使用 Exchange Online 规则实施 SPF Fail 策略（处理欺骗电子邮件攻击） |简介 |第 1 部分#3

在本文中，我想为您提供一种有用的方法，来实施与 SPF 发件人验证检查结果为“失败”的事件相关的邮件安全策略。 ” 如果我们想更准确地说，这是 SPF 发件人验证测试结果为“失败”的事件，并且发件人使用了电子邮件地址，其中包括我们的域名。这种情况，我们很有可能遇到了欺骗邮件攻击！

SPF 失败策略文章系列

SPF Fail 策略文章系列包括以下三篇文章：

1. 使用 Exchange Online 规则实施 SPF Fail 策略（处理欺骗电子邮件攻击） |简介（本文）
2. 使用 Exchange Online 规则实施 SPF Fail 策略（处理欺骗电子邮件攻击） |第一阶段——学习模式
3. 使用 Exchange Online 规则实施 SPF Fail 策略（处理欺骗电子邮件攻击） |二期生产

欺骗邮件攻击和 SPF 常见问题解答

Q1：欺骗邮件攻击是如何实施的？

A1：当敌对分子使用看似合法的发件人身份时实施的欺骗邮件攻击。发送方身份可以是任意身份，例如知名组织/公司的发送方身份，在某些情况下；敌对分子非常粗鲁地利用我们组织的身份来攻击我们组织的一名用户（例如鱼叉式网络钓鱼攻击）。

问题2：敌对分子为何使用我们的组织身份？

A2：使用我们组织用户之一的身份的目的是因为，无辜的受害者（我们的组织用户）很有可能倾向于相信他认识的人而不是某些发件人他不知道（因此往往不太信任）。

Q3：SPF机制的目的是什么？

A3：为了提高我们邮件基础设施的能力，识别发件人很有可能欺骗其身份的事件或我们无法验证发件人身份的情况。
SPF 的另一个目的是通过使其他组织能够验证我们的合法用户发送的电子邮件的身份来保护我们的域名声誉。

Q4：“SPF=失败”是什么意思？

A4：发件人电子邮件地址，包含有关域名的信息（电子邮件地址的右侧部分）。该组织发布 SPF 记录（作为 TXT 记录实现），其中包括有关邮件服务器 IP 地址的信息，这些服务器被授权代表特定域名发送电子邮件。

如果代表发件人发送电子邮件的邮件服务器 IP 地址未作为授权 IP 地址出现在 SPF 记录中，则 SPF 发件人验证测试结果为“失败”。

“SPF=失败”的含义是我们不能信任代表发件人发送电子邮件的邮件服务器，因此，我们不能信任发件人本人。

问题5：SPF发件人验证测试结果的信息存储在哪里？

A5：信息存储在电子邮件标题中。

Q6：如果电子邮件标头中的信息包含“SPF=Fail”的结果，目标收件人是否知道这一事实？

A7：从技术上讲，每个收件人都可以访问存储在电子邮件标头中的信息，理论上，我们可以看到有关“SPF=Fail”结果的信息。

实际上，收件人很少会访问存储在电子邮件标头中的数据，即使他们访问了数据，他们也无法理解电子邮件标头中包含的大部分信息。

简单地说，目标收件人不知道SPF结果为“失败”的情况，并且他们不知道电子邮件消息可能是欺骗性电子邮件的事实。

问题8：谁是负责在SPF发件人验证测试结果为“失败”的情况下向用户发出警报的“要素”？

A8：SPF机制的职责是用SPF发件人验证测试结果“标记”电子邮件。

SPF 机制不负责通知我们，也不负责提请我们注意 SPF 发件人验证测试结果被视为“失败”的事件。

需要负责“捕获”SPF 发件人验证测试被视为“失败”的事件的“元素”是 - 我们的邮件服务器或我们使用的邮件安全网关。

问题9：那么如何“激活”捕获值为“SPF=失败”的电子邮件事件的选项呢？

A9：答案取决于您使用的特定邮件服务器或邮件安全网关。

问题10：为什么我们的邮件服务器不会自动阻止传入的值为“SPF=失败”的电子邮件？

A10：为了避免误报的情况，即合法电子邮件被错误地识别为欺骗邮件的情况。大多数邮件基础设施会将这个责任留给我们——邮件服务器管理员。

如何在基于 Office 365 (Exchange Online) 的环境中实施 SPF 失败策略

有趣的是，在基于Exchange的环境中，我们可以使用非常强大的Exchange服务器功能，即“Exchange规则”，来识别SPF发件人验证测试结果为“失败”的事件，并分别定义响应。

在基于 Office 365 的环境（Exchange Online 和 EOP）中，除了使用 Exchange 规则的选项之外，我们还可以使用另一个选项 - “垃圾邮件过滤策略”。

Exchange Online (EOP) 包括垃圾邮件筛选策略，其中包含许多默认情况下禁用的安全设置，可以根据组织想要实施的特定邮件安全策略手动激活。

与我们的主题相关的一个选项是名为SPF 记录：硬失败的选项。

此选项使我们能够激活 EOP 过滤器，该过滤器会将具有“SFP=失败”值的传入电子邮件标记为垃圾邮件（通过设置较高的 SCL 值）。

在当前的文章系列中，我们的主要焦点是如何通过使用“Exchange 规则”选项而不是使用 Exchange Online 垃圾邮件过滤器策略选项来为传入邮件实施 SPF 策略。我们将在文章末尾回顾如何启用 SPF 记录选项：硬失败

我更喜欢“Exchange 规则”选项的原因是，Exchange 规则是一个非常强大的工具，可用于定义适合组织的特定结构和需求的定制 SPF 策略。

例如，与 Exchange Online“垃圾邮件过滤策略”相比，当使用 Exchange 选项时，该策略将每封具有“SPF=Fail”值的传入电子邮件标记为垃圾邮件，不加区别规则，我们可以定义这个场景的更细化版本，只有当发件人使用我们的域名+SPF验证测试结果为“失败”时，该电子邮件才会被识别为- 欺骗邮件。

使用 Exchange Online 的另一个明显优势是，它使我们能够选择非常具体的“响应”（操作），这将满足我们的需求，例如 - 保留电子邮件主题、发送警告电子邮件、发送欺骗邮件邮件隔离、生成事件报告等。

使用SPF机制的主要两个目的

SPF 的主要目的是作为两个主要场景的解决方案：

场景 1：提高我们的电子邮件声誉（域名）

欺骗邮件攻击场景，其中敌对分子通过使用我们的组织身份（我们的域名）向外部收件人发送欺骗性电子邮件来滥用我们的组织身份。

简单的事实是，我们无法阻止这种情况，因为我们永远无法控制这些敌对分子使用的外部邮件基础设施。

我们唯一能做的就是——让其他收到带有我们域名的电子邮件的组织能够验证该电子邮件是否是合法的电子邮件。换句话说，使用 SPF 可以提高我们的电子邮件声誉。

场景 2：收到邮件 |保护我们的用户免受欺骗邮件攻击

敌对分子欺骗合法收件人的身份并试图攻击我们的组织用户的场景。

这种类型的邮件威胁有两种形式：

• 案例 1 - 敌对分子使用知名组织的欺骗身份，例如银行、保险公司、政府机构。
• 情况 2 - 在这种情况下，敌对分子使用我们组织收件人之一的欺骗身份，即，使用包含我们组织域名的电子邮件地址。

关于 SPF 标准的普遍误解

在本节中，我想回顾一些与 SPF 标准相关的常见误解。

误解 1：使用 SPF 将保护我们的组织免受敌对分子滥用我们组织身份的各种情况的影响。其含义是 - 执行欺骗或网络钓鱼攻击并使用包含我们域名的发件人电子邮件地址的敌对分子。

这个概念部分正确，原因有二：

1. 我们无法确定“对方”的邮件基础设施是否支持SPF，以及他是否实施了SPF发件人验证测试。
2. 即使在“对方”的邮件基础设施支持 SPF 的情况下，如果 SPF 验证测试标记为“失败”，我们也不能确定欺骗性电子邮件会被阻止。在许多情况下，即使 SPF 值标记为“失败”，欺骗性电子邮件也不会被阻止，因为这样可以避免可能出现的误报事件。

误解2： SPF机制是为了识别传入邮件的事件而建立的，其中发件人欺骗其身份，并作为响应，对该事件做出反应并阻止特定的电子邮件消息。

这个想法有一半正确。 SPF 发件人验证可以将特定电子邮件消息标记为“SPF=无”或“SPF=失败”值。

可以说SPF机制对结果是“中立”的，他的主要职责是执行SPF发件人验证测试并将结果添加到电子邮件消息头中。 SPF机制本身并不执行具体的操作。

应该“读取”此信息（SPF 发件人验证测试结果）并对其“执行某些操作”的元素是代表组织邮件基础结构的邮件服务器或邮件安全网关。

误解3：在基于Office 365和Exchange Online的环境中，SPF保护机制会自动激活。

确实，基于 Office 365 的环境支持 SPF，但必须强调的是，Office 365（Exchange Online 和 EOP）不会自动配置任何内容！

为了能够使用 SPF 选项，我们需要自己实现以下收益：

1. 添加所需的 SPF 记录

将所需的“SPF 记录”添加到托管我们域名的 DNS 服务器，并验证 SPF 记录的语法是否正确 + 验证 SPF 记录是否包含有关在 上发送电子邮件的所有“实体”的信息代表我们的域名。

1. 指示 Exchange Online 如何处理不同的“SPF 事件”。 ”

这是我撰写当前系列文章的主要原因。

如前所述，SPF 发件人验证测试只是在电子邮件消息上“标记”有关 SPF 测试结果的信息。

“在特定SPF场景下做什么”的责任是我们的责任！

例如，在基于 Exchange Online 的环境中，我们可以激活 Exchange Online 服务器设置，该设置会将每封未通过 SPF 验证测试（SPF=失败）的电子邮件标记为垃圾邮件。

注意： 假设我们想要更准确，此选项与特定域的 SPF 记录配置为可能出现 SPF 硬故障的场景相关。

能够对 SPF 事件做出“反应”，例如“SPF=none”（域不包含专用 SPF 记录的场景）或“SPF=Fail”场景（SPF 不包含专用 SPF 记录的场景）发件人验证测试失败），我们需要定义一个书面策略，其中包括我们所需的操作+配置我们的邮件基础设施以使用此“SPF 策略”。

例如，在基于 Exchange 的环境中，我们可以添加一条 Exchange 规则来识别“SPF 失败事件”，并通过特定操作（例如提醒专门指定的收件人或阻止电子邮件）对此类事件做出反应。

SPF 测试结果有哪些可能的选项？

在下面的部分中，我想回顾一下我们从 SPF 发件人验证测试中获得的三个主要“值”。

三个主要 SPF 发件人验证测试结果可能是：

1. 经过
2. 没有任何
3. 失败

场景 1. SPF=通过

从结果来看，SPF结果为“通过”，这表明我们可以确定邮件发件人是合法用户，并且我们可以信任该发件人。

场景 2. SPF=无

关于如何与 SPF 结果定义为“无”和“失败”的场景相关联的问题的决定并不那么简单。

没有“正确答案”或明确的答案可以指导我们在这种情况下该怎么做。

“SPF =none”的含义是，使用特定域名的特定组织不支持 SPF，或者换句话说，不允许我们验证发件人的身份，即他们的电子邮件包含以下内容：具体域名。

我们是否可以说我们应该自动阻止他们的组织不支持使用 SPF 的电子邮件？

我认为阻止或拒绝此类电子邮件风险太大，因为我们无法强制其他组织使用 SPF，尽管建议使用 SPF 并有助于保护特定域的身份和声誉。

场景 3. SPF=失败

在这种情况下，我们得到关于 SPF 发件人验证测试结果的“明确答案”——SPF 测试失败！

明显的假设是，这是欺骗邮件攻击的典型场景，正确的操作是自动阻止或拒绝特定的电子邮件。

和往常一样，答案并不像我们想象的那么“简单”。

SPF发件人验证测试结果为“失败”的事件可以在两种主要场景下实现

• 场景 1 - 发件人使用包含知名组织域名的电子邮件地址。
• 场景 2 - 发件人使用包含我们的域名的电子邮件地址。

在上述每种情况下，SPF 发件人验证测试以“SPF=失败”结果结束的事件并不“良好”。

然而，这种情况之间存在显着差异。

在场景 1 中，发件人使用知名组织的身份，我们永远无法明确确定电子邮件确实是欺骗性电子邮件。

对比。在这种情况下，在发件人电子邮件地址包含我们的域名的情况下，并且SPF发件人验证测试的结果为“失败”，这是一个非常明显的事实迹象该特定电子邮件很有可能被视为欺骗邮件。

我们“相信”特定电子邮件很有可能被视为欺骗邮件，因为我们是负责管理我们的邮件基础设施的权威机构。

例如，我们可以合理地配置代表我们的域的SPF记录，并包含所有可以代表我们的域名发送电子邮件的邮件服务器（主机名或IP地址）的信息。

鉴于 SPF 记录配置正确，并且 SPF 记录包含有关我们所有组织“邮件服务器实体”的信息，因此没有理由出现包含我们域名的发件人电子邮件地址将被标记的情况。 SPF 发件人验证测试为“失败”。

为了能够更清楚地了解不同的“SPF=失败”场景，让我们回顾一下两种类型的“SPF=失败”事件。

场景 1. SPF 发件人验证测试失败 |外部发件人身份

在这种情况下，我们的邮件服务器接受向我们的组织收件人之一发送电子邮件的请求。

• 发件人的电子邮件地址使用知名银行的域名。
  SPF发件人验证测试的结果是 - 失败

场景等结论是什么？我们应该对此类电子邮件做出反应吗？

结论可能是：

1. 该电子邮件是欺骗性电子邮件，存在攻击我们组织用户的风险。
2. 该电子邮件是合法的电子邮件。结果“SPF=失败”的原因与“发送邮件基础设施”上缺少配置有关。

实际上，我们永远无法 100% 确定该电子邮件确实是欺骗性电子邮件，还是合法电子邮件。

在这种情况下，我们可以从多种可能的“反应”中进行选择。

例如，如果我们需要实施“严格的安全策略”，我们将不愿意承担风险，在这种情况下，我们将阻止电子邮件、将电子邮件发送到隔离区或转发将电子邮件发送给指定人员，该人员需要检查该电子邮件并决定是否要“发布”该电子邮件。

实际上，大多数组织不会实施如此严格的安全策略，因为他们希望避免出现误报情况，即合法邮件被错误地识别为欺骗邮件。

场景 2. SPF 发件人验证检查失败 | “我们的组织”发件人身份。

在这种情况下，我们的邮件服务器接受向我们的组织收件人之一发送电子邮件的请求。

在我们的场景中，组织域名是 o365info.com

• 发件人的电子邮件地址，使用我们组织的域名，例如 - [email protected]
• SPF 发件人验证测试的结果是 - 失败

场景等结论是什么？我们应该对此类电子邮件做出反应吗？

鉴于我们熟悉邮件基础设施的确切结构，并且我们确信 SPF 记录包含有关邮件服务器 IP 地址的“正确信息”，结论是 E-邮件确实是假冒邮件！

如果你想知道为什么我使用术语“高机会”而不是“确定机会”，是因为实际上，永远不存在 100% 确定的情况。

事实上，发件人使用我们域名的电子邮件总是有可能包含在内，而 SPF 发件人验证测试的结果是 - 失败，可能与某些配置错误问题有关。

所以…。

对于这种情况，建议的“反应”是什么？

答案是一如既往；我们需要避免“过于谨慎”和“过于宽容”。

一个好的选择可能是分两个阶段实施所需的政策 -

第一阶段.学习/检查模式

在此阶段，我们仅“捕获”发件人的电子邮件地址使用我们组织的域名的事件，并且； SPF 发件人验证测试的结果是 - “失败”。

检查收集到的信息并实施所需的调整后，我们可以进入下一阶段。

第 2 阶段：执行具体政策

这个阶段可以描述为“活跃阶段”，我们在其中定义对此类场景的特定反应。

如何在基于 Exchange 的环境中使用 SPF 策略应对欺骗邮件攻击

如前所述，在基于 Exchange 的环境中，我们可以使用 Exchange 规则作为“工具”，帮助我们捕获“SPF=Fail”事件，并选择对此类事件所需的响应。

尽管对于发件人使用包含我们组织域名的电子邮件地址 + SPF 发件人验证测试结果为“失败”的事件的“正确响应”第一个关联是阻止并删除此类事件电子邮件；我强烈建议不要这样做。

我的两个建议如下：

使用两阶段程序实施“SPF 失败策略”——学习/检查阶段和生产阶段。

即使我们进入“生产阶段”，也建议选择不那么激进的应对措施。首选的选择是将此电子邮件“重定向”到某些隔离存储（例如隔离区），而不是立即删除此类电子邮件项目。

如果我们想获得有关该活动的更多信息，或者如果我们需要将电子邮件传递给目标收件人，我们可以选择。

第一阶段.学习/检查模式

此阶段被描述为学习模式或检查模式，因为此步骤的目的只是识别欺骗邮件攻击事件，其中敌对分子使用包含我们域名的电子邮件地址+记录此信息。

通过分析收集到的信息，我们可以实现以下目标：

1.了解欺骗邮件攻击的特点

根据我的经验，这个阶段很有趣，因为在我们激活“监控过程”之后，我们通常会发现一个有趣的发现：

• 欺骗邮件攻击事件量
• 受到攻击的“热门”组织用户
• 各种类型的欺骗或网络钓鱼攻击

根据这些信息，我们将能够了解问题的真正范围、这次攻击的主要特征等。

2. 识别我们的邮件基础设施可能存在的配置错误

学习/检查模式阶段最重要的目的是帮助我们找到邮件基础设施中的裂缝和凹槽。

例如，在使用 SPF 发件人验证测试时，结果“失败”的最常见原因之一是存在问题或配置错误，其中我们组织使用的邮件服务器/服务之一的 IP 地址不是添加到 SPF 记录。

这个场景可以有两个主要的澄清：

合法的技术问题 - 我们熟悉代表我们的域发送电子邮件的特定邮件服务器/软件组件的场景

“非合法邮件元素” - 在这种情况下，我们发现我们的组织使用代表我们的域发送电子邮件的邮件服务器或邮件应用程序，并且我们现在已经意识到这些“元素”。

这就是我们使用学习/检查模式阶段并将其用作“雷达”的地方，帮助我们定位异常和其他基础设施安全问题。

3. 识别其他有问题的“事件”

在此类别中，我们可以将合法电子邮件包含“SPF=失败”值的每个事件“放入”。原因可能是 SPF 记录语法、特定邮件流（例如导致此结果的电子邮件转发）等存在问题。

第二阶段.生产模式

在我们分配用于检查收集的信息的特定时间段之后，我们可以进入“活动阶段”，在该阶段中，我们在 Exchange 规则识别出一封电子邮件的情况下执行特定的“操作”可能是欺骗邮件。

在此阶段，我们需要决定对识别欺骗邮件（SPF=失败）的特定电子邮件消息应用什么具体操作。

大多数时候，我不建议执行诸如阻止和删除被归类为欺骗邮件的电子邮件之类的响应，因为简单的原因是我们可能永远无法完全确定特定的电子邮件确实是欺骗邮件。

为了能够避免误报事件，即合法电子邮件被错误地识别为欺骗邮件的事件，我更喜欢更多的细化操作，例如 - 发送电子邮件以供批准，发送电子邮件检疫等。

Exchange 规则逻辑和 SPF 失败事件

交换规则包括三个主要部分：

1. 条件
2. 行动
3. 例外情况

在我们的特定场景中，我们将使用以下配置设置来使用 Exchange 规则 -

第一阶段.学习/考察模式|兑换规则设置

如前所述，在此阶段，我们的主要目的是“捕获”欺骗邮件攻击事件（SPF=失败）并创建一个“日志”，用于分析收集到的信息。

我们用于收集有关特定邮件流事件的信息的 Exchange 工具/选项被描述为 - 事件报告。

Exchange 事件报告包括特定邮件流的摘要，例如 - 发件人、收件人的姓名以及已激活的 Exchange 规则；我们可以要求添加“捕获”的原始电子邮件的附件。

条件

当以下两个事件的组合发生时，条件部分将激活交换规则：

1. 发件人的电子邮件地址包含我们的域名（在我们的具体场景中；域名为 o365info.com
2. SPF 发件人验证检查的结果为“失败”（SPF=Fail）

行动

在第 1 阶段（学习模式），我们将执行以下操作序列：

1. 生成事件报告并将其发送到指定收件人（共享邮箱），其中包括有关事件特征的信息 + 原始电子邮件。
2. 将预定义的警告消息添加到电子邮件主题。此选项描述为 - 前置电子邮件主题。

第二阶段.生产模式

这个阶段是在我们熟悉了欺骗邮件攻击的不同场景后实施的。在此步骤中，我们希望保护我们的用户免受欺骗邮件攻击。

在我们的特定场景中，我们将选择实施的防御操作是：识别为欺骗邮件的电子邮件将不会被发送到“原始目标收件人”的过程。

相反，电子邮件将被转发给指定的机构，例如 IT 人员，该机构将收到“可疑电子邮件”，并且该人员需要仔细检查该电子邮件并确定该电子邮件是否确实是欺骗性电子邮件或被错误识别为欺骗性邮件的合法电子邮件。

此外，“原始目标收件人”将收到一封电子邮件通知，通知他发送给他的特定电子邮件被识别为欺骗邮件，因此不会自动发送到他的邮箱。

在线交流 |使用垃圾邮件过滤策略选项

在接下来的两篇文章中（使用 Exchange Online 规则实施 SPF 失败策略（处理欺骗电子邮件攻击）| 第 1 阶段 - 学习模式 | 第 2#3 部分和使用 Exchange Online 规则实施 SPF 失败策略（处理欺骗电子邮件）攻击）| 第 2 阶段生产 | 第 3#3 部分），我们将详细回顾使用 Exchange Online 规则实施 SPF 失败策略。

尽管我更喜欢使用 Exchange 规则作为执行所需 SPF 策略的首选“工具”，但我还想提一下可供 Office 365 客户使用的选项，他们的邮件基础设施基于 Exchange Online 和 EOP（Exchange Online Protection） 。

EOP 包括默认的“垃圾邮件过滤策略”，其中包括使我们能够“强化”现有邮件安全策略的各种选项。

可以激活的选项之一是名为“SPF 记录：硬故障”的选项。默认情况下，此选项未激活。

如果我们决定激活此选项，结果是我们的“Office 365 邮件服务器”(EOP) 接受的每封传入电子邮件，以及包含 SPF 发件人验证结果“SPF=失败”的邮件，将自动被被标记为垃圾邮件。

我宁愿避免使用 Exchange Online 垃圾邮件过滤器选项的主要原因是，此选项无法区分发件人使用我们的域名作为其 E 的一部分的情况。 - 邮件地址与发件人使用电子邮件地址（不包括我们的域名）的情况。

在每种情况下，如果 SPF 发件人验证测试值为“失败”，则电子邮件将标记为垃圾邮件。

这种类型的配置可能会导致许多误报事件，其中从我们的客户或业务合作伙伴发送的电子邮件可能被识别为垃圾邮件。

如何配置 Exchange Online 垃圾邮件筛选策略以将 SPF 失败标记为垃圾邮件

1. 登录 Exchange 管理门户
2. 在左侧菜单栏上，选择保护
3. 在顶部菜单栏上，选择垃圾邮件过滤器
4. 选择默认垃圾邮件过滤器策略
5. 选择铅笔图标以编辑默认策略

1. 在左侧菜单栏上，选择高级选项菜单
2. 在部分名称 SPF 记录：硬故障下：选择选项开启
3. 点击保存

在下一篇文章中，使用 Exchange Online 规则实施 SPF 失败策略（处理欺骗电子邮件攻击）|第一阶段——学习模式|第 2#3 部分，我们将回顾创建 Exchange Online 规则所需的分步说明，该规则将帮助我们监控此类事件。

结论

我们审查了完成 SPF 实施中缺失部分的必要性，其中我们需要“捕获”结果为“失败”的 SPF 发件人验证测试事件，特别是在发件人 E- 的情况下邮件地址包括我们的域名（很可能表明这是欺骗邮件攻击）。