Site icon

הקשחת דואר באמצעות ETR (התראה אדומה)

המאמר מתמקד בהקשחת דואר ארגוני באמצעות Exchange Transport Rule בלבד והינו חלק מסדרת מאמרים להקשחה באמצעות Exchange Online Protection, Defender for Office והמון טיפים.

ספאם, פישינג ודואר זדוני הם בעיות שהולכות ומתגברות וככל שעובר הזמן הטכניקות של התוקפים משתפרות, למשל לאחרונה, התקפות פישינג נעשים באמצעות בוטים או יותר Bot Phishing אשר משלבים קישורים מבוססים HTTPS.

דואר וסיכון

דואר מסוכן, לא? ביצוע הונאות באמצעות תעבורת הדואר עלולות להיות מגוונות עם אפשרויות שונות, למשל: שם תצוגה זהה, שם דומיין זהה, כתובת דואר זהה ולעיתים אפשר לשלב את כולם יחדיו ולקבל משהו ממש אמיתי. למשל, בדוגמה המצורפת התקבל "מייל" עם שם תצוגה, כתובת מייל ובקשה מסוימת, חשוב להדגיש כי שליחת הדואר נעשתה מתוך מתוך מנגנון הכולל תקני דואר מוכרים כולל הגדרות DKIM וכן DMARC.

כיום האפשרויות בשליחת דואר מתוך מנגנון מסוים פשוטה יותר מאשר בעבר, וכיום ישנם מנגנונים ברשת המאפשרים ביצוע התחזות עם כל הפרמטרים הנדרשים. מיותר לומר שבמקרים מסוימים ישנה השקעה מירבית בקמפיינים וניתן לראות לעיתים דוגמאות כמו זאת שמצורפת, וגם לעין טכנית קשה לזהות את ההבדל.

מנגד ניתן לראות התעסקות רבה בהגנה על הארגון ולעיתים רבות מדובר על גבי שילוב מספר מערכות (שניים או שלושה מערכות) המבצעות הגנה כדוגמת Content filtering, Anti-spam וכן הגנה באמצעות חיזוי או ממוקדות בביצוע CDR או Sandboxים למינהם, וזאת במטרה למנוע את מתקפת הפישניג הבאה.

האם לתוקפים יש הצלחה? כן, אחוזי הצלחה גבוהים.

מהיכן הבעיה מגיעה? מעבר לעובדה שהטכניקות של התוקפים תמיד נמצאות כמה צעדים על פני המערכות שמבצעות הגנה, אפשר לומר שבגלל ריבוי מערכות אין ניצול נכון של היכולות בכל מערכת, אם אקח את הדוגמה של Exchange Online אפשר לומר שרוב הארגונים מנצל רק אחוז קטן מהיכולות הקיימות.

חשוב להדגיש כי בהגנה על הדואר ארגוני אנו יכולים לצמצם טעויות אנוש ולהקטין את שטח התקיפה באופן משמעותי, אך לא למנוע לחלוטין בעיות. הקטע הזה אינו חדש, אבל תמיד טוב לדעת איפה אנו נמצאים במפת האיומים.🙂

הקשחת דואר ארגוני

להקשחת דואר ארגוני אין Best Practice או Recommendation מסוימים אלא Best from the Field וזאת בגלל סיבות רבות בינהם, להתקפות פישינג אין חוקים וישנה הרבה יצירתיות ודינמיות, ולכן נתחיל בהקשחות פשוטות ונתקדם עם המאמרים לתנאים מתקדמים כולל Prediction וכל זאת באמצעות Exchange Online או ליתר דיוק Exchange Transport Rule.

טיפ: האפשרויות חסימה והתניה ברמת ETR הן רבות ומגוונות, למשל ניתן ליצור חוק המשווה בין from לבין return-path ועל סמך השוואה לא תקינה למרקר או לחסום את הדואר, כלומר כל מאפיין אשר קיים ברמת Message Header זמין לנו.

התראה על דואר חיצוני עם אותו Display Name

ביצוע Spoofing והתחזות על גבי שם תצוגה עם הערך של Display Name היא בעיה נפוצה ולכן ניתן למרקר (או לחסום) דואר מהסוג הנ"ל באמצעות ההגדרה הבאה:

המלצות בחוק 

טיפ: מכיוון שהגדרת תיבות דואר וכלל המתשמשים אינה אפשרית באופן פשוט מתוך הממשק ניתן להגדיר את כלל תיבות הדואר באמצעות PowerShell סקריפט אשר כולל את ערך from לפי השורה הבאה $displayNames = (Get-Mailbox -ResultSize Unlimited).DisplayName

להורדת הסקריפט המלא ExchangeOnline/DN_EXT_SPoof_EXO

טיפ: האפשרויות של הגדרת תנאים וחוקים על גבי PowerShell רחבות יותר מאשר בממשק אדמין.

לאחר הגדרת החוק ושליחת דואר עם אותו Display Name מגורם חיצוני נקבל את ההודעה הבאה

התראה על דואר חיצוני

דואר חיצוני עלול להכיל קישורים וקבצים זדוניים ולכן משתמשים עלולים ללחוץ או לפתוח פריטים מגורם חיצוני, ולכן החוק הבא מדגיש (מרקור הדואר וניתן לחסום גם) האם הדואר הגיע מגורם חיצוני.

חסימת דואר עם דומיין זהה סטייל Domain Look-Alike

במקרים של טרגוט התוקף שולח דואר עם דומיין אשר זהה לדומיין שלנו בכדי לבצע סוג של Impersonation ולכן במקרים כאלה ניתן לראות כי גם שם התצוגה וגם שם הדומיין הוא זהה באופן שווה לנמען הפנימי.

החוק הבא חוסם קבלת דואר מגורם חיצוני עם שם דומיין זהה.

טיפ: ביצוע האכיפה יכול להיות פעולה אחרת אך מומלץ לא להגדיר במצב כזה אכיפה עם חתימה והתראה במייל אלא לחסום.

לסיכום

הפעולות והדרכים להגדרת תנאים וחוקים על גבי ETR מאפשרים למרקר הודעות דואר מסוימות ולחסום מקרים אחרים, ואנו יכולים לשלוט על כל תעבורת דואר בהתאם לערכים והפרטמטרים המוצעים על גבי Exchange Online. האפשרויות עם ETR הן מגוונות ואנו יכולים לקחת כל מאפיין אשר קיים ברמת Message Header.

אגב, ברישוי של MDO P2 ישנו מנגנון זיהוי אוטומטי של Impersonation המאפשר בין היתר לקבל את כל אותן אינדיקציות ברמת תצוגת משתמש, שם משתמש ודומיין באופן אוטומטי.

Exit mobile version