Dobry pomysł? Odmawiać przychodzących wiadomości e-mail z zakończeniem naszej własnej domeny? (ponieważ muszą być fałszywe)

Mam pytanie dotyczące naszego serwera Exchange: Czy uważasz, że dobrym pomysłem jest odrzucanie przychodzących zewnętrznych wiadomości e-mail, które mają naszą domenę na końcu?

Jak zewnętrzna wiadomość e-mail od fake@example.com?

Ponieważ gdyby to był prawdziwy nadawca w naszej firmie, e-mail nigdy nie pochodziłby z zewnątrz?

Jeśli tak, jaki jest najlepszy sposób?

Tak, jeśli wiesz, że e-mail dla Twojej domeny powinien pochodzić tylko z twojego własnego serwera, powinieneś zablokować każdy e-mail dla tej domeny pochodzący z innego serwera. Nawet jeśli klient poczty e-mail nadawcy znajduje się na innym hoście, powinien logować się na serwerze (lub dowolnym innym serwerze e-mailowym), aby wysłać wiadomość e-mail.

Idąc o krok dalej, możesz skonfigurować serwer, aby sprawdzał rekordy SPF. Tak wielu hostów zapobiega tego rodzaju aktywności e-mail. Rekordy SPF to rekord DNS, rekord TXT, który określa reguły dotyczące serwerów, które mogą wysyłać wiadomości e-mail dla Twojej domeny. Jak włączyć sprawdzanie rekordów SPF, będzie zależeć od twojej usługi e-mail i wykracza poza zakres tego, co tu znajdziesz. Na szczęście większość środowisk hostingowych i oprogramowania będzie miała dokumentację do pracy z rekordami SPF. Możesz ogólnie dowiedzieć się więcej o SPF. Oto artykuł w Wikipedii: https://en.wikipedia.org/wiki/Sender_Policy_Framework

Jest to już standard. To się nazywa DMARC . Wdrażasz go przy użyciu podpisu DKIM (co i tak jest dobrym pomysłem).

Przegląd ogólny polega na tym, że podpisujesz każdy e-mail opuszczający domenę nagłówkiem DKIM (co jest dobrą praktyką). Następnie konfigurujesz DMARC, aby odrzucał każdy e-mail, który trafia na twój serwer pocztowy, z domeny, którą posiadasz, która nie jest podpisana prawidłowym nagłówkiem DKIM.

Oznacza to, że nadal możesz mieć zewnętrzne usługi dostarczające pocztę e-mail do Twojej domeny (takie jak hostowane oprogramowanie pomocy technicznej itp.), Ale może blokować próby phishingu typu spear.

Inną wspaniałą rzeczą w DMARC jest to, że otrzymujesz raporty awarii, dzięki czemu możesz zarządzać obsługą wyjątków zgodnie z wymaganiami.

Wadą jest to, że musisz upewnić się, że wszystko zostało wcześniej dokładnie uporządkowane, w przeciwnym razie możesz zacząć upuszczać prawidłowe wiadomości e-mail.

Taki blok najprawdopodobniej zmniejszy spam i może utrudnić socjotechnikę, ale może również blokować legalną pocztę. Przykłady obejmują usługi przekazywania poczty, listy mailingowe, użytkowników ze źle skonfigurowanymi klientami pocztowymi, aplikacje internetowe, które wysyłają pocztę bezpośrednio z hosta bez angażowania głównego serwera pocztowego i tak dalej.

Dkim może w pewnym stopniu temu zaradzić, umożliwiając identyfikację wiadomości wysłanej z Twojej sieci, zapętlonej przez listę mailingową lub spedytora, a następnie otrzymanej na twoją pocztę, ale nie jest to idealne lekarstwo, niektóre listy mailingowe złamią podpisy dkim nadal masz problem ze śledzeniem wszystkich wiarygodnych punktów początkowych poczty i upewnianiem się, że przechodzą one przez osobę podpisującą dkim.

Stąpaj ostrożnie, zwłaszcza jeśli implementujesz to w istniejącej domenie.

Być może, ale są pewne przypadki, które należy rozważyć przed dokonaniem takiej zmiany.

1) Czy ktoś w Twojej firmie korzysta z jakiejkolwiek usługi zewnętrznej (na przykład Survey Monkey, Constant Contact itp.), Aby wysyłać wiadomości e-mail, które wydają się być „z” Twojej domeny? Nawet jeśli nie robią tego dzisiaj, czy mogliby to zrobić w przyszłości?

2) Czy są jakieś adresy zewnętrzne, które przekazują użytkownikom? Załóżmy na przykład, że konto gmail „mojafirma.sales@gmail.com” przesyła dalej do „sprzedaż@mojafirma.com”, a użytkownik „bob@mojafirma.com” wysyła na adres „mojafirma.sales@gmail.com”. W takim przypadku wiadomość nadejdzie z „z zewnątrz”, ale z adresem „@ mojafirma.com” z adresu:.

3) Czy któryś z Twoich użytkowników subskrybuje zewnętrzne listy dystrybucyjne, które zachowują oryginalny adres „Od:” w wiadomościach na listę? Na przykład, jeśli Bob zasubskrybuje „foo-list@lists.apple.com” i wyśle ​​wiadomość, otrzyma wiadomość przychodzącą wyglądającą mniej więcej tak: Od: bob@mycompany.com Do: foo-list@lists.apple. com Nadawca:

Jeśli Twój serwer naiwnie patrzy na nagłówek „From:” (zamiast „Sender:”), może odrzucić tę wiadomość, ponieważ odbierasz ją z zewnątrz.

Ze względu na wszystkie powyższe, posiadanie ogólnej zasady „... od prawdziwego nadawcy w naszej firmie, e-mail nigdy nie nadejdzie z zewnątrz” nie zawsze jest wykonalne.

Możesz to zrobić w PowerShell, aktualizując swoje uprawnienia do odbierania oprogramowania sprzęgającego, aby wykluczyć anonimowych użytkowników z wysyłania jako autorytatywnego nadawcy domeny:

Get-ReceiveConnector <identity> | Remove-AdPermission -User "NT AUTHORITY\Anonymous Logon" -ExtendedRights ms-Exch-SMTP-Accept-Authoritative-DomainSender

Problem pojawia się jednak, gdy masz zdalne serwery aplikacji, które muszą wysyłać do Ciebie wiadomości e-mail o statusie, ponieważ zazwyczaj używają nazwy domeny pod adresem Od. Możliwe jest utworzenie dodatkowego złącza odbierającego dla ich określonych adresów IP, abyś ich nieumyślnie wykluczył.

GMail ma ustawienie, w którym pozwala wysyłać wiadomości e-mail z domeną inną niż GMail, pod warunkiem, że adres e-mail zostanie zweryfikowany jako pierwszy. Twoja decyzja zablokuje te e-maile.

To, czy masz użytkowników, którzy mogliby skorzystać z tej funkcji Gmaila, i czy warto się nimi zająć, zależy w dużej mierze od zachowania w Twojej firmie.

SPF nie wyleczy tego, ponieważ koperta może mieć odpowiednie hasło SPF (tj. Spamerzy używający zainfekowanego serwera), podczas gdy sfałszują wiadomość e-mail wewnątrz koperty. Potrzebujesz bloku wiadomości e-mail z własnej domeny, który ma serwer pocztowy pochodzący z koperty, którego nie możesz zaakceptować.