הקשחת דואר באמצעות ETR – טיפים

סדרת מאמרים להקשחת דואר ארגוני באמצעות Exchange Transport Rule והינם חלק מסדרת מאמרים נוספים להקשחה של הדואר הארגוני באמצעות Exchange Online Protection, Office ATP והמון טיפים.

המאמר הנוכחי מתמקד בחוקים מסוימים והרבה טיפים להקשחת דואר, המאמר מתעדכן באופן שוטף.

שטח המתקפה של הדואר הוא שטח נרחב ותוקפים מנצלים רכיבים, כתובות דואר ומאפיינים נוספים במטרה להספים ארגון מסוים או לבצע פישינג ובמקרים רבים ישנה הצלחה.

אחת הבעיות בתעבורת דואר היא כתובת דואר של מערכות צד שלישי, ונקח לדוגמה את התראות הדואר אשר נשלחות מתוך מערכות Microsoft וכוללות בין היתר התראות לגבי Biling או שינויים מערכתיים.

במקרים רבים אדמינים ומשתמשים עוצרים או מדווחים על כתובות אמיתיות שהם חלק מתוך ספאם או פישינג ובכך יוצרים בעיה.

טיפ: כל הספקים שולחים התראות באמצעות דואר ולכן התוקפים מנצלים את השיטה ומשקיעים בדפי נחיתה אשר דומים 100% לדפים המקורים ולכן מומלץ להימנע ככל האפשר מהתראות דואר.

התראה והלבנה לגבי דואר של מערכות צד שלישי

ישנם מספר דרכים להלבין כתובת דואר החל מביצוע Whitelisting על גבי Anti-spam settings ועד יצירת חוק ETR המשלב בין Anti-Spam לבין התראה למשתמש באמצעות הצמדת כותרת.

טיפ: מומלץ לוודא מהם כתובות הדואר אשר שולחים התראות ולהלבין בהתאם.

בכדי להלבין כתובת דואר ספציפית יש לבצע את הפעולות הבאות המבוססות על יצירת חוק ETR בממשק Exchange Admin Console.

• כתובת דואר ספציפית למשל quarantine@messaging.microsoft.com (ניתן להוסיף אחרות)
• כתובת מגורם חיצוני
• המגיע אל נמענים פנימיים
• אכיפה של Bypass Spam Filtering
• התראה למשתמש עם הצמדת כותרת

הטקסט להגדרת Prepend the disclaimer ויכול לשמש לחוקי ETR נוספים.

<table class=MsoNormalTable border=0 cellspacing=0 cellpadding=0 align=left width="100%" style='width:100.0%;mso-cellspacing:0cm;mso-yfti-tbllook:1184; mso-table-lspace:2.25pt;mso-table-rspace:2.25pt;mso-table-anchor-vertical:paragraph;mso-table-anchor-horizontal:column;mso-table-left:left;mso-padding-alt:0cm 0cm 0cm 0cm'> <tr style='mso-yfti-irow:0;mso-yfti-firstrow:yes;mso-yfti-lastrow:yes'><td style='background:#910A19;padding:5.25pt 1.5pt 5.25pt 1.5pt'></td><td width="100%" style='width:100.0%;background:#FDF2F4;padding:5.25pt 3.75pt 5.25pt 11.25pt; word-wrap:break-word' cellpadding="7px 5px 7px 15px" color="#212121"><div><p class=MsoNormal style='mso-element:frame;mso-element-frame-hspace:2.25pt; mso-element-wrap:around;mso-element-anchor-vertical:paragraph;mso-element-anchor-horizontal: column;mso-height-rule:exactly'><span style='font-size:9.0pt;font-family: "Segoe UI",sans-serif;mso-fareast-font-family:"Times New Roman";color:#212121'>This message is part of notification and comes from an external organization. Be careful of embedded links or attachment.<o:p></o:p></span></p></div></td></tr></table>

טיפ: מומלץ לשמור על אותו מבנה של טסטק (קוד) בהגדרת Prepend the disclaimer, בכדי להציג למשתמש התראה וטקסט אחיד ובכדי למנוע מהדואר להיראות לא מסוגנן.

ניתן לבצע הלבנה באמצעות הגדרת הכתובת מול מגנון Anti-Spam בממשק Protection מתוך Anti-spam settings

טיפ: בנוסף מומלץ ליצור חוק עם מילים (word/pharses) מסוימות השייכות להתראות במטרה לחסום ולהתריע על דואר העלול להיות ספאם או פישינג.

חסימה או השחרת כתובת דואר

בניגוד לחוק של הלבנת כתובות דואר מסוימות אנו יכולים לבצע חסימה והשחרה של כתובות מסוימות ע"י פרמטרים שונים אשר ידועים כדוגמת Spam או Quarantine וכן הלאה.

חוק אשר מכיל כתובות דואר ומילים מסוימות עלול להיות קצת טריקי בגלל שימוש בפרמטרים של wildcard שעלולים קצת לסבך את העניינים אבל נתחיל מהדברים הפשוטים.

ממש בנידוג לחוק הקודם שהתמקד בהלבנה של כתובת דואר מוכרת  quarantine@messaging.microsoft.com בחוק הבא המטרה היא ליצור חוק אשר חוסם כל מה שקשור לכתובת שעלולות להכיל quarantine לפי התנאים הבאים:

• השולח נמצא מחוץ לארגון
• כתובת השולח מכילה את המלה quarantine ומוגדרת עם *.
• אכיפת SCL ברמה 9

הערה: ניתן לבצע אכיפה נוספת של מחיקת דואר וכן הלאה

עדכונים נוספים בקרוב  – הצמדת כותרת על דואר חדש שהגיע פעם ראשונה לארגון, איך לבצע אוטומציה על חוקי ETR, איך לבצע דיאגנוסטיקה על דוחות דואר ולזהות בעיות ועוד.