使用 Exchange Online 规则实施 SPF Fail 策略（处理欺骗电子邮件攻击） |第一阶段-学习模式|第 2 部分#3

在本文中，我们将回顾如何使用 Exchange 规则为传入邮件实施 SPF 策略。在我们的场景中，我们想要识别一个事件，其中敌对分子试图通过将自己呈现为使用包含我们域名的电子邮件地址的合法收件人来执行欺骗邮件攻击。

在这种情况下，SPF 发件人验证测试的结果将为“失败”（SPF=失败）。通过使用 Exchange 规则，我们将能够“捕获”此类事件并做出适当的响应。请注意，假设我们已经配置了 SPF 记录，其中包含有关我们组织的授权邮件的信息，这意味着允许邮件服务器代表我们的域发送电子邮件。

SPF 失败策略文章系列

SPF Fail 策略文章系列包括以下三篇文章：

1. 使用 Exchange Online 规则实施 SPF Fail 策略（处理欺骗电子邮件攻击） |介绍
2. 使用 Exchange Online 规则实施 SPF Fail 策略（处理欺骗电子邮件攻击） |第一阶段——学习模式（本文）
3. 使用 Exchange Online 规则实施 SPF Fail 策略（处理欺骗电子邮件攻击） |二期生产

SPF 政策 |实施第一阶段——学习/考察模式

正如上一篇文章中提到的，我们将使用 Exchange Online 规则来实施所需的“SPF 失败策略”的“项目”将分两个不同的阶段实施：

第一阶段.学习/检查模式

我们在此阶段的主要目标是收集有关很可能被欺骗的电子邮件（欺骗的发件人）的电子邮件事件的信息，这意味着标头包含以下内容的电子邮件：值“SPF=失败”并且发件人电子邮件地址包含我们的域名。

我们收集的信息将帮助我们了解：

• 由敌对分子执行的欺骗邮件攻击的特征。
• 关于代表我们未在 SPF 记录中注册的域名发送电子邮件并导致“SPF=失败”情况的“实体”。

在此阶段，我们将不会阻止诸如电子邮件之类的消息，而是仅将原始电子邮件的副本发送给指定收件人。此外，我们将为 Exchange 规则“捕获”的每封电子邮件添加“警告”。

该警告是通过向发送到用户邮箱的电子邮件的主题添加预定义文本来实现的。

第二阶段.生产模式

在下一篇文章中，我们将回顾如何实施“第二阶段”，即防止被识别为欺骗邮件的电子邮件到达用户邮箱。欺骗性电子邮件将被转发给指定的收件人，该收件人将需要检查该电子邮件并确定该电子邮件是否是合法的电子邮件。

业务需求|我们的 SPF 失败政策指南

我们需要完成的业务需求和目标如下：

1. 我们想要识别发送给我们组织收件人的电子邮件很可能是欺骗性电子邮件（欺骗性发件人）的事件。如果发件人电子邮件地址使用我们的域名（o365info.com）并且SPF发件人验证测试结果，则该电子邮件将被视为欺骗邮件是“失败”。
2. 我们不想干预邮件流，因为我们的主要目的只是收集有关“欺骗电子邮件事件”的信息。换句话说，使用 Exchange Online 规则收集有关可能的欺骗电子邮件事件的信息（“学习模式”或“检查模式”）。
3. 每次 Exchange Online 规则“捕获”欺骗邮件事件时，Exchange 规则都会向电子邮件主题添加警告文本（前置电子邮件主题）。
4. 每次 Exchange Online 规则“捕获”特定事件时，Exchange 都会生成事件报告并将其发送给指定收件人。事件报告将包括摘要报告+原始电子邮件的副本。
5. “指定收件人”将通过为此目的创建一个名为“欺骗电子邮件邮箱”的专用共享邮箱来实现。此邮箱将包含将由 Exchange Online 规则发送的事件报告。
6. 我们希望只有经过授权的人员（例如 Exchange Online 管理员）才能访问存储事件报告的共享邮箱，以便他可以检查和分析欺骗性电子邮件。

我们的特定场景角色

为了能够演示我们如何使用 Exchange Online 规则捕获欺骗邮件事件（其中 SPF 发件人验证测试结果为“失败”），我们将使用以下场景：

我们公司的公共域名是 - o365info.com

条件 |识别 SPF=失败 + 发件人域是我们的域的事件

我们的 Exchange Online 规则将配置为“捕获”事件，其中发件人电子邮件地址包含域名 - o365info.com 以及； SPF 发件人验证测试结果为失败 (SPF=Fail)。

Exchange Online 规则“操作”

Exchange Online规则的“响应”将包括两个“步骤”：

1.添加电子邮件主题

Exchange Online 规则将配置为将“文本警告消息”添加到电子邮件标头（标识为欺骗邮件的电子邮件）。

2.发送事件报告

Exchange Online 将生成事件报告并将其提交到指定邮箱。
在我们的方案中，我们创建了一个共享邮箱名称 - 欺骗电子邮件邮箱。

事件报告将包括被视为欺骗邮件+原始电子邮件的电子邮件摘要。

Exchange Online 规则的逻辑

下图概括了 Exchange Online 规则“逻辑”：

配置 Exchange 规则以识别 SPF 失败事件 - 生成事件报告 + 前置电子邮件主题

在以下部分中，我们将提供创建所需的“Exchange Online 欺骗电子邮件规则”的“分步”说明，以满足我们的业务需求。

第 1 部分. 配置 Exchange SPF 失败规则的“条件部分”

1. 登录 Exchange 管理门户
2. 在左侧菜单栏上，选择邮件流
3. 在顶部菜单栏上，选择规则

1. 单击加号图标
2. 选择创建新规则...

1. 在名称框中，为新规则添加描述性名称。
   
   在我们的特定场景中，我们将命名该规则 - 检测 SPF 失败事件|第一阶段——学习模式。

1. 单击更多选项...链接
   
   默认情况下，Exchange Online 规则的界面仅包含一组有限的选项。要显示附加选项，我们需要“激活”并单击更多选项...。

条件1

1. 在名为应用此规则，如果...的部分中，单击黑色小箭头

1. 选择主菜单 - 发件人...
2. 在子菜单中，选择选项 - 域是

1. 在指定域窗口中，添加代表您的组织的所需域名。在我们的具体场景中，公共域名是 - o365info.com
2. 单击加号图标将域名添加到列表中

1. 单击确定选项保存 Exchange Online 规则设置。

条件2

在第二种情况下，我们指示 Exchange Online 查看每个电子邮件标头并查找 SPF 发件人验证检查为“SPF=失败”的事件。 ”

1. 点击添加操作

1. 在名为和的框中，单击黑色小箭头

1. 选择名为消息标题...的主菜单
2. 选择名为包含以下任何单词的子菜单

电子邮件消息头包含许多“邮件字段”。包含SPF发件人验证测试结果的特定邮件字段是名为Authentication-Results的邮件字段。

1. 选择菜单 - *输入文本...

1. 提供包含 SPF 发件人验证测试结果的邮件字段名称，在我们的场景中，邮件字段名称为 Authentication-Results
2. 选择确定保存信息

在此步骤中，我们添加要查找信息的“文本字符串”

1. 选择菜单*输入文字...

有关 SPF 发件人验证测试结果的信息可以以四种不同的文本样式选项显示：

• SPF：失败
• SPF=失败
• 已接收 SPF：失败
• 防晒指数=无

1. 记下第一个选项 SPF:Fail 并单击加号

1. 继续输入另外三个 SPF 字符串值 spf=fail、Received-SPF: Fail 和 spf=none
2. 选择确定保存输入的信息

第 2 部分. 配置 Exchange SPF 失败规则的“操作部分”

在此阶段，我们将配置 Exchange Online 规则的“第二部分”。第二部分用于定义由 Exchange 规则执行的特定响应（操作）。

Exchange Online 规则响应将包括两个不同的步骤：

1. 生成+发送事件报告给指定收件人
2. 添加电子邮件主题

操作 1. 生成事件报告并将其发送给指定收件人

在我们的场景中，我们希望指示 Exchange Online 通过创建事件报告来响应电子邮件被识别为欺骗电子邮件的事件，并将其发送到指定收件人：名为 - Spoof 的共享邮箱电子邮件邮箱。

1. 在名为 - *.执行以下操作... 的部分中，单击黑色小箭头。

1. 选择菜单选项 -生成事件报告并将其发送至...

事件报告的设置包括两个参数：

• 将获取事件报告的“目标收件人”的名称。
• 将包含在事件报告中的信息字段。

1. 要添加所需的“目标收件人”名称，请单击链接 -选择一个...

1. 在我们的场景中，接收事件报告的收件人是欺骗电子邮件邮箱。

1. 要选择将包含在事件报告中的信息，请单击名为-*包括消息属性

1. 选择选项 -全选

在我们的场景中，我们将选择在摘要报告+“原始欺骗电子邮件”的副本中包含所有可用的邮件属性。

在下面的屏幕截图中，我们可以查看可用的选项：

• A 部分 - 与事件报告摘要中显示的信息相关。
• B 部分 - 涉及将原始电子邮件的副本“附加”到事件报告的选项。

操作 2. 添加电子邮件主题

如前所述，我们不想阻止值为“SPF=失败”的电子邮件，而是希望通知目标收件人该电子邮件被视为“有问题的电子邮件”邮件消息。”

通过向电子邮件主题添加预定义文本来实现警告。

1. 单击选项添加操作

1. 选择选项 - 在邮件主题前添加...

1. 在文本框中，添加所需的通知文本。请注意，我们可以用于前置文本的字符数是有限的。
2. 点击确定保存设置

1. 在下面的屏幕截图中，我们可以看到“最终结果”——Exchange Online“SPF Fail 规则”，包括两部分：

• 条件部分
• 动作部分

1. 点击保存

验证 Exchange Online SPF 失败规则是否正常工作

在此阶段，我们要测试上一步中创建的 Exchange Online 规则，并验证该规则是否正常工作。

Exchange Online“SPF=失败”规则的预期结果

我们期望的结果是，当满足以下条件时，交换规则将被激活：

• 需要发送给我们组织收件人之一的传入邮件未通过 SPF 发件人验证测试含义； SPF 结果为“失败”。
• 发件人使用带有我们域名的电子邮件地址（域名o365info.com）

作为响应，Exchange 规则将执行以下操作序列：

1. 生成事件报告并将其发送给指定的收件人。在我们的场景中，我们要求将事件报告发送到名为 - 欺骗电子邮件邮箱的共享邮箱。
2. 在电子邮件主题前添加预定义的警告通知消息。

模拟欺骗电子邮件攻击 |场景人物

为了能够测试 Exchange Online“SPF=Fail”规则是否正常工作，我们将模拟具有以下字符的欺骗电子邮件攻击：

我们将使用邮件客户端向我们的组织收件人之一发送一封电子邮件，该邮件客户端所使用的公共 IP 地址不被视为授权 IP 地址。

我们预计 SPF 发件人验证测试的结果将为“失败”。

在下面的屏幕截图中，我们可以看到有关组织使用的 SPF 记录的信息 - o365info.com

在我们的场景中，组织邮件基础结构托管在 Office 365 (Exchange Online) 邮件基础结构中。

只有 Office 365 邮件服务器被视为“授权邮件服务器”，可以代表 o365info.com 收件人发送电子邮件。

我们将使用的来源和目的地收件人如下：

• “敌对分子”试图欺骗名为 -Jeff 的合法组织收件人的身份，该收件人使用电子邮件地址 - [email protected]
• 欺骗性电子邮件将发送给名为 Angelina 的合法组织用户，该用户使用电子邮件地址 - [email protected]

在下面的屏幕截图中，我们可以看到我们用于模拟欺骗邮件攻击的邮件客户端（jbmail）。

您想了解我们如何模拟电子邮件欺骗攻击吗？请阅读文章如何模拟电子邮件欺骗攻击 |第 11#12 部分。

1.验证欺骗电子邮件是否已发送至目标收件人

如前所述，我们不想干预邮件流。我们的主要目的只是收集有关 SPF 发件人验证测试结果为“失败”且发件人电子邮件地址包含我们的域名的事件的信息。

包含值“SPF=失败”的电子邮件将发送到原始目标组织收件人邮箱（在我们的场景中为 [email protected]）。

在下面的截图中，我们可以看到邮件到达了Angelina的邮箱。

在我们的场景中，电子邮件被发送到垃圾邮件文件夹，因为 Exchange Online (EOP) 识别出电子邮件存在一些问题，但从用户角度 (Angelina) 来看，没有迹象表明以下事实：发件人伪造了他的身份。

在我们的场景中，Exchange Online 规则实现了“前置电子邮件主题”选项，在下面的屏幕截图中，我们可以看到发送给 Angelina 的电子邮件主题包含一条警告消息 - “小心！！可能是欺骗邮件。“

2.验证事件报告已发送至指定收件人

快速提醒一下，当 Exchange Online 规则捕获“SPF=Fail”事件时，Exchange 将生成并向名为“欺骗电子邮件邮箱”的收件人发送事件报告。

我们的 Exchange Online 管理员 Brad 拥有共享邮箱“欺骗电子邮件邮箱”的完全访问权限，并且他可以查看该邮箱的内容。

在下面的屏幕截图中，我们可以看到 Exchange Online 规则生成事件报告并将其发送到目标收件人。

在下面的屏幕截图中，我们可以看到事件报告电子邮件的示例。

当我们查看事件报告时，我们可以看到事件报告包括两个部分：

• 原始电子邮件的副本 (A)
• 事故报告摘要（B）

事件报告摘要包括以下详细信息：

1. 有关事件报告电子邮件消息生成者的信息 - “此电子邮件是由生成事件报告操作自动生成的”
2. 声称是合法组织收件人的发件人（“源收件人”）名为 - [email protected]
3. 收件人（目标收件人）是 - [email protected]
4. 规则命中 - Exchange Online 规则“捕获”欺骗电子邮件事件，以及 Exchange Online 规则执行的操作 - ”命中：检测 SPF 失败事件 |第 1 阶段 - 学习模式，操作：PrependSubject、GenerateIncidentReport”

检查电子邮件标题内容

Exchange Online 规则是由以下事件“激活”或“触发”的：电子邮件包含 SPF 发件人验证测试，其结果为“失败”。

在下面的部分中，我想简要演示一下，我们如何查看电子邮件消息的“幕后”含义，即电子邮件标头的内容。

从技术上讲，有一些免费的基于网络的工具可以用作邮件标头分析。

我最喜欢的邮件分析器工具是 Microsoft 基于 Web 的工具，名为 ExRCA（Exchange 远程连接分析器）工具。

在我们的具体场景中，我们将分析发送给 Angelina 的电子邮件标头

1. 选择您要检查其电子邮件标题的特定电子邮件
2. 选择文件菜单
3. 选择属性选项

在名为- internet headers的部分中，我们可以看到电子邮件标头的内容。

为了能够分析数据，我们将复制信息。

1. 使用键盘组合键选择所有信息 - CTRL + A
2. 使用键盘组合键复制信息 - CTRL + C

1. 访问 ExRCA（Exchange 远程连接分析器）工具。
2. 选择选项卡 - 消息分析器
3. 在空白处，使用键盘组合键粘贴上一步中复制的信息 - CTRL + V 或向右键单击空白区域并选择粘贴

1. 选择选项 - 分析标头

在下面的屏幕截图中，我们可以看到结果。

在名为 - Authentication-Results 的部分中，我们可以看到 SPF 发件人验证测试的结果。

结果是 - spf=fail

显示的信息 - （发件人 IP 为 212.25.80.226）与向收件人发送电子邮件的“实体”的 IP 地址相关。邮件中显示有关 SPF 发件人验证测试的任何其他信息失败 - 已接收 SPF

该信息为“失败（protection.outlook.com：o365info.com 的域未将 212.25.80.226 指定为允许的发件人）”

在我们的方案中，收件人托管在 Office 365（Exchange Online 邮件基础结构）中。 Office 365 邮件安全网关、EOP 服务器（由主机名 - Protection.outlook.com 表示）通知我们发件人邮件服务器未显示为授权邮件服务器。

换句话说，发送电子邮件的邮件服务器没有“权限”代表o365info.com域名发送电子邮件。

在下一篇文章中，使用 Exchange Online 规则实施 SPF 失败策略（处理欺骗电子邮件攻击）|二期生产|第3#3部分，我们将回顾第二阶段的实施情况，其中我们转向“生产模式”。