הבדיקה נראית כך 

spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=domain.com
spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=domain.com

טיפ: למרות שבדיקות אוטנטיקציה מול התקנים הקיימים היא ישנה, עדיין מדובר על בדיקות נדרשות ובמיוחד בימים שבהם רוב המערכות עדיין מתבססות על תקנים אלה.

חשוב להדגיש כי בנוסף לאותם מאפיינים ספציפיים ישנם עוד מאפיינים רבים המתויגים בכל שליחה וקבלת דואר,  אך המאפיינים המוזכרים מעלה מסייעים לקבל מידע ספציפי לגבי איך המידע התקבל בשרתי הדואר או בשירות Exchange Online.

הדבר החשוב במאפיין של Authentication-results הוא המידע אשר קיים בתעברות הדואר, בין היתר ניתן למצוא את המידע הבא והחשוב:

  • smtp.mailfrom – מכיל את השולח והדומיין ולמעשה מכיל את המידע של 5321.MailFrom
  • header.from – מכיל את הדומיין של השולח ולמעשה מכיל את המידע של 5322.From

טיפ: במקרים רבים שבהם מבצעים דיאנוסטיקה לגבי תעבורת הדואר, המידע של 5321.MailFrom ושל 5322.From מכיל מידע חשוב ויכול להעיד על התחזות ומקרים בהם ישנו תירגוט של השולח.

התראה או חסימת דואר באמצעות Message Headers

כל החוקים המוגדרים עם X-Forefront-Antispam-Report מטרתם לבצע חסימה של דואר, העברת דואר לתיקית Junk, להרתיע על דואר בעייתי וכן הלאה, באמצעות זיהוי המאפיין של X-Forefront-Antispam-Report.

למאפיין של X-Forefront-Antispam-Report ישנם מספר  פרמטרים המבוססים על SFV שהוא ערך ייעודי המתייג כל תעבורת דואר בעייתית.

הגדרת חוק לערך SFV:SKI

הערל של SFV:SKI מתייג תעבורת דואר שהגיע מגורמים כדוגמת intra-organizational וביצעו עקיפה למנגנוני filter השונים, ולכן אנ ויכולים להתריע על כך או לפי הדוגמה שלפנינו להעביר את הדואר לתיקית Junk.

הגדרת Message Header עם ערך X-Forefront-Antispam-Report אשר כולל את SFV:SKI

 

טיפ: אנו יכולים ליצור חוקים נוספים של X-Forefront-Antispam-Report לערכי SFV אחרים ונוספים

טיפ: מומלץ ליצור לכל SFV חוק ייעודי ולא להעמיס על אותו חוק X-Forefront-Antispam-Report את כל התנאים של ערך SFV.

החוקים הנוספים שניתן להגדיר הם בהתאם לערכי SFV של המאמר בקישור המצורף
https://docs.microsoft.com/en-us/office365/securitycompliance/anti-spam-message-headers

לסיכום

דרך נוספת להתמודדות עם דואר בעייתי הוא באמצעות Anti-spam message headers ועל גבי מאפיינים וערכים ייעודים, שאותם נגדיר בחוקי Mail Flow Rules לביצוע חסימות, התראות וצימוד כותרות וכן העברת לתיקית Junk.

מאפיינים של Message Headers כדוגמת X-Forefront-Antispam-Report ונוספים מאפשרים להרחיב את אפשרויות ההגנה על הדואר הארגוני.

מה דעתך?

אתר זה עושה שימוש באקיזמט למניעת הודעות זבל. לחצו כאן כדי ללמוד איך נתוני התגובה שלכם מעובדים.