EN
- Ochrona poczty elektronicznej a ataki typu ‘phishing’
W codziennej pracy spotykamy się z różnymi typami ataków wykorzystujących usługę poczty elektronicznej. Jednym z najczęściej spotykanych jest podszywanie się, bardzo często mające na celu wyłudzenie wrażliwych informacji lub przekonanie użytkownika końcowego do wykonania pewnej czynności mogącej prowadzić do wycieku informacji.
Bez względu na stosowane sposoby ochrony, najsłabszym ogniwem pozostaje tu użytkownik końcowy, którego – oprócz regularnie powtarzanych akcji uświadamiających – możemy wspomóc dodatkową informacją w sytuacji, gdy otrzymywana przez niego wiadomość pochodzi spoza firmowej organizacji pocztowej.
- Metoda nr 1 – reguła transportowa
Najpowszechniej stosowanym rozwiązaniem dla rozróżnienia wiadomości pochodzących z zewnątrz organizacji jest utworzenie reguły transportowej, dodającej np. w temacie wiadomości i/lub na samej górze treści wiadomości informacji/ostrzeżenia o tym, że dana wiadomość pochodzi spoza organizacji pocztowej. W ten sposób jesteśmy w stanie poinformować wszystkich naszych użytkowników o tym, że wiadomość pochodzi z zewnątrz (nawet jeśli z wyświetlającego się adresu, przy podszywaniu się nadawcy, wynikałoby inaczej) oraz ostrzec użytkowników przed wysyłaniem pod ten adres wrażliwych informacji.
Choć istnieje oczywiście odpowiednie polecenie PowerShell, ze względu na mnogość opcji utworzenie reguły transportowej wygodniej tworzy się przy pomocy konsoli administracyjnej (https://admin.exchange.microsoft.com/#/transportrules).
W tym celu należy wybrać opcję ‘+ Add a rule’, a następnie ‘Create a new rule’:
Następnie, w ramach ustalania warunków reguły, należy ustawić:
- Nazwę reguły, która będzie identyfikowała ją w jednoznaczny sposób
- Jako warunek – aplikowanie reguły dla wiadomości pochodzących z zewnątrz organizacji
Jako akcję – dodanie prefixu ‘[ZEWNETRZNA]’ do tematu wiadomości oraz przykładowego tekstu sformatowanego jako html („<p style=”color:red”>Wiadomość pochodzi z zewnątrz organizacji. Zachowaj ostrożność i nie wysyłaj wrażliwych informacji na adres nadawcy.</p>”)
W ramach kroku ‘Set rule settings’ nie ma potrzeby zmiany czegokolwiek (alternatywnie można np. dopisać komentarz opisujący regułę bardziej szczegółowo).
W ostatnim kroku należy przejrzeć ustawienia tworzonej reguły i potwierdzić jej utworzenie:
Po utworzeniu reguły należy pamiętać o jej włączeniu (domyślnie utworzona reguła jest wyłączona). Aby tego dokonać zaznaczając regułę i zmieniając status przełącznika ‘Enable or disable rule’:
Po włączeniu reguła działa natychmiastowo – zewnętrzne wiadomości oznaczane są w sposób zdefiniowany w ramach reguły:
- Metoda nr 2 – globalne ustawienie ‘External in Outlook’
Mniej znaną metodą informowania użytkowników o wiadomościach pochodzących z zewnątrz organizacji jest zastosowanie wbudowanej funkcjonalności zwanej ‘External in Outlook’. Funkcjonalność ta dostępna jest jedynie w Exchange Online, jest domyślnie wyłączona oraz, gdy zostaje włączona, obejmuje wszystkich użytkowników w organizacji.
Włączenie funkcjonalności ‘External in Outlook’ skutkuje tym, że wszystkie pochodzące z zewnątrz zostają oznaczone jako Zewnętrzne w klientach poczty – Outlook, Outlook on the web oraz mobilnym Outlooku. W efekcie na liście wiadomości obok nazwy nadawcy wyświetlana jest etykieta ‘Zewnętrzne’, a w ramach samej wiadomości wyświetla się mail tip, wyjaśniający, że nadawca wiadomości pochodzi spoza organizacji pocztowej danego użytkownika.
Co prawda nie ma możliwości wpływania na treść etykiety i treści ostrzeżenia mail tip, ale zarówno etykieta, jak i mail tip wyświetlają się w języku skonfigurowanym jako język skrzynki użytkownika, co może być istotne dla wielonarodowych organizacji.
W celu włączenia funkcjonalności należy wykonać połączenie konsolą PowerShell do Exchange Online. Domyślnie funkcjonalność jest wyłączona, co można potwierdzić używając polecenie ‘get-ExternalInOutlook’:
Przy użyciu polecenia ‘set-ExternalInOutlook’ funkcjonalność może zostać włączona, jak pokazano poniżej:
Po użyciu polecenia może minąć kilka godzin, zanim funkcjonalność zacznie działać, nie należy więc być zaskoczonym, jeśli nie będzie ona działała od razu.
Oto jak zewnętrzne wiadomości wyświetlają się w desktopowej wersji Outlooka:
Oraz w wersji webowej (gdzie dodatkowo mail tip zawiera link umożliwiający zablokowanie nadawcy):
Jeśli posiadamy zewnętrznych współpracowników lub partnerskie zaufane firmy, indywidualne adresy lub całe domeny mailowe mogą dodatkowo zostać dodane do atrybutu ‘AllowList’ funkcjonalności External in Outlook. W rezultacie, wiadomości pochodzące od tych nadawców i domen mailowych nie będą oznaczone jako zewnętrzne, co może być przydatne w niektórych scenariuszach wdrożenia tej funkcjonalności:
- Podobieństwa/różnice, plusy i minusy
Wymienione wyżej metody są różne i chociaż technicznie nic nie stoi na przeszkodzie, raczej nie powinny być stosowane jednocześnie, aby nie multiplikować informacji o zewnętrznym pochodzeniu wiadomości.
Reguła transportowa wydaje się być bardziej elastyczna – nie tylko możemy (poprzez dodatkowy warunek) decydować, którzy z naszych użytkowników są objęci taką regułą, to dodatkowo mamy wpływ na jej treść i umiejscowienie tej treści. Minusem niewątpliwie jest
fakt, że wszelkie słowa dodane do tematu lub treści wiadomości pozostają w tej wiadomości, gdy użytkownik będzie na taką wiadomość odpisywał (chyba, że będą one usuwane przez inną dedykowaną regułę transportową dla wiadomości wychodzących na zewnątrz). Dla organizacji wielonarodowych minusem może być fakt, że dedykowana reguła transportowa musiałaby zostać przygotowana dla każdej grupy językowej, co potencjalnie komplikuje rozwiązanie.
Z drugiej strony, funkcjonalność ‘External in Outlook’ jest prosta (wystarczy zwykłe włączenie), ale jak to zazwyczaj bywa z prostotą przychodzi mniejsza elastyczność. Niewątpliwym plusem jest uzależnienie wyświetlanych etykiet w klientach poczty od skonfigurowanego języka skrzynki pocztowej.