Как настроить исключение из правила потока почты Exchange для «доверенных» отправителей?

Как настроить исключение из правила потока почты Exchange для «доверенных» отправителей?

Недавно я настроил новое правило потока почты в нашем центре администрирования Exchange (365), чтобы добавлять баннер «предупреждение» к тексту сообщений электронной почты, полученных от внешних отправителей. Я определил его следующим образом (Центр администрирования Exchange -> Поток почты -> Правила -> [+] Новое правило) Определение правила потока почты EAC

Однако, как и в случае с большинством изменений, вносимых ради безопасности, было некоторое сопротивление («это раздражает» и т. д.). Тем не менее, среди стандартных жалоб был поднят на самом деле отличный вопрос: есливсеВнешние сообщения, составляющие значительную часть электронной почты, которую получают наши пользователи, помечены этим предупреждением, в конечном итоге оно станет настолько вездесущим, что пользователи просто начнут его игнорировать. Предупреждение больше не будет служить своему прямому назначению, поскольку пользователи видели его практически в каждом полученном сообщении, включая сообщения, отправленные теми отправителями, которых они знают и которым доверяют.

На основе этой обратной связи я начал изучать варианты исключений, доступные для правил почтового потока Exchange. Я вижу, что там есть ряд возможностей, включая исключения для явно определенных отправителей, доменов и IP-адресов; ключевых слов; и даже определенных свойств сообщения. Однако, одна вещь, которую я не нашел, но которая, как я думаю, была бы полезной, — это основывать исключение на каком-то белом списке на стороне сервера.

Здесь я говорю о чем-то отдельном от "главного" белого списка, что предотвращает отметку определенных сообщений как спама. Моей первой мыслью было использовать список "Надежных отправителей" получателя из Outlook, хотя, как я думал об этом, я вижу некоторые потенциальные опасности в использовании этого, даже если этобысделать управление таким списком для меня гораздо менее обременительным.

Рассматривая доступные параметры в диалоговом окне «Новое правило», я могу сказать, что единственное, что мне пришло в голову, — это создать новую группу Exchange, в которую я (вручную) ввожу всех отправителей/домены, которые должны быть «внесены в белый список». Я неполностьюпротив этого как варианта, но получение списка "правильно" займет некоторое время. Также, возможно, я туплю, но я честно говоря не совсем уверенкакчтобы сделать это эффективно.

Как я уже говорил выше, большая часть электронной переписки с нашей компанией поступает от внешних отправителей, поэтому любой «белый список», скорее всего, будет довольно длинным. Кроме того, я понимаю, что такой список может непреднамеренно открыть доступ к атакам «спуфинга», поэтому я пытаюсь быть вдумчивым в том, как я бы его реализовал, чтобы минимизировать эту угрозу. На данный момент я просто ищу предложения от опытных администраторов Exchange, которые, возможно, уже сталкивались с этой «проблемой» и нашли способ реализовать разумное и относительно безопасное решение.


ИЗМЕНИТЬ/ОБНОВИТЬ

В ходе моих текущих исследований я наткнулся на статью (Создание списков безопасных отправителей в EOP), который включает в себя то, что кажется по крайней мере небольшой частью ответа. Одно исключение, которое я могу включить, это проверка заголовков сообщения на действительный статус аутентификации отправителя домена электронной почты, чтобы убедиться, что домен отправителя не подделывается.

  • Условие правила потока почты: Заголовок сообщения > включает любое из этих слов > Имя заголовка: Authentication-Results > Значение заголовка: dmarc=pass ИЛИ dmarc=bestguesspass

В качестве альтернативы (если возникнет такая необходимость) я мог бы также вручную изучить записи MX отправляющих доменов и найти соответствующий IP-адрес(а), чтобы настроить для них исключение:

  • Список разрешенных IP-адресов:Укажите исходный IP-адрес или диапазон адресов в политике фильтра подключений.

Что-то подобное могло бы помочь, по крайней мере, сократить количество сообщений, «помеченных» предупреждающим баннером.

Однако я думаю, что правила не дают вам возможности выбора междуИиИЛИусловия. Например, если я хочу, чтобы правило явно проверяло отправителя по белому списку определенных отправителей, доменов или IP-адресов (в зависимости от того, как я это настрою, я полагаю, что они могут оказаться в трех отдельных списках где-то), а затем ТАКЖЕ проверяло заголовки сообщений, мне нужно, чтобы мое правило исключения выглядело примерно так:

  • (Адрес отправителя в [белый список адресов] ИЛИ Домен отправителя в [белый список доменов] ИЛИ IP отправителя в [Белый список IP-адресов])И(Заголовок сообщения включает dmarc=pass ИЛИ заголовок сообщения включает dmarc=bestguesspass)

В настоящее время я не вижу способа сделать что-то подобное в интерфейсе правил почтового потока. Может быть, я слишком много думаю, но разве мы не этим занимаемся? :P

решение1

Хотя параметры «или» и «и» не включены в правило, вы можете создать несколько правил для реализации параметра «или».

Связанный контент