Ich habe kürzlich eine neue Nachrichtenflussregel in unserem Exchange (365)-Verwaltungscenter eingerichtet, um dem Text von E-Mail-Nachrichten, die von externen Absendern empfangen werden, ein „Warn“-Banner voranzustellen. Ich habe es wie folgt definiert (Exchange Admin Center -> Mail Flow -> Regeln -> [+] Neue Regel)
Wie bei den meisten Änderungen, die aus Sicherheitsgründen vorgenommen werden, gab es jedoch ein wenig Widerstand („es ist nervig“ usw.). Trotzdem wurde neben den üblichen Beschwerden tatsächlich ein ausgezeichneter Punkt angesprochen: WennalleExterne Nachrichten - die einen Großteil der E-Mail-Kommunikation ausmachen, die unsere Benutzer erhalten - werden mit dieser Warnung gekennzeichnet. Sie wird irgendwann so allgegenwärtig sein, dass die Benutzer sie einfach ignorieren werden. Die Warnung wird ihren beabsichtigten Zweck nicht mehr erfüllen, da die Benutzer sie in praktisch jeder Nachricht sehen, die sie erhalten, einschließlich Nachrichten von Absendern, die sie kennen und denen sie vertrauen.
Aufgrund dieses Feedbacks habe ich begonnen, die für die Exchange-Nachrichtenflussregeln verfügbaren Ausnahmeoptionen zu untersuchen. Ich sehe, dass es dort eine Reihe von Möglichkeiten gibt, darunter Ausnahmen für explizit definierte Absender, Domänen und IP-Adressen, Schlüsselwörter und sogar bestimmte Nachrichteneigenschaften. Eine Möglichkeit, die ich jedoch nicht gefunden habe und die meiner Meinung nach nützlich wäre, ist, die Ausnahme auf einer serverseitigen Whitelist zu basieren.
Hier spreche ich von etwas, das von der „Haupt“-Whitelist getrennt ist und verhindert, dass bestimmte Nachrichten als Spam gekennzeichnet werden. Mein erster Gedanke war, die „Sichere Absender“-Liste des Empfängers aus Outlook zu verwenden, obwohl ich, als ich darüber nachdachte, einige potenzielle Gefahren bei der Verwendung dieser Liste sehe, selbst wenn siewürdemacht die Verwaltung einer solchen Liste für mich wesentlich weniger umständlich.
Wenn ich mir die verfügbaren Optionen im Dialogfeld „Neue Regel“ anschaue, ist die einzige andere Möglichkeit, die mir eingefallen ist, dass ich eine neue Exchange-Gruppe erstelle, in die ich (manuell) alle Absender/Domänen eintrage, die auf die „Whitelist“ gesetzt werden sollen. Ich bin nichttotalgegen diese Option, aber die Liste „richtig“ zu machen, wird wahrscheinlich einige Zeit dauern. Außerdem bin ich vielleicht etwas begriffsstutzig, aber ich bin mir ehrlich gesagt nicht ganz sicherWieum dies effektiv durchzuführen.
Wie ich oben bereits sagte, stammt der Großteil der E-Mail-Kommunikation mit unserem Unternehmen von externen Absendern, sodass jede „Whitelist“ wahrscheinlich ziemlich lang sein wird. Darüber hinaus ist mir bewusst, dass eine solche Liste das Potenzial hat, unbeabsichtigt „Spoofing“-Angriffen ausgesetzt zu sein, daher versuche ich, mir gut zu überlegen, wie ich sie umsetzen würde, um diese Gefahr zu minimieren. An diesem Punkt suche ich eigentlich nur nach Vorschlägen von erfahrenen Exchange-Administratoren, die dieses „Problem“ vielleicht bereits kennengelernt und einen Weg gefunden haben, eine vernünftige und relativ sichere Lösung zu implementieren.
BEARBEITEN/AKTUALISIEREN
Bei meinen weiteren Recherchen stieß ich auf einen Artikel (Erstellen sicherer Absenderlisten in EOP), das zumindest einen kleinen Teil der Antwort zu enthalten scheint. Eine Ausnahme, die ich einschließen kann, ist eine Überprüfung der Nachrichtenkopfzeilen auf einen gültigen Absenderauthentifizierungsstatus der sendenden E-Mail-Domäne, um sicherzustellen, dass die sendende Domäne nicht gefälscht wird.
- Bedingung für die Nachrichtenflussregel: Ein Nachrichtenheader > enthält eines dieser Wörter > Headername:
Authentication-Results> Header-Wert:dmarc=passODERdmarc=bestguesspass
Alternativ (falls erforderlich) könnte ich auch manuell die MX-Einträge der sendenden Domänen durchsuchen und die entsprechende(n) IP-Adresse(n) finden, um für diese eine Ausnahme einzurichten:
- IP-Zulassungsliste:Geben Sie die Quell-IP-Adresse oder den Adressbereich in der Verbindungsfilterrichtlinie an.
So etwas könnte dazu beitragen, die Zahl der mit dem Warnbanner „markierten“ Nachrichten zumindest zu reduzieren.
Ich denke jedoch, dass die Regeln Ihnen keine Wahl lassen zwischenUNDUndODERBedingungen. Wenn ich beispielsweise möchte, dass eine Regel den Absender explizit anhand einer Whitelist mit bestimmten Absendern, Domänen oder IP-Adressen prüft (je nachdem, wie ich es einrichten muss, kann ich mir vorstellen, dass diese irgendwo in drei separaten Listen landen könnten) und dann AUCH die Nachrichtenkopfzeilen prüft, muss meine Ausnahmeregel ungefähr so aussehen:
- (Absenderadresse in [Adressen-Whitelist] ODER Absenderdomäne in [Domänen-Whitelist] ODER Absender-IP in [IP-Whitelist])UND(Der Nachrichtenheader enthält
dmarc=passODER Der Nachrichtenheader enthältdmarc=bestguesspass)
Ich sehe derzeit keine Möglichkeit, so etwas in der Mail-Flow-Regelschnittstelle zu erreichen. Vielleicht mache ich mir zu viele Gedanken, aber ist das nicht das, was wir tun? :P
Antwort1
Obwohl die Optionen „oder“ und „und“ nicht in einer Regel enthalten sind, können Sie mehrere Regeln erstellen, um die Option „oder“ zu implementieren.