none
Exchange online пропускает спуфинг почту.

    Вопрос

  • У нас в компании используется гибридная инфраструктура exchange, при этом большая часть почтовых ящиков находится в облаке exchange online.
    Последнее время, на почтовые ящики наших пользователей стали проскакивать спуфинговые письма с левых smtp серверов. При этом, в поле отправитель спуф письма, указан
    реальный почтовый адрес нашего домена, как будто один пользователь организации отправил письмо другому.
    В Заголовке письма видно, что проверку spf отправитель не прошёл.
    (ip адрес 177.248.152.44 - это левый smtp; my-company.com - это "наш" домен; отправитель - user1@my-company.com; получатель - user2@my-company.com):

    Authentication-Results: spf=fail (sender IP is 177.248.152.44)
     smtp.mailfrom=my-company.com; my-company; dkim=none (message not signed)
     header.d=none;my-company.com; dmarc=fail action=none header.from=my-company;

    Received-SPF: Fail (protection.outlook.com: domain of my-company.com does not
     designate 177.248.152.44 as permitted sender)
     receiver=protection.outlook.com; client-ip=177.248.152.44;
     helo=[177.248.152.44]; 

    Received: from [177.248.152.44] (177.248.152.44) by
     HE1EUR01FT050.mail.protection.outlook.com (10.152.1.29) with Microsoft SMTP
     Server id 15.20.1185.13 via Frontend Transport; Tue, 2 Oct 2018 01:40:55
     +0000

    Message-ID: <58920451F2CEC7A76DFBAE0D31385892@ANAQLLA>

    From: <user1@my-company.com>
    To: tkgltcr <user2@my-company.com>

    Subject: Security Warning

    Письмо всё равно упало в почтовый ящик конечного пользователя user2@my-company.com.
    В нашей зоне dns my-company.com есть TXT spf запись вида:
    TXT "v=spf1 ip4:my-ip_address include:spf.protection.outlook.com -all"

    Вопрос, почему smtp сервера microsoft пропускают такие письма? И что с этим делать?



    10 октября 2018 г. 10:00

Все ответы

  • Добрый день.

    Предлагаю вам внедрить dmarc. В вашем случае придется также настроить dkim. Все это надо будет сделать на стороне облака.

    Если какие-то ещё внешние серверы легально отправляют почту с вашего домена (например это может быть какой-нибудь корпоративный веб-сервер или тому подобное), то политику dmarc нужно внедрять аккуратно.

    Документация по теме: https://docs.microsoft.com/ru-ru/office365/securitycompliance/use-dmarc-to-validate-email

    10 октября 2018 г. 10:15
  • Подозреваю, что она у вас отключена.

    Exchange Admin Center -> Protection > spam filter-> default -> edit -> advanced options -> "SPF record: hard fail" (нужно включить ON)


    10 октября 2018 г. 10:37
  • Подозреваю, что она у вас отключена.

    Exchange Admin Center -> Protection > spam filter-> default -> edit -> advanced options -> "SPF record: hard fail" (нужно включить ON)


    У меня русский интерфейс, но SPF вроде включена.
    11 октября 2018 г. 5:05
  • Добрый день.

    Предлагаю вам внедрить dmarc. В вашем случае придется также настроить dkim. Все это надо будет сделать на стороне облака.

    Если какие-то ещё внешние серверы легально отправляют почту с вашего домена (например это может быть какой-нибудь корпоративный веб-сервер или тому подобное), то политику dmarc нужно внедрять аккуратно.

    Документация по теме: https://docs.microsoft.com/ru-ru/office365/securitycompliance/use-dmarc-to-validate-email

    Да понятно, что можно и dmarc и dkim внедрить, самый главный вопрос в том, почему SPF не работает. Может где ещё какую галочку поставить, не смог найти.
    11 октября 2018 г. 5:07

  • Да понятно, что можно и dmarc и dkim внедрить, самый главный вопрос в том, почему SPF не работает. Может где ещё какую галочку поставить, не смог найти.

    Ну вообще спам-фильтры обычно не блокируют сообщения только лишь на основе результата проверки spf, даже если используется политика -all. То есть, в большинстве случаев письмо доставится нормально. Это особенности протокола, который прямо рекомендует такое поведение.

    Потому и советую внедрять dmarc, который имеет более жесткие проверки соответствия. 

    11 октября 2018 г. 5:31
  • Подозреваю, что она у вас отключена.

    Exchange Admin Center -> Protection > spam filter-> default -> edit -> advanced options -> "SPF record: hard fail" (нужно включить ON)


    У меня русский интерфейс, но SPF вроде включена.

         Да, птица стоит, также ещё включите "Условная фильтрация по ИД отправителя". Дополнительные настройки можно найти в Security and Compliance -> Threat management -> Policy-> Anti-spam settings> default spam filter policy.

    Также можно тикет открыть в поддержке и выяснить этот вопрос.

    11 октября 2018 г. 5:35
  • Проверьте скрытые headers в письме.

    Message Header Analyzer

    https://testconnectivity.microsoft.com/

    Надо создавать транспортное правила на дополнительную проверку Header.

    Фильтер эфективен ~95%-97%, но 2-5% при входящих ~800K-1КК-1.5KK сообщений это ~5K-15K сообщений мимо фильтра.

    Дополнительные правила фильтрации созданные руками закрывают еще 1-3%.


    MCITP, MCSE. Regards, Oleg

    11 октября 2018 г. 14:15
  • Егор, а как быть, если хостинг nic.ru не поддерживает dkim запись?
    12 октября 2018 г. 8:36
  • Что значит не поддерживает? DKIM - это технология, а тип используемой dns-записи  - TXT, их поддерживают все.
    12 октября 2018 г. 8:43