处理基于 Office 365 的环境中的电子邮件欺骗攻击 |简介 |第 1 部分#12

一位组织IT经理致电Office 365表示担忧和不安，声称他对“Office 365”允许发生欺骗性电子邮件攻击的事实感到非常失望！
除了迫切需要了解之外，怎么会发生这种事？另外的迫切需要是 - 实施某种安全机制，该机制将立即识别并阻止欺骗电子邮件攻击！
在当前的文章系列中，我们将回顾欺骗电子邮件现象的主题，并重点关注如何使用 Exchange Online 规则处理此类攻击。

关于欺骗电子邮件和 Office 365 环境主题的基本问答

Q1：进行欺骗性电子邮件攻击的能力是否只有专业黑客才能执行？
A1：不，很容易“执行”过程中，我们“欺骗”“他人”的身份。我们可以非常轻松地与目标邮件服务器执行 SMTP 会话，并“声称”我们是其他人。

Q2：冒充行为怎么可能这么简单、容易？

A2：SMTP协议不包含内置机制，可以防止敌对分子执行“非合法操作”（例如冒用他人身份）。
换句话来说，所有现有的公共邮件基础设施都面临欺骗电子邮件攻击，管理组织邮件基础设施的技术人员应该熟悉可以防止大多数欺骗的选项和可能的解决方案
电子邮件攻击。

Q3：是否可以在基于 Office 365 和 Exchange Online 的环境中执行欺骗或网络钓鱼攻击？

A3：答案是：“是”

Q4：这是否意味着基于 Office 365 和 Exchange Online 的环境特别容易受到这种攻击？

A4：答案是 - 每个邮件基础设施都面临这种攻击，因为欺骗或网络钓鱼攻击利用了标准 SMTP 邮件协议的现有漏洞。

Q5：谁是需要识别和拦截欺骗性电子邮件攻击等各类电子邮件攻击的“要素”？

A5：从技术上来说，“保护机制”可以在邮件服务器端实现，但同时也可以在邮件客户端实现。

大多数时候，我们会使用“保护基础设施”来防止“邮件服务器端”的欺骗性电子邮件攻击，邮件服务器或其他邮件安全网关知道如何识别电子邮件攻击并阻止它们、向指定人汇报等。

问题6：那么，我是否可以假设在基于Office 365和Exchange Online的环境中，“服务器端”（Exchange Online）配置为自动阻止或防止各种类型的电子邮件攻击？

A6：是，也不是。Exchange Online 基础结构是一个非常先进的基础结构，它支持所有高级邮件安全标准和另一种可以帮助您识别和阻止各种电子邮件攻击的机制。

但是，重要的是要了解这种“邮件安全标准”或其他邮件安全机制不会自动“激活”。

Exchange Online 将阻止包含恶意软件的电子邮件或将有问题的电子邮件“标记”为“垃圾邮件”，但启用和配置各种“邮件安全机制”是我们作为 Exchange Online 管理员的责任。

例如，识别和阻止欺骗电子邮件的功能不会在 Exchange Online 信息中自动“激活”。

为了能够应对此类攻击，我们必须熟悉不同的安全邮件标准，这些标准可以帮助我们处理欺骗电子邮件或创建专用的 Exchange Online 规则来识别看起来像欺骗电子邮件的可疑邮件 -邮件。

我喜欢将 Exchange Online 视为“裸主板”，其中包括不同硬件组件（例如显卡、声卡、存储卡等）所需的所有插槽。

我们是需要决定我们想要\需要什么“硬件组件”并将该硬件组件添加到“裸主板”的“元素”。

使用 Exchange Online 基础架构时实现的逻辑相同 - 我们需要知道我们想要\需要的邮件安全标准（“硬件组件”）是什么，并且我们需要“插入”这些“硬件组件”（电子邮件安全）标准）插入 Exchange Online 基础结构并创建所需的配置。

欺骗电子邮件或欺骗是什么意思？

我们不会提供有关这些“邮件攻击”之间差异的详细信息，而是提供非常简短且基本的解释。

大多数时候，垃圾邮件和网络钓鱼攻击是由敌对分子实施的，他们有坚定的兴趣隐藏自己的身份并使用虚假身份来展示自己。

在基于邮件的环境中，“源收件人”伪造其身份并将自己伪装成“其他人”的现象被描述为欺骗。
从该敌对分子发送的电子邮件被描述为欺骗电子邮件。

这种元素欺骗其身份的场景主要有两种形式：

情况 1 - 在这种情况下，敌对分子将自己伪装成非组织收件人，而是来自合法组织的收件人。

例如 - 敌对分子向使用公共域名的组织的收件人发送垃圾邮件 - o365pilot.com

敌对分子将自己伪装成来自名为 contoso.com 的组织的接收者（我们假设域名“contoso.com ” 代表一家非常著名的银行的域名）

当敌对分子想要给人留下他是来自知名且值得信赖的机构（例如银行、保险公司等）的收件人的印象时，就会实施这种类型的欺骗性电子邮件。

在这种情况下，源收件人和目标收件人使用不同的域名来表示。

情况2 - 在这种情况下，敌对分子将自己伪装成合法组织接收者。

例如 - 敌对分子，向使用公共域名的组织的收件人发送垃圾邮件 - o365pilot.com

目标收件人是：[email protected]

敌对分子通过冒充名为 - [email protected] 的组织接收者，将自己伪装成来自同一组织的接收者

换句话说，源接收者和目的接收者用相同的域名来表示。

当敌对分子想要给人留下他是“合法且值得信赖的组织收件人”（例如公司首席执行官等）的印象时，就会实施这种类型的欺骗性电子邮件。

应对电子邮件欺骗现象的可用选项

在本节中，我想简要回顾一下可用于我们对抗欺骗电子邮件现象的“现有工具和程序”。

在下图中，我们可以看到我们可以使用的可用“工具”的高级表示。

处理欺骗性电子邮件 |流程及程序

对我们的用户进行有关邮件基础设施威胁和漏洞的教育

让我们从与该主题相关的“技术性较低”部分开始，如果 -“在我们的用户报告欺骗性电子邮件的情况下我该怎么办”？

用户教育——因为“用户教育”这个主题并不被视为“技术解决方案”或某种“神奇技术”，所以我们大多数时候往往会忽略这个问题，并立即转向“技术解决方案”。

这是一个常见的错误，因为在我们教育用户有关不同威胁和危险（例如欺骗电子邮件）的情况下，我们可以防止攻击的实现，这些攻击可能导致个人信息被盗、商业活动受损等等。

底线 - 尝试通过教育您的用户来“主动” - 如何识别欺骗性
电子邮件、报告的重要性（例如事件类型等）。

举报欺骗性电子邮件

欺骗性电子邮件攻击场景中的基本任务之一涉及以下主题：向“正确的人”报告欺骗性电子邮件事件的发生。

“报告”的主体是指以下部分：

1. 组织用户知道在可能出现欺骗性电子邮件的情况下与谁联系的能力。
2. 能够保存将发送给指定收件人（例如组织安全团队或 Exchange Online 管理员）的原始欺骗电子邮件的副本。在下一篇文章中，我们将回顾如何创建 Exchange Online 事件报告，该报告将欺骗电子邮件的副本发送给预定义的收件人。
3. 我们向“Office 365 代表”报告欺骗性电子邮件的过程。在文章 - 在 Office 365 中报告欺骗电子邮件并发送电子邮件以供检查|第 12#12 部分中，我们将回顾如何使用 OWA 邮件客户端来报告欺骗电子邮件。

处理欺骗性电子邮件 |技术解决方案

1. 与欺骗电子邮件相关的“电子邮件安全标准”

在与欺骗性电子邮件相关的“电子邮件安全标准”部分下，我们可以提到诸如SPF、DKIM和DMARC 等标准。

这些标准中的每一个都是为了提供某种解决方案来处理“欺骗电子邮件”现象而创建的。

实施此“邮件安全标准”之一的共同点是，需要发布“声明”的专用 DNS 记录（TXT 记录）

• 我们是谁，可以代表我们组织邮件基础设施的允许“实体”。
• 如果“另一方”发现他从不符合“合法电子邮件”条件的元素收到电子邮件，该怎么办？

这个“邮件安全标准”的主要“缺点”是有一个学习曲线，我们需要学习和理解每个邮件标准提供的解决方案是什么，每个标准的特点是什么，需要实施的必需配置设置、实施一项或全部此标准后如何监控邮件流等等。

如前所述，我们不会详细介绍每个“邮件安全标准”的具体细节，而只是简单提及

SPF标准

基于概念的SPF标准；其中我们尝试验证有权代表特定域名发送电子邮件的“批准的邮件服务器”的身份。

“邮件服务器的身份”由邮件服务器IP地址表示。

DKIM

DKIM 标准基于一个概念；我们尝试验证源接收域名的身份。当特定收件人使用包含特定域名的电子邮件地址时，DKIM 标准定义了一种方法，我们可以通过该方法验证该域是否已“批准”并经过验证。

DMARC

DMARC 标准基于验证和检查 SPF + DKIM 邮件安全标准的测试。

底线 - 熟悉与欺骗电子邮件相关的“电子邮件安全标准”的需要可以被视为每个邮件基础设施管理员的强制性需求。

在当前的文章中，我们现在将回顾与欺骗电子邮件相关的“电子邮件安全标准”，将来，我们将专门撰写一篇文章来介绍这些邮件安全标准。

实施选项 - Exchange Online 欺骗电子邮件规则

当前的文章系列致力于回顾使用 Exchange Online 规则的不同选项；这将创建用于识别欺骗性电子邮件并做出相应响应。

注意：将查看的信息与 Office 365 和 Exchange Online 基础结构相关，但大多数信息也与 Exchange 本地环境相关。

使用 Exchange Online 规则处理欺骗电子邮件场景的最明显优势之一是 - 我们可以在几秒钟内创建 Exchange 规则，无需高级技术知识，也无需设置和发布各种 DNS 记录（例如当我们需要实施一些邮件安全标准时，例如 - SPF、DKIM 和 DMARC）。

Exchange Online 欺骗电子邮件规则使用的逻辑

我们脑海中可能出现的最基本的问题是 - Exchange Online 规则如何能够识别“源收件人”尝试执行欺骗电子邮件攻击的情况？

答案是，我们创建的 Exchange Online 规则是通过使用一个基本假设来实现的，其中我们将“受信任的组织用户”定义为通过向 Exchange Online 服务器提供其用户凭据来证明其身份的用户。

例如 - 某些收件人连接 Exchange Online 服务器并“声称”他是名为 Suzan 的合法组织用户，使用电子邮件地址
Suzan@ o365pilot.com 并且他想发送电子邮件至 [email protected]

默认情况下，Exchange Online 无法“知道”Suzan 是否确实是自称的某个人，因为从“SMTP 协议的角度”来看，只要收件人使用的电子邮件地址在语法上正确，收件人说：“好的。 ”

为了能够向 Exchange Online 服务器添加另一个“层”，使他能够对声称是合法组织用户的“收件人身份”主题执行额外检查，我们可以添加一条 Exchange Online 规则，该规则将基于根据以下逻辑：

• 如果源收件人说他是“组织收件人”，即其电子邮件地址包含我们组织域名的收件人，则该用户应被视为经过身份验证的用户。
• 如果不是，则结论是该用户正试图欺骗合法组织收件人的身份。

Exchange 规则术语“外部发件人”与“内部发件人”

使用 Exchange Online 规则时，我们可以使用以下术语来区分合法组织收件人和非合法组织收件人：外部发件人 和内部发件人。

1. 术语 -外部发送者定义了一个“实体”（源接收者），它通过使用包含我们的域名但不提供任何用户凭据的电子邮件地址。换句话说 - 未经身份验证的用户\收件人。
   使用 Exchange Online 规则向导时，此类发件人定义为 - “组织外部“。
2. 术语 - 内部发送者定义了一个“实体”（源接收者），它通过使用包含我们的域名并另外提供用户凭据的电子邮件地址。换句话说 -经过身份验证的用户\收件人。
   使用 Exchange Online 规则向导时，此类发件人定义为 -“ 组织内部“。

我们的主要目标是能够将合法组织用户（接收者）与自称是我们组织用户之一的非合法元素区分开来。

我们的基本假设是，拥有 Exchange Online 邮箱的“合法组织用户”必须提供其凭据（用户名 + 密码），然后才能请求 Exchange Online 将电子邮件传递给其他 Exchange Online 收件人。

在敌对分子试图将自己呈现为合法组织用户的情况下，敌对分子将无法提供有效的用户凭证。

Exchange Online 规则将实施的逻辑将基于以下条件：

如果主持人使用“属于组织”的电子邮件地址访问 Exchange Online 并展示自己（使用包含域名 o365pilot.com 的电子邮件地址）在我们的场景中），但如果不提供任何用户凭据，该主机将被 Exchange Online 识别为外部发件人 或平行术语 - 组织外部“。

在这种情况下，将创建的 Exchange Online 规则将将此主机“标记”为试图执行欺骗电子邮件攻击的“有问题的主机”！

Exchange Online 的第二部分将包括有关“什么是操作”的说明，在发件人被分类为外部发件人 （组织外部）。

如果您想知道 Exchange Online 服务器如何区分经过身份验证的收件人和未经身份验证的收件人，答案是 - 通过使用 X-headers

X-headers 是填充特定值的数据字段。
定义经过身份验证的收件人与未经身份验证的收件人的 X-headers 字段，描述为 - X-MS-Exchange-Organization-AuthAs。

X-MS-Exchange-Organization-AuthAs 字段指定身份验证源。当评估消息的安全性时，此 X 标头始终存在。
可能的值为匿名、内部、外部 ，或合作伙伴。

为了能够演示如何使用此 X-headers 提交的日期，我使用以下内容设想：

名为 Suzan 的组织收件人使用电子邮件 - [email protected] 正在向另一个名为 Bob 的组织收件人发送电子邮件，使用电子邮件地址 [email protected]

场景 1 - 在此场景中，Suzan 使用她的 Outlook 客户端向 Bob 发送电子邮件。 Suzan 必须提供用户凭据才能使用 Outlook 邮件客户端。换句话说，Suzan 被视为经过身份验证的收件人。

场景 2 - 在此场景中，我们使用 Telnet 会话向 [email protected] 发送电子邮件。在我们的场景中，我们将自己显示为 [email protected] 并且不提供任何用户凭据。

在这种情况下，Suzan 被视为未经身份验证的收件人

我们获取发送给 Bob 的电子邮件消息头，并使用 ExRCA 消息分析器检查电子邮件头中的数据。

在下面的屏幕截图中，我们可以看到从 Outlook 邮件客户端（经过身份验证的收件人）发送的邮件的电子邮件标头。

我们可以看到 X-MS-Exchange-Organization-AuthAs 的值为“内部”。
“内部收件人”的意思是受信任的收件人，可以证明他的通过提供用户凭证来识别身份。

在下面的屏幕截图中，我们可以看到从 Telnet 会话客户端（未经身份验证的收件人）发送的邮件的电子邮件标头。

我们可以看到 X-MS-Exchange-Organization-AuthAs 的值为“匿名”。
含义是“匿名收件人”是不可信的收件人不提供任何用户凭据（匿名会话）。

Exchange Online 欺骗电子邮件规则 | “行动”（响应）。

关于 Exchange Online 规则，我想提及的另一件事是，它是为处理欺骗性电子邮件场景而创建的 - Exchange Online 规则“操作”的一部分。

每条交易所规则均由三个不同部分签订：

第 1#3 部分 - 交易所规则条件。

这是 Exchange Online 规则部分，定义应满足的特定条件。
在我们的方案中，发件人使用我们组织的电子邮件地址，但不提供可证明其合法身份的用户凭据的条件。

如果我们想使用开发界的术语，那就是“IF”部分。

第 2#3 部分 - Exchange 规则操作

这是当特定电子邮件“回答”第一部分中定义的条件时我们指示 Exchange“做什么”的部分。

该操作可以是一个特定操作或将被触发的“多个操作”的集合。

如果我们想使用开发界的术语，那就是“THEN”部分。

第 3#3 部分 - Exchange 例外情况

这是我们指示交易所在特定情况下不要执行规则的部分。

如果我们想使用开发界的术语，那就是“ELSE IF”部分。

使用 Exchange Online 规则时我们可以使用的各种选项

在 Exchange Online 环境中，这些“部分”中的每一个都可以配置许多可能的选项和参数，这三个部分的组合以及可以选择的不同选项是每个部分，例如条件、操作和接受程序大量的选择和不同的规则变化

当前的文章系列提供了几个需要处理欺骗电子邮件方案的不同版本的 Exchange Online 规则的示例。

Exchange Online 规则的第一部分（即“条件”部分）在所有文章中都保持相同。

“动作”的第二部分是我们将提供不同“动作”的许多变体的部分，这将满足特定的业务需求。

例如，用于识别欺骗性电子邮件（未经身份验证的收件人发送的电子邮件）的 Exchange Online 规则可以通过多种不同方式“响应”此事件，例如：

1. 将欺骗性电子邮件发送到目标收件人邮箱 + 生成事件报告并将其发送给指定收件人。
2. 将欺骗性电子邮件发送到隔离区 + 生成事件报告并将其发送到指定收件人 + 向目标收件人发送电子邮件通知。
3. 将欺骗性电子邮件发送到目标收件人邮箱 + 在电子邮件中添加预定义文本 + 生成事件报告并将其发送给指定收件人。
4. 将欺骗性电子邮件发送到目标收件人邮箱+更新SCL值+生成事件报告并将其发送给指定收件人。

仔细、彻底地规划 Exchange Online 欺骗电子邮件规则的实施

Exchange Online 欺骗性电子邮件规则的目的是识别欺骗性电子邮件事件，并通过阻止电子邮件、将电子邮件路由到隔离区等方式“做出相应响应”。

该“响应”基于基本假设，即被识别为欺骗性电子邮件的电子邮件确实是欺骗性电子邮件。

问题在于，实际上，Exchange Online 规则的逻辑也可能将合法电子邮件识别为欺骗性电子邮件。

例如，如果发件人电子邮件地址使用包含我们组织域名的电子邮件地址，并且发件人没有使用包含我们组织域名的电子邮件地址，则 Exchange Online 欺骗性电子邮件规则会将电子邮件识别为“欺骗性电子邮件”。 t 提供用户凭据。

这种“行为”可能与敌对分子有关，但同时也可能与合法组织主机有关。

例如，支持邮件的设备（例如打印机或扫描仪）使用组织电子邮件地址但不提供用户凭据的场景。

为了避免出现合法电子邮件被识别为欺骗电子邮件的情况，我们应该仔细规划 Exchange Online 欺骗电子邮件规则的创建和激活。

Exchange Online 规则实施的仔细规划可能包括：

创建组织主机和服务列表，将 Exchange Online 作为其邮件服务器，并在下一阶段向 Exchange Online 规则添加例外。

另一种选择是创建所需的 Exchange Online 规则，该规则将识别欺骗电子邮件的事件，但不会通过诸如删除电子邮件之类的操作进行响应，而是指示 Exchange 规则仅生成事件报告，该报告将发送给预定义的指定收件人，例如 Exchange Online 管理员。

定义这种情况的另一种方法可能是术语“学习模式”。指定的时间段，我们用它来分析和更好地了解Exchange Online规则何时被触发等。

当前文章系列的下一篇文章

在下一篇文章 - 使用 Exchange Online 规则检测欺骗电子邮件并发送事件报告 |第 2 部分#12 中，我们将回顾如何创建 Exchange Online 规则，该规则将识别欺骗电子邮件事件并生成事件报告将发送给指定的收件人。