SPF 策略 SPF 失败 |使用 Exchange Online 规则实施 SPF Fail 策略（处理欺骗电子邮件攻击） |二期生产|第 3 部分#3 .com

本文是该系列文章的最后一篇文章，我们将回顾如何使用 Exchange Online 规则实施 SPF 失败策略。快速提醒一下，我们的主要目标是检测并防止可能发生的欺骗邮件攻击事件。

SPF 失败策略文章系列

SPF Fail 策略文章系列包括以下三篇文章：

1. 使用 Exchange Online 规则实施 SPF Fail 策略（处理欺骗电子邮件攻击） |介绍
2. 使用 Exchange Online 规则实施 SPF Fail 策略（处理欺骗电子邮件攻击） |第一阶段——学习模式
3. 使用 Exchange Online 规则实施 SPF Fail 策略（处理欺骗电子邮件攻击） |第二阶段生产（本文）

SPF生产模式

鉴于我们的邮件基础设施使用 SPF 发件人验证检查，在敌对分子欺骗我们合法组织用户之一的身份的情况下，SPF 发件人验证测试的结果为 - “SPF=失败”。

在上一篇文章中，我们实现了第一阶段，即“学习”或“检查”模式。第一阶段的目的是：

1. 熟悉针对我们组织用户的欺骗邮件攻击的常见场景
2. 查找我们的 SPF 记录中有关授权邮件服务器的缺失信息

基本假设是我们已经做出了必要的调整来防止误报事件，这是由于技术上的配置错误等造成的。

现在，我们准备进入第二阶段，我将其描述为“生产模式”。

这个阶段的主要特征是，现在我们想要更“主动”的意思，干预邮件流。

在此步骤中，我们希望防止很有可能是欺骗邮件的电子邮件被发送到目标收件人。

如果我们想要更准确，我们想要检测并阻止发件人使用包含我们域名的电子邮件地址的电子邮件，并且 SPF 发件人验证测试结果为“失败”。

针对欺骗邮件事件，我们将实施的“行动”是 - 将电子邮件消息“重定向”到隔离存储（共享邮箱）。

只有授权人员才能访问该邮箱，指定用户需要检查该电子邮件并决定是否批准将该电子邮件发送给其原始收件人。

此外，自定义电子邮件通知将发送给目标收件人，通知他我们的邮件基础设施识别出发送给他的电子邮件为欺骗电子邮件。

业务需求|我们的 SPF 失败政策指南

我们的业务需求和需要实现的目标如下：

1. 我们希望识别发送给我们组织收件人的电子邮件很有可能被欺骗的电子邮件（欺骗的发件人）的事件。
   从我们的角度来看，“欺骗电子邮件”的定义是发件人电子邮件地址包含我们的域名（o365info.com）且 SPF 发件人验证测试结果为“失败”的场景。
2. 我们希望阻止此类电子邮件到达目标收件人邮箱。
3. 我们想要通知目标收件人，发送给他的电子邮件已被我们组织的策略阻止并发送以进行进一步检查。
4. 被 Exchange Online 规则识别为“欺骗电子邮件”的电子邮件将被转发到名为 -欺骗电子邮件邮箱的指定共享邮箱。
5. “指定收件人”将通过为此目的创建一个名为 - 欺骗电子邮件邮箱的专用共享邮箱来实现。
   该邮箱将包含将由 Exchange Online 发送的事件报告规则。
6. 只有授权用户（例如 Exchange Online 管理员）才能访问存储欺骗电子邮件的共享邮箱。此人需要检查电子邮件并决定是否批准“发布”电子邮件并将其发送给原始目标收件人（拒绝）。

我们的特定场景角色

为了能够演示我们如何使用 Exchange Online 规则捕获欺骗邮件事件（其中 SPF 发件人验证测试结果为“失败”），我们将使用以下场景：

我们公司的公共域名是 - o365info.com

条件 |识别 SPF=失败 + 发件人域是我们的域的事件

我们的 Exchange Online 规则将配置为“捕获”事件，其中发件人电子邮件地址还包含域名 - o365info.com； SPF 发件人验证测试结果为失败 (SPF=Fail)。

Exchange Online 规则“操作”

Exchange Online规则的“响应”将包括两个“步骤”：

1. 将电子邮件转发至指定邮箱（共享邮箱）以供审批。

Exchange Online 规则将配置为将欺骗邮件消息“路由”到指定邮箱，该邮箱将包含“欺骗电子邮件”。
授权人员，例如我们的 Exchange Online Brad管理员将检查此电子邮件

授权人员需要查看该电子邮件并决定是否批准或拒绝该电子邮件。

2. 向原始目标收件人发送电子邮件通知。

Exchange Online 将生成并发送自定义电子邮件通知，通知目标收件人发送给他的电子邮件被视为欺骗邮件。

Exchange Online 规则的逻辑

下图概括了 Exchange Online 规则“逻辑”：

配置 Exchange 规则以识别 SPF 失败事件 - 路由电子邮件以供批准 + 向目标收件人发送通知

在以下部分中，我们将提供创建所需的“Exchange Online 欺骗电子邮件规则”的“分步”说明，以满足我们的业务需求。

第 1#2 部分 - 配置 Exchange SPF 失败规则的“条件部分”

• 登录 Exchange 管理门户
• 在左侧菜单栏上，选择 - 邮件流
• 在顶部菜单栏上，选择 - 规则

• 单击加号图标
• 选择 - 创建新规则...

• 在名称：框中，为新规则添加描述性名称。
  在我们的特定场景中，我们将为新规则命名规则 - 检测 SPF 失败事件 |第 2 阶段 - 生产模式。
• 单击 -更多选项... 链接
  （默认情况下，Exchange 界面在线规则仅包含一组有限的选项。为了能够显示其他选项，我们需要“激活”更多选项...）。

条件1#2

• 在名为 -如果...应用此规则的部分中，单击黑色小箭头

• 选择主菜单 - 发件人...
• 在子菜单中，选择选项 - 域是

• 在指定域窗口中，添加代表您的组织的所需域名。在我们的场景中，公共域名是 - o365info.com
• 单击加号 图标将域名添加到列表中

• 单击确定 选项保存 Exchange Online 规则设置。

条件2#2

在第二种情况下，我们指示 Exchange Online 查看每个电子邮件标头并查找 SPF 发件人验证检查为“SPF=失败”的事件。

• 点击添加条件

• 在名为 - and 的框中，单击黑色小箭头

• 选择名为 - 消息标题... 的主菜单
• 选择名为 - 包含以下任何单词的子菜单

一般信息 - 电子邮件消息标头包含许多“邮件字段”。
包含 SPF 发件人验证检查结果的特定邮件字段是一个名为 - 身份验证结果

• 选择菜单 - *输入文字...

• 提供包含 SPF 发件人验证检查结果的邮件字段名称，在我们的场景中，邮件字段名称为 - Authentication-Results
• 选择确定保存信息

一般注意事项 - 在此步骤中，我们提供要查找的“文本字符串”。

• 选择菜单 - *输入文字...

有关 SPF 发件人验证测试结果的信息，可以出现在三种不同的文本样式选项中：

• SPF：失败
• SPF=失败
• 已接收 SPF：失败

我们将添加每个选项

• 记下第一个选项 - SPF：失败，然后单击加号 符号

• 继续输入另外两个 SPF 字符串值 - spf=fail 和 Received-SPF: Fail
• 选择确定 保存输入的信息

第 2#2 部分 - 配置 Exchange SPF 失败规则的“操作部分”

在此阶段，我们将配置 Exchange Online 规则的“第二部分”。
在第二部分中，我们定义 Exchange 规则将执行的操作（响应）。

Exchange Online 规则响应将包括两个不同的操作：

1. 将电子邮件转发至指定邮箱（共享邮箱）以供审批。
2. 向原始目标收件人发送电子邮件通知，原始目标收件人将通知他，发送给他的电子邮件可能是欺骗邮件，并且该电子邮件已发送以供进一步调查。

操作 1#2 - 将电子邮件转发到指定邮箱（共享邮箱）以供批准。

在我们的场景中，我们希望阻止电子邮件消息发送到目标收件人。

标记为欺骗邮件的电子邮件将被发送到“单独的商店”。在我们的场景中，“单独存储”是通过使用名为欺骗电子邮件邮箱的决定共享邮箱来实现的。

只有经过授权的用户（例如我们的 Exchange Online 管理员 Brad）才能访问此共享邮箱。

被允许访问共享邮箱的人需要检查每封被归类为欺骗邮件的电子邮件，并确定该电子邮件是否是合法电子邮件（批准）或不批准（拒绝） ） 电子邮件。

• 在名为 - *.执行以下操作... 的部分中，单击黑色小箭头。

• 选择选项 - 将消息重定向至...
• 选择子菜单选项 -此人

• 选择电子邮件将转发到的特定收件人姓名（邮箱）。在我们的具体场景中，收到事件报告的收件人是欺骗电子邮件邮箱。

操作 2#2 - 向原始目标收件人发送电子邮件通知

我们想通知目标收件人，发送给他的一封电子邮件被识别为“有问题的邮件”（欺骗邮件），并且该电子邮件已发送给授权人员进行检查。

• 单击选项添加操作

• 在名为 - 和的部分中，单击黑色小箭头

• 选择选项 - 通过消息通知收件人...

在下面的屏幕截图中，我们可以看到使用 HTML 格式化的电子邮件通知信息的示例。

如果您想下载此类格式化文本的示例，请点击此处

• 在文本框中，添加所需的通知文本。
• 点击确定保存设置

在下面的屏幕截图中，我们可以看到他的“最终结果”——Exchange Online 欺骗电子邮件，包括两部分：

• 条件部分
• 动作部分

验证 Exchange Online SPF 失败规则是否正常工作

在此阶段，我们要测试上一步中创建的 Exchange Online 规则，并验证该规则是否正常工作。

Exchange Online“SFP=失败”规则的预期结果

我们期望的结果是——当满足以下条件时，交换规则将被激活：

• 需要发送给我们组织收件人之一的传入邮件未通过 SPF 发件人验证测试含义； SPF 结果为“失败”。
• 发件人使用带有我们域名的电子邮件地址（域名o365info.com）

作为响应，Exchange 规则将执行以下一系列操作：

1. 将电子邮件转发至指定邮箱（共享邮箱）以供审批。
2. 向原始目标收件人发送电子邮件通知，告知他发送给他的电子邮件很可能是欺骗邮件，需要进一步调查。

模拟欺骗电子邮件攻击 |场景人物

为了能够测试 Exchange Online“SPF=Fail”规则是否正常工作，我们将模拟具有以下字符的欺骗电子邮件攻击：

我们将使用邮件客户端向我们的组织收件人之一发送一封电子邮件，该邮件客户端所使用的公共 IP 地址不被视为授权 IP 地址。

我们期望 SPF 发件人验证测试的结果将为“失败”。

在下面的屏幕截图中，我们可以看到有关组织使用的 SPF 记录的信息 - o365info.com

在我们的场景中，组织邮件基础结构托管在 Office 365 (Exchange Online) 邮件基础结构中。

只有 Office 365 邮件服务器被视为“授权邮件服务器”，可以代表 o365info.com 收件人发送电子邮件。

我们将使用的来源和目的地收件人如下：

• “敌对分子”试图欺骗名为 -Jeff 的合法组织收件人的身份，该收件人使用电子邮件地址 - [email protected]
• 欺骗性电子邮件将发送给名为 Angelina 的合法组织用户，该用户使用电子邮件地址 - [email protected]

在下面的屏幕截图中，我们可以看到我们用于模拟欺骗邮件攻击的邮件客户端（jbmail）。

如果您想了解我们用于模拟电子邮件欺骗攻击的方式，您可以阅读文章 - 如何模拟电子邮件欺骗攻击 |第 11#12 部分

1#2 - 验证欺骗电子邮件是否已发送至目标收件人

如前所述，我们希望防止欺骗邮件发送到目标收件人。 Exchange Online 规则生成自定义电子邮件通知并将其发送给目标收件人（在我们的场景中Angelina），而不是“原始电子邮件”。

在下面的屏幕截图中，我们可以看到发送给Angelina的电子邮件通知。

自定义电子邮件通知包括两个主要部分：

A 部分 - 在这一部分中，我们通知目标收件人发送给他的电子邮件被识别为欺骗邮件的事件。此外，我们还将电子邮件消息提供给安全团队，以防他想要获取有关特定电子邮件消息的更多信息。

B 部分 - 这部分包括有关电子邮件特征的摘要报告 - 发件人、主题等。

2#2 - 验证欺骗邮件是否已发送至指定收件人以供批准

在下面的屏幕截图中，我们可以看到欺骗性电子邮件被“捕获”并重定向到所选邮箱。在我们的场景中，共享邮箱名为 - 欺骗电子邮件邮箱。

我们的 Exchange Online 管理员 - Brad，拥有共享邮箱 - “欺骗电子邮件邮箱”的完全访问权限，并且他可以查看邮箱的内容。

在下面的屏幕截图中，我们可以看到一个欺骗电子邮件的示例。

检查电子邮件后，Brad 可以决定是否要批准或拒绝该电子邮件。