內容
概括:在此博客中,我們討論了電子郵件欺騙、內部電子郵件欺騙以及這兩種網絡攻擊之間的區別。 我們還強調了防止內部電子郵件欺騙的特定機制,例如使用 SPF 記錄和專用接收連接器。
免費試用 60 天
在 Exchange 管理員的所有任務中,最重要和最具挑戰性的任務之一就是確保電子郵件安全。 由於 Exchange Server 每天要處理數千封電子郵件,因此定期管理和監控大量郵件並不容易。 黑客經常利用電子郵件漏洞竊取商業機密等敏感信息,或發動網絡攻擊。 他們使用的其中一個技巧是電子郵件欺騙,他們冒充其他人來誘騙用戶共享敏感信息。 本文仔細研究了電子郵件欺騙,並討論了在 Exchange 環境中防止內部電子郵件欺騙的方法。
什麼是電子郵件欺騙和內部電子郵件欺騙?
電子郵件欺騙是電子郵件攻擊的一種常見形式,其中發件人操縱電子郵件標頭以誤導電子郵件收件人關於發件人的身份。 網絡釣魚電子郵件的發件人通常偽裝成組織的員工、客戶或供應商,以提取敏感信息,例如員工數據、公司內部報告等。
當組織的員工在電子郵件中冒充另一個人以獲取機密文件、會計記錄等時,就會發生內部電子郵件欺騙。 例如,一名員工可以冒充高級管理人員向另一名員工發送電子郵件,並說服他或她提供對機密文件和文檔的訪問權限。
如何防止內部郵件被偽造?
以下是您可以實施的防止內部電子郵件欺騙的方法。
方法一:使用SPF記錄
發件人策略框架 (SPF) 是一種針對欺騙的高效電子郵件身份驗證方法。 SPF 記錄是 DNS 記錄(用於將用戶友好的 URL 映射到 IP 地址的數據庫記錄),它被添加到您域的 DNS 區域文件中。 在此日誌中,您可以列出所有授權代表您發送電子郵件的 IP 地址和主機名。
SPF 通常用於防止發件人冒充受信任實體的外部網絡釣魚攻擊。 但是,它也可用於防止內部電子郵件欺騙。 但是,使用 SPF 記錄存在一個挑戰:要實現完全保護,您必須包括允許在您的網絡上發送電子郵件的所有 IP 地址。 這些可能包括貴公司的服務器、打印機、自定義 Web 應用程序、第三方應用程序等。 因此,如果您公司的網絡龐大而復雜,這將是一項繁瑣的任務。
配置 SPF 記錄的步驟
要在您的組織中使用 SPF,您需要配置三項內容:本地 DNS 中的 SPF 記錄、Exchange Server 中的反垃圾郵件功能以及發件人 ID 代理。 按著這些次序:
第 1 步:創建 SPF 記錄
在本地域的 DNS 服務器上創建 txt 記錄。 它可能看起來像這樣:
v=spf1 ip4: 192.168.25.3 ip4: 192.168.133.55 -all
步驟 2:安裝 Exchange 反垃圾郵件代理
使用以下 PowerShell cmdlet 安裝 Exchange 反垃圾郵件代理:
& $env:ExchangeInstallPathScriptsInstall-AntiSpanAgents.ps1
如果腳本運行沒有錯誤並要求您重新啟動 MSExchangeTransport 服務,則該步驟成功。 您可以通過使用以下 PowerShell 命令重新啟動服務來應用更改:
重新啟動 MSExchangeTransport 服務
第 3 步:提供 Exchange Server 的 IP 地址
通過運行以下 PowerShell 命令提供 Exchange Server 的 IP 地址:
Set-TransportConfig - 內部 SMTP 服務器 192.168.25.3
第 4 步:設置電子郵件拒絕規則
通過運行以下命令創建一個規則,拒絕來自 SPF 記錄中不存在的地址的所有電子郵件:
設置 -SenderIdConfig -SpoofedDomainAction 拒絕
方法 2 – 使用專用接收連接器
Exchange 服務器使用接收連接器來處理來自外部郵件服務器(組織範圍之外的服務器)、本地或遠程 Exchange 服務器上的服務以及使用 SMTP 的電子郵件客戶端的傳入 SMTP 通信。 這些連接器是在配置 Exchange 郵箱服務器時自動創建的。
在默認配置中,Exchange Server 配置為接收來自匿名用戶的電子郵件。 此漏洞允許惡意員工利用系統。 遺憾的是,您無法完全阻止來自匿名用戶的電子郵件,因為您將無法從外部電子郵件地址接收重要電子郵件。 因此,您可以創建另一個使用域憑據(用戶和應用程序登錄 ID 和密碼)而不是 IP 地址來授權電子郵件發件人的接收連接器。 儘管這意味著您必須為必須向 Exchange 發送電子郵件的每個設備和應用程序(例如基於 Web 的打印機)創建一個域帳戶。
Exchange Server 在 TCP 端口 25 上有一個接收套接字,它接受外部連接,即來自 SMTP 服務器的匿名電子郵件。 但是,您可以在同一端口上為內部 SMTP 連接創建另一個連接器。 服務器可以自行為每個連接選擇合適的套接字。
如何創建一個新的接收連接器?
創造一個新的接收連接器運行以下 PowerShell 命令:
New-ReceiveConnector –Name “Internal SMTP Client” –TransportRole FrontendTransport –Usage Custom –Bindings 0.0.0.0:25 –RemoteIPRanges 192.168.25.0/24 –AuthMechanism TLS, Integrated –PermissionGroups ExchangeUsers
創建新的接收連接器後,它可以嘗試發送欺騙性電子郵件。 由於您現在有了安全機制,您將收到一個錯誤代碼,並且電子郵件不會被發送。
結論
作為 Exchange 管理員,您必須不惜一切代價維護電子郵件安全並防止電子郵件欺騙。 這篇文章中提到的技術,結合頻繁的 IT 安全培訓課程等措施,可以在很大程度上幫助防止電子郵件欺騙。
