使用 Exchange Online 规则检测欺骗电子邮件并添加免责声明 |第 6 部分#12

在本文中，我们将回顾如何通过创建可识别传入欺骗电子邮件（欺骗发件人）的 Exchange 规则来处理欺骗邮件。

在这种情况下，我们希望实施以下一系列操作：

1. 在电子邮件中添加免责声明。
2. 前置电子邮件主题。
3. 生成事件报告并将其发送给指定收件人。

在我们的场景中，我们不希望删除或阻止具有欺骗性电子邮件特征的电子邮件，而是希望让“最终用户”决定特定邮件项目是否是欺骗性电子邮件。

我们希望使电子邮件能够到达组织用户邮箱，但同时，我们希望通知收件人他收到的电子邮件被视为“有问题的电子邮件”。 ”

“收件人警告”将通过在电子邮件主题中添加文本+在电子邮件中添加免责声明来实现。

有关可能的欺骗电子邮件事件的信息将通过使用名为 -事件报告 的 Exchange Online 规则选项进行记录和报告。

欺骗电子邮件攻击场景的主要特征：

我们公司的 CIO 收到一封由公司 CFO 发送给他的电子邮件，要求他将大量资金转入特定的银行帐户。
经过简短的询问，他发现 E -邮件是欺骗邮件！

应对欺骗邮件攻击|业务需求

我们的业务需求和需要实现的目标如下：

1. 我们想要识别发送给我们组织收件人的电子邮件很可能是欺骗性电子邮件（欺骗性发件人）的事件。
2. 我们不想干预邮件流程。对于发件人很有可能欺骗其身份的电子邮件消息“做什么”的决定将被视为“用户决定”。 ”
3. 我们的主要目的是 - 通知收件人发送给他的电子邮件被视为“有问题的电子邮件”。我们希望通过在电子邮件中添加免责声明+在电子邮件主题前面添加免责声明来“警告”组织收件人。
4. 我们希望将信息+欺骗电子邮件样本发送到指定的共享邮箱。
5. 我们希望指定用户（例如 Exchange Online 管理员）能够访问存储事件报告的共享邮箱，以便他可以检查和分析欺骗性电子邮件。

Exchange Online 欺骗电子邮件规则结构和逻辑

Exchange Online 规则触发器

激活 Exchange Online“欺骗电子邮件规则”的“触发器”将基于以下两个条件（条件 1 + 条件 2 的组合）：

1. 由未经身份验证的收件人（不提供用户凭据的收件人）发送的传入电子邮件。
2. 使用包含我们的公共域名的电子邮件地址展示自己的收件人。在我们的特定场景中，包含域名的电子邮件地址 -com

Exchange Online 规则响应

我们的 Exchange Online“欺骗电子邮件规则”将执行的“操作”将包括以下“部分”：

1. 识别具有欺骗性电子邮件特征的电子邮件
2. 预先添加电子邮件主题

1. 在电子邮件中添加免责声明

1. 生成事件报告，该报告将发送到指定收件人的电子邮件地址。在我们的具体场景中，我们要求将事件报告发送给指定的收件人（名为-欺骗电子邮件邮箱的共享邮箱）。

只有授权用户才能访问“欺骗电子邮件共享邮箱”。在我们的特定场景中，Brad（Brad 是我们的 Exchange Online 管理员）将有权访问共享邮箱。

在下图中，我们可以看到 Exchange Online 欺骗电子邮件规则将实施的操作顺序：

注意：虽然当前文章中的信息是关于基于 Office 365 (Exchange Online) 的环境编写的，但大多数信息也与基于 Exchange 本地的环境相关。

配置 Exchange Online 规则，将 - - 添加免责声明到电子邮件 + 预先添加电子邮件主题

在以下部分中，我们将提供创建所需的“Exchange Online 欺骗电子邮件规则”的“分步”说明，以满足我们的业务需求。

第 1#2 部分 - 配置 Exchange Online 欺骗电子邮件规则的“条件部分”

• 登录 Exchange 管理门户
• 在左侧菜单栏上，选择 -邮件流
• 在顶部菜单栏上，选择 -规则

• 单击加号图标
• 选择 - 创建新规则...

• 在名称：框中，为新规则添加描述性名称。
  在我们的具体场景中，我们将命名该规则 - 检测欺骗电子邮件 - 前置主题并添加免责声明
• 单击 -更多选项... 链接（默认情况下，Exchange Online 规则的界面包括只有一组有限的选项。为了能够显示其他选项，我们需要“激活”更多选项...）。

• 在名为 -如果...应用此规则的部分中，单击黑色小箭头

条件1#2

• 选择主菜单 -发件人...
• 在子菜单中，选择选项 -是外部/内部

• 在选择发件人位置窗口中，选择选项 - 组织外部。
  术语“组织外部”的含义与未经身份验证的收件人，意思是 - 不向邮件服务器提供用户凭据的收件人。

条件2#2

现在，我们将在“规则条件”中添加一个额外的“层”，其中我们与
使用包含我们域名的电子邮件地址的收件人相关（o365pilot. com 在我们的特定场景中）。

如果您想了解有关 Exchange Online 术语“外部发件人”和“组织外部”含义的更多信息，请阅读以下部分：在基于 Office 365 的环境中处理电子邮件欺骗攻击 |简介 |第 1 部分#12

• 点击 - 添加条件。

• 在名为 - 和 的部分中，单击黑色小箭头。

• 选择主菜单 - 发件人...
• 在子菜单中，选择选项 - 域名是

在指定域窗口中，添加代表您的组织的所需域名。
在我们的具体场景中，公共域名是 - o365pilot.com

注意 - 不要忘记点击加号 图标添加域名。

单击确定 选项保存 Exchange Online 规则设置。

第 2#2 部分 - 配置 Exchange Online 欺骗电子邮件规则的“操作部分”

在此阶段，我们将配置 Exchange Online 规则的“第二部分”，其中我们定义针对发送到我们的组织收件人之一的欺骗电子邮件的场景所需的 Exchange 响应（操作）。

在我们的情况下，我们希望指示 Exchange Online 通过执行以下操作来响应
电子邮件被识别为欺骗电子邮件的事件

操作 1#3 - 添加电子邮件主题。

• 在名为 - 执行以下操作...的部分中，单击黑色小箭头

• 选择菜单选项 -在邮件主题前添加...

在文本框中 - 指定主题前缀，添加所需的前缀。

在我们的具体场景中，我们将添加前缀 - 此电子邮件可能是欺骗性的！

注意：最大字符数有限制。
估计为 32~ 个字符

操作 2#3 - 在电子邮件中添加免责声明。

在此阶段，我们将添加“第二个操作”，其中我们向识别为欺骗电子邮件的电子邮件添加免责声明。

• 点击添加操作选项

在名为 - 和的部分中，单击黑色小箭头

• 选择菜单选项 - 对邮件应用免责声明...
• 在子菜单中，选择选项 - 附加到免责声明

免责声明的配置包括两个要素：

1. 免责声明文本
2. 后备行动

• 要添加所需的免责声明消息，请单击输入文本...链接

在我们的场景中，免责声明文本是：

尊敬的收件人
您收到的电子邮件很可能是欺骗性电子邮件。
请将此电子邮件报告给安全团队！

• 要选择所需的后备操作，请单击名为 - *选择一个... 的链接

在我们的具体场景中，我们选择选项 - wrap

操作 3#3 - 创建事件报告并将其发送给指定收件人。

• 单击选项 - 添加操作

• 在名为 - *.and... 的部分中，单击黑色小箭头。

• 选择菜单选项 - 生成事件报告并将其发送至...

事件报告的设置包括两个参数：

1. 将获取事件报告的“目标收件人”的名称。
2. 将包含在事件报告中的信息字段。

• 要添加所需的“目标收件人”名称，请单击链接 - 选择一个...

• 在我们的特定场景中，收到事件报告的收件人是欺骗电子邮件邮箱。

要选择将包含在事件报告中的信息，请单击名为-*包括消息属性

在我们的场景中，我们将选择在摘要报告+“原始欺骗电子邮件”的副本中包含所有可用的邮件属性。

• 选择选项 - 全选

在下面的屏幕截图中，我们可以查看可用的选项：

• A 部分 - 与事件报告摘要中显示的信息相关。
• B 部分 - 涉及将原始电子邮件的副本“附加”到事件报告的选项。

在下面的屏幕截图中，我们可以看到“最终结果”——Exchange Online 欺骗电子邮件，其中包括两部分：

• 条件部分
• 动作部分

验证 Exchange Online 欺骗电子邮件规则是否正常工作

在此阶段，我们要测试在上一步中创建的 Exchange Online 欺骗电子邮件规则，并验证该规则是否正常工作。

Exchange Online 欺骗电子邮件规则所需的结果

我们期望的期望是 - 当 Exchange Online 识别出发送给我们组织收件人的电子邮件很可能是欺骗性电子邮件（欺骗性发件人）的事件时，Exchange Online 欺骗性电子邮件规则将执行以下序列行动次数：

1. 前置电子邮件主题。
2. 在电子邮件中添加免责声明。
3. 生成事件报告，该报告将发送到指定收件人的电子邮件地址。在我们的具体场景中，我们要求将事件报告发送给指定的收件人（名为-欺骗电子邮件邮箱的共享邮箱）。

模拟欺骗电子邮件攻击 |场景人物

为了能够确保 Exchange Online 欺骗电子邮件规则正常工作，我们将模拟具有以下特征的欺骗电子邮件攻击：

• “敌对分子”试图使用电子邮件地址 - [email protected] 来欺骗名为 -Suzan 的合法组织收件人的身份
• 欺骗性电子邮件将发送给名为 Bob 的合法组织用户，该用户使用电子邮件地址 - [email protected]

如果您想了解我们用于模拟电子邮件欺骗攻击的方式，您可以阅读文章 - 如何模拟电子邮件欺骗攻击 |第 11#12 部分

第 1#2 步 - 验证欺骗性电子邮件主题是否已预先添加并包含免责声明。

在下面的屏幕截图中，我们可以看到“Suzan.”发送给 Bob 的欺骗电子邮件示例。 ”

在查看电子邮件消息内容时，我们可以在电子邮件主题中包含“原始主题文本”（在我们的特定示例中 - “Hello Bob，是我，公司首席执行官，请向我发送您的银行帐户”），以及前置文本 - “这封电子邮件可能是欺骗性的！ “

电子邮件正文包括在 Exchange Online 欺骗电子邮件规则中配置的免责声明。

2#2 - 验证事件报告是否已发送至指定收件人。

我们可以看到，Exchange Online 规则“捕获”了欺骗电子邮件事件。

结果，事件报告被发送到在 Exchange Online 规则中配置的收件人名称（欺骗电子邮件邮箱）。

在下面的屏幕截图中，我们可以看到事件报告电子邮件的示例。

当我们查看事件报告时，我们可以看到事件报告包括两个部分：

• 原始电子邮件的副本 (A)。
• 事故报告摘要（B）。

事件报告摘要包括以下详细信息：

• 有关事件报告电子邮件消息生成器的信息 - “此电子邮件由生成事件报告操作自动生成”（编号 1）。
• 发件人 - 声称是名为 -[email protected] （编号 2）的合法组织收件人的发件人（“源收件人”）。
• 收件人（目标收件人）是 -[email protected] （号码 3）
• 规则命中 - Exchange Online 规则“捕获”欺骗电子邮件事件，以及 Exchange Online 规则执行的操作 - ”检测欺骗电子邮件 - 前置主题并添加免责声明，操作：PrependSubject， ApplyHtmlDisclaimer，GenerateIncidentReport”（编号4）。

观看我们的视频：使用 Exchange Online 规则检测欺骗电子邮件并添加免责声明 | 4#7

当前文章系列的下一篇文章

在下一篇文章 - 使用 Exchange Online 规则检测欺骗电子邮件并将欺骗电子邮件发送到管理隔离区 |第 7#11 部分中，我们将回顾如何创建一个 Exchange Online 规则来识别欺骗电子邮件事件和作为回应，我们将 - 将欺骗性电子邮件发送至行政隔离区。