我最近在 Exchange (365) 管理中心設定了一個新的郵件流程規則,以便在從外部寄件者收到的電子郵件正文中新增「警告」橫幅。我這樣定義它(Exchange 管理中心 -> 郵件流程 -> 規則 -> [+] 新規則)
然而,與大多數出於安全考慮而進行的更改一樣,存在一些阻力(“這很煩人”等)。即便如此,在標準投訴中,實際上提出了一個很好的觀點:如果全部外部訊息(構成我們用戶收到的電子郵件通訊的絕大多數)都帶有此警告標記,它最終將變得如此普遍,以至於用戶將開始忽略它。該警告將不再達到其預期目的,因為用戶幾乎在收到的每條訊息中都看到了它,包括從他們認識和信任的寄件者發送的訊息。
根據此回饋,我開始研究可用於 Exchange 郵件流規則的例外選項。我發現其中存在多種可能性,包括明確定義的寄件者、網域和 IP 位址的例外;關鍵字;甚至特定的訊息屬性。但是,我沒有發現我認為有用的一件事是將異常基於某些伺服器端白名單。
在這裡,我談論的是與「主」白名單不同的東西,它可以防止某些郵件被標記為垃圾郵件。我的第一個想法是使用 Outlook 中收件人的「安全寄件者」列表,不過,正如我所考慮的那樣,我可以看到使用它的一些潛在危險,即使它會讓我自己管理這樣一份清單變得不再那麼麻煩。
查看“新規則”對話框中的可用選項,我能想到的唯一可能的事情是創建一個新的 Exchange 組,我(手動)在其中輸入任何和所有發件人/應列入“白名單”的域。我不是完全反對將此作為一種選擇,但「正確」列出清單可能需要一些時間。另外,也許我太笨了,但老實說我並不完全確定如何去有效地做到這一點。
正如我上面所說,與我們公司的大部分電子郵件通訊都來自外部寄件者,因此任何「白名單」可能相當長。此外,我意識到這樣的清單有可能無意中導致「欺騙」攻擊,因此我試圖考慮如何實施它以最大程度地減少這種威脅。此時,我實際上只是在尋找經驗豐富的 Exchange 管理員的建議,他們可能已經遇到過這個“問題”,並找到了實施合理且相對安全的解決方案的方法。
編輯/更新
在我正在進行的研究中,我發現了一篇文章(在 EOP 中建立安全寄件者列表)其中至少包含了答案的一小部分。我可以包括的一個例外是檢查郵件標頭以了解發送電子郵件網域的有效寄件者身份驗證狀態,以確保發送網域沒有被欺騙。
- 郵件流規則條件:郵件標頭 > 包含以下任何單字 > 標頭名稱:
Authentication-Results> 標頭值:dmarc=pass或者dmarc=bestguesspass
作為替代方案(如果有必要),我還可以手動研究發送域的 MX 記錄,並找到適當的 IP 位址來設定例外:
- IP 允許清單:在連線過濾原則中指定來源IP位址或位址範圍。
這樣的事情至少可以幫助減少帶有警告橫幅「標記」的訊息數量。
然而,我對此的想法是,規則並沒有給你選擇的機會和和或者狀況。例如,如果我想要一個規則根據特定寄件者、網域或IP 位址的白名單明確檢查寄件者(取決於我如何設定它,我想這些可能最終會出現在某個地方的三個單獨的清單中),那麼也要檢查訊息標題,我需要我的例外規則看起來像這樣:
- (寄件者地址在 [地址白名單] 或 寄件者域 [網域白名單] 或 寄件者 IP 位址 [IP白名單])和(訊息頭包括
dmarc=pass或 訊息標頭包括dmarc=bestguesspass)
我目前沒有看到任何方法可以在郵件流規則介面中發生類似的事情。也許是我想太多了,但這不就是我們所做的嗎? :P
答案1
儘管 or 和 and 選項不包含在規則中,但您可以建立多個規則來實現 or 選項。