✕ סגור 
צור קשר
תודה על ההתעניינות .

Thank you! Your submission has been received!

Oops! Something went wrong while submitting the form

הקשחת דואר Bulk באמצעות ETR

Eli Shlomo
|
קלה
|
Apr 30, 2019
alt="facebook"alt="linkedin"להרשמה לניוזלטר

במאמר הקודם התמקדנו באפשרויות שונות להקשחת תעבורת הדואר באמצעות חוקים והתניות המתבססות על התראה לדואר זדוני מחוץ לארגון.


המאמר הזה יתמקד בהקשחה דואר ארגוני באמצעות Exchange Transport Rule בלבד, והינו חלק מסדרת מאמרים להקשחה באמצעות Exchange Online Protection, Office ATP ויכלול המון טיפים.


הקשחת דואר ארגונית ותקן SPF


אומנם תקני PSF ודומיו הינם תקנים ישנים בני 20 שנה ויותר, אך למרות שתקן תעבורת הדואר עדיין מבוסס עליו אנו צריכים למצוא את הדרכים להשתמש בו בכדי להגן על הדואר הארגוני.


ישנן דרכים רבות להקשיח את תעבורת הדואר על בסיס SPF, החל מהאופן שבו עובדים עם DNS ועד לתצורות אימות של SPF, מכיוון שהתקן של SPF מושפע מהאופן שבו מוגדרת רשומת DNS, אנו צריכים לדעת איך להגדיר את החוקים בכדי לא להשפיע על תעבורת הדואר בארגון.


לצד הגנה באמצעות SPF, ניתן לעבוד גם מאפיינים נוספים מתוך Message Header. למשל, ניתן לעבוד עם message headers המבוססים על Anti-spam, למשל: כל המאפיינים השייכים אל SFV ונוספים.


הקשחת על בסיס SPF Verification


כל תעבורת הדואר מתבססת על בדיקות שונות הכוללות בין היתר:


• Authentication-Results
• Received-SPF
• X-Forefront-Antispam-Report

screenshot_65.png



כאשר פריט דואר מגיע לשרת הדואר, הוא מבצע בדיקת שונות – הכוללת בין היתר בדיקות על גבי תקנים שונים כדוגמת SPF, ובדיקת SPF נחלקת למספר בדיקות SPF Verification (מתואר בקצרה):


• None – לא נמצאה רשומת SPF קיימת של השולח
• Neutral – בעל הדומיין אינו מאפשר לבצע בדיקה מול רשומת SPF על גבי אותה כתובת IP (לצורך העניין שווה ערך אל None)
• Pass – כתובת IP מאושרת מול אותו דומיין. כלומר, נעשה זיהוי מלא ותקין
• Fail – הדומיין אינו מוגדר מול כתובת IP, ולכן SPF נופל בבדיקה מול רשומת SPF מול הדואר הארגוני
• SoftFail – הדומיין אינה מוגדרת מול כתובת IP ולכן SPF נופל בבדיקה מול רשומת SPF, אך ההודעה תמורקר כהודעת suspicious, וההודעה תגיע לתיבת הדואר של הנמען

ישנן בדיקות נוספות של TempError ושל PermError.


• הבעיה – דואר חיצוני אשר מגיע עם בדיקה מסוג SoftFail
• מניעה – הגדרת חוק עם Message Header מסוג Received-Spf עם SoftFail

screenshot_66.png



דגשים בחוק


• ניתן להגדיר אכיפה אחרת, כדוגמת הצמדת הודעה או חסימת הדואר
• מומלץ לבצע בדיקה מול משתמשים מסוימים לפני שמחילים מול כל הארגון, או לחלופין להגדיר במצב Audit בלבד

טיפ: ניתן לקחת את המאפיין Authentication-Results ולהגדיר עם Message Header, אך חוק כזה יצטרך שילוב של Message Header נוספים.


חסימה לתעבורת דואר מסוג Bulk


דואר המוגדר כתעבורת דואר מסוג Bulk הוא בעייתי, כי לעיתים אינו מסווג כדואר Junk (יש הבדל קטן בין Bulk לבין Junk), ולכן מנגנוני הגנה מתקשים לזהות הבדלים בין Junk לבין Bulk.


דואר מסוג Bulk מתאפיין עם הודעות מסוג:


• If you are unable to view
• unsubscribe
• If you do not wish to receive further
• To stop receiving these
• If you no longer wish to receive


כיום, קמפיינים רבים של פישינג מתבססים על הודעות המסווגות כהודעות Bulk.


• הבעיה – דואר מסוג Bulk שעלול להיות פישינג
• המניעה – יצירת חוק שמתריע למשתמש או חוסם דואר Bulk


screenshot_67

screenshot_68


דגשים בחוק


• חייבים להגדיר התניה של דואר מחוץ לטרגון בכדי לא לעצור Newsletter מתוך הארגון
• אפשר להוסיף הצמדה של כותרת לחוק
• במידה וישנם מספר הגדרות word\pharses ניתן ליצור התניה נוספת באותו חוק
• לתעבורת דואר מסוג Bulk המבוסס על text patterns


רשימה חלקית של הודעות שניתן להגדיר


If you are unable to view the content of this email\, please
>(safe )?unsubscribe( here)?\</a\>
If you do not wish to receive further communications like this\, please
\<img height\="?1"? width\="?1"? sr\c=.?http\://
To stop receiving these+emails\:http\://
To unsubscribe from \w+ (e\-?letter|e?-?mail|newsletter)
no longer (wish )?(to )?(be sent|receive) w+ email
If you are unable to view the content of this email\, please click here
To ensure you receive (your daily deals|our e-?mails)\, add
If you no longer wish to receive these emails
to change your (subscription preferences|preferences or unsubscribe)
click (here to|the) unsubscribe


חסימה לתעבורת דואר Bulk נוספת


ישנה דרך נוספת לחסום, להעביר פריט דואר לתיקיית Junk או להצמיד כותרת, והיא דואר Bulk באמצעות הגדרת phrases בלבד.

screenshot_70

screenshot_71



רשימת חלקית של הודעות שניתן להגדיר


to change your preferences or unsubscribe
Modify email preferences or unsubscribe
This is a promotional email
You are receiving this email because you requested a subscription
click here to unsubscribe
You have received this email because you are subscribed
If you no longer wish to receive our email newsletter
to unsubscribe from this newsletter
If you have trouble viewing this email
This is an advertisement
you would like to unsubscribe or change your
view this email as a webpage
You are receiving this email because you are subscribed


לסיכום


הפעולות והדרכים להגדרת תנאים וחוקים על גבי ETR, מאפשרים למרקר הודעות דואר מסוימות ולחסום מקרים אחרים. כך, אנו יכולים לשלוט על כל תעבורת הדואר בהתאם לערכים והפרמטרים המוצעים על גבי Exchange Online.


האפשרויות עם ETR הן מגוונות, ואנו יכולים לקחת כל מאפיין אשר קיים ברמת Message Header.


מאת: אלי שלמה, מומחה למערכות מיקרוסופט וענן

רוצים להתעדכן בתכנים נוספים הקשורים לאבטחת ענן? הצטרפו לפורום המקצועי של IsraelClouds בתחום > להרשמה

במאמר הקודם התמקדנו באפשרויות שונות להקשחת תעבורת הדואר באמצעות חוקים והתניות המתבססות על התראה לדואר זדוני מחוץ לארגון.


המאמר הזה יתמקד בהקשחה דואר ארגוני באמצעות Exchange Transport Rule בלבד, והינו חלק מסדרת מאמרים להקשחה באמצעות Exchange Online Protection, Office ATP ויכלול המון טיפים.


הקשחת דואר ארגונית ותקן SPF


אומנם תקני PSF ודומיו הינם תקנים ישנים בני 20 שנה ויותר, אך למרות שתקן תעבורת הדואר עדיין מבוסס עליו אנו צריכים למצוא את הדרכים להשתמש בו בכדי להגן על הדואר הארגוני.


ישנן דרכים רבות להקשיח את תעבורת הדואר על בסיס SPF, החל מהאופן שבו עובדים עם DNS ועד לתצורות אימות של SPF, מכיוון שהתקן של SPF מושפע מהאופן שבו מוגדרת רשומת DNS, אנו צריכים לדעת איך להגדיר את החוקים בכדי לא להשפיע על תעבורת הדואר בארגון.


לצד הגנה באמצעות SPF, ניתן לעבוד גם מאפיינים נוספים מתוך Message Header. למשל, ניתן לעבוד עם message headers המבוססים על Anti-spam, למשל: כל המאפיינים השייכים אל SFV ונוספים.


הקשחת על בסיס SPF Verification


כל תעבורת הדואר מתבססת על בדיקות שונות הכוללות בין היתר:


• Authentication-Results
• Received-SPF
• X-Forefront-Antispam-Report

screenshot_65.png



כאשר פריט דואר מגיע לשרת הדואר, הוא מבצע בדיקת שונות – הכוללת בין היתר בדיקות על גבי תקנים שונים כדוגמת SPF, ובדיקת SPF נחלקת למספר בדיקות SPF Verification (מתואר בקצרה):


• None – לא נמצאה רשומת SPF קיימת של השולח
• Neutral – בעל הדומיין אינו מאפשר לבצע בדיקה מול רשומת SPF על גבי אותה כתובת IP (לצורך העניין שווה ערך אל None)
• Pass – כתובת IP מאושרת מול אותו דומיין. כלומר, נעשה זיהוי מלא ותקין
• Fail – הדומיין אינו מוגדר מול כתובת IP, ולכן SPF נופל בבדיקה מול רשומת SPF מול הדואר הארגוני
• SoftFail – הדומיין אינה מוגדרת מול כתובת IP ולכן SPF נופל בבדיקה מול רשומת SPF, אך ההודעה תמורקר כהודעת suspicious, וההודעה תגיע לתיבת הדואר של הנמען

ישנן בדיקות נוספות של TempError ושל PermError.


• הבעיה – דואר חיצוני אשר מגיע עם בדיקה מסוג SoftFail
• מניעה – הגדרת חוק עם Message Header מסוג Received-Spf עם SoftFail

screenshot_66.png



דגשים בחוק


• ניתן להגדיר אכיפה אחרת, כדוגמת הצמדת הודעה או חסימת הדואר
• מומלץ לבצע בדיקה מול משתמשים מסוימים לפני שמחילים מול כל הארגון, או לחלופין להגדיר במצב Audit בלבד

טיפ: ניתן לקחת את המאפיין Authentication-Results ולהגדיר עם Message Header, אך חוק כזה יצטרך שילוב של Message Header נוספים.


חסימה לתעבורת דואר מסוג Bulk


דואר המוגדר כתעבורת דואר מסוג Bulk הוא בעייתי, כי לעיתים אינו מסווג כדואר Junk (יש הבדל קטן בין Bulk לבין Junk), ולכן מנגנוני הגנה מתקשים לזהות הבדלים בין Junk לבין Bulk.


דואר מסוג Bulk מתאפיין עם הודעות מסוג:


• If you are unable to view
• unsubscribe
• If you do not wish to receive further
• To stop receiving these
• If you no longer wish to receive


כיום, קמפיינים רבים של פישינג מתבססים על הודעות המסווגות כהודעות Bulk.


• הבעיה – דואר מסוג Bulk שעלול להיות פישינג
• המניעה – יצירת חוק שמתריע למשתמש או חוסם דואר Bulk


screenshot_67

screenshot_68


דגשים בחוק


• חייבים להגדיר התניה של דואר מחוץ לטרגון בכדי לא לעצור Newsletter מתוך הארגון
• אפשר להוסיף הצמדה של כותרת לחוק
• במידה וישנם מספר הגדרות word\pharses ניתן ליצור התניה נוספת באותו חוק
• לתעבורת דואר מסוג Bulk המבוסס על text patterns


רשימה חלקית של הודעות שניתן להגדיר


If you are unable to view the content of this email\, please
>(safe )?unsubscribe( here)?\</a\>
If you do not wish to receive further communications like this\, please
\<img height\="?1"? width\="?1"? sr\c=.?http\://
To stop receiving these+emails\:http\://
To unsubscribe from \w+ (e\-?letter|e?-?mail|newsletter)
no longer (wish )?(to )?(be sent|receive) w+ email
If you are unable to view the content of this email\, please click here
To ensure you receive (your daily deals|our e-?mails)\, add
If you no longer wish to receive these emails
to change your (subscription preferences|preferences or unsubscribe)
click (here to|the) unsubscribe


חסימה לתעבורת דואר Bulk נוספת


ישנה דרך נוספת לחסום, להעביר פריט דואר לתיקיית Junk או להצמיד כותרת, והיא דואר Bulk באמצעות הגדרת phrases בלבד.

screenshot_70

screenshot_71



רשימת חלקית של הודעות שניתן להגדיר


to change your preferences or unsubscribe
Modify email preferences or unsubscribe
This is a promotional email
You are receiving this email because you requested a subscription
click here to unsubscribe
You have received this email because you are subscribed
If you no longer wish to receive our email newsletter
to unsubscribe from this newsletter
If you have trouble viewing this email
This is an advertisement
you would like to unsubscribe or change your
view this email as a webpage
You are receiving this email because you are subscribed


לסיכום


הפעולות והדרכים להגדרת תנאים וחוקים על גבי ETR, מאפשרים למרקר הודעות דואר מסוימות ולחסום מקרים אחרים. כך, אנו יכולים לשלוט על כל תעבורת הדואר בהתאם לערכים והפרמטרים המוצעים על גבי Exchange Online.


האפשרויות עם ETR הן מגוונות, ואנו יכולים לקחת כל מאפיין אשר קיים ברמת Message Header.


מאת: אלי שלמה, מומחה למערכות מיקרוסופט וענן

רוצים להתעדכן בתכנים נוספים הקשורים לאבטחת ענן? הצטרפו לפורום המקצועי של IsraelClouds בתחום > להרשמה

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
בואו נעבוד ביחד
support@israelclouds.com
צרו קשר