停止欺骗自己!禁用M365直接发送功能
还记得Zip驱动器、Winamp、“Office 365"问世以及不理解电子邮件认证的复印机的美好旧时光吗?好吧,也许它们并不那么美好!有一段时间,当我们从本地Exchange迁移到"Office 365” Exchange Online时,我们仍然需要从多功能设备扫描和发送电子邮件,这些设备的邮件传递和认证选项有限。
微软的解决方案是"直接发送",这是一个自动创建的、未经认证的SMTP端点,接受租户所有已接受域的邮件。这可能会出什么问题呢?详情请查看此博客文章:https://www.blackhillsinfosec.com/spoofing-microsoft-365-like-its-1995/
虽然直接发送并不新鲜,但我们最近发现威胁行为者滥用此功能的情况激增,有效地"欺骗"组织内部的某人向组织内部的其他人发送邮件。最近,我们看到威胁行为者声称他们"黑客入侵"了您的账户以访问您的邮箱,而实际上他们只是通过直接发送以您的名义向您发送电子邮件!感谢微软,无需黑客技术!
需要注意的是,虽然直接发送只能用于向租户内的合法收件人发送邮件,但它也可以用于"冒充"租户中不存在的发件人,只要该域被接受即可,例如来自’captainamerica@yourbusiness.com’的邮件(假设"yourbusiness.com"是合法的,并且您没有"美国队长"账户)。
这只是个旁注,但如果威胁行为者发消息告诉您他们"黑客入侵"了您的账户,这通常是个好迹象,表明他们并没有真正"黑客入侵"您的账户!我并不是建议您对任何此类消息和/或指标不予理会,但检查直接发送配置应该是优先响应措施!
直到最近,您还不能直接禁用直接发送。您可以实施入站连接器或制定一些创造性的垃圾邮件检测规则等,但这些配置和测试都不简单,特别是对于您可能根本不使用的"服务"!
所以,我有好消息和坏消息。让我们从坏消息开始……目前没有简单的方法来报告租户中直接发送的使用情况(在撰写本文时,直接发送报告选项"正在进行中")。如果您不确定直接发送是否用于授权的业务操作,您应该进行一些内部审查/讨论,以确定合法用例,并考虑相应地实施连接器:在Exchange Online中使用连接器配置邮件流 | Microsoft Learn
现在是好消息!如果您确信没有直接发送的合法用例,和/或这些用例已被现有连接器覆盖,您现在可以测试一个新的"公共预览"命令来轻松禁用直接发送。与"坏消息"相对的是,由于禁用直接发送的命令很简单,如果需要,您也可以轻松重新启用它。
在对M365租户进行任何更改之前,我非常推崇测试、记录、更改、重新测试和更新文档的做法!
要禁用直接发送,您需要"启用"“拒绝直接发送"功能。清楚吗?是的,抱歉……这不是我的错!首先,您需要通过Exchange Online PowerShell验证到您的租户。一般指南可以在这里找到:https://aka.ms/exov3-module。验证后,您可以运行以下命令:
|
|
设置"拒绝直接发送"为True
由于我们没有得到详细的反馈,您可以使用以下命令检查/确认配置:
|
|
检查"拒绝直接发送"设置
下面,我运行一个非常基本的命令来测试直接发送:
|
|
测试通过直接发送接收邮件
重要提示: 测试有一些注意事项,特别是"您的ISP必须允许出站TCP端口25,并且您的IP不能位于电子邮件阻止列表中”,如果它是住宅提供商,很可能就在阻止列表中!
有关测试直接发送的详细信息和注意事项,您可以重新访问此链接:https://www.blackhillsinfosec.com/spoofing-microsoft-365-like-its-1995/
启用"拒绝直接发送"功能后,如果您重新测试直接发送,您现在应该看到"不允许此组织进行直接发送",如下所示:
确认直接发送被拒绝
现在您知道了,知道就是成功的一半!加油,乔!但严肃地说,直接发送最具挑战性的方面之一是IT和安全人员通常直到"CEO"向"行政助理"发送带有"重要"链接点击的消息时才知道它的存在!所以,感谢阅读,请随意分享。让我们关上这扇特定的门!