Ý tưởng tốt? Từ chối email đến với tên miền riêng của chúng tôi kết thúc? (vì chúng phải là giả)

Tôi có một câu hỏi về Exchange Server của chúng tôi: Bạn có nghĩ nên từ chối các email bên ngoài có tên miền riêng của chúng tôi ở cuối không?

Giống như email bên ngoài từ fake@example.comđâu?

Bởi vì nếu đó là từ một người gửi thực sự trong công ty của chúng tôi, email sẽ không bao giờ đến từ bên ngoài?

Nếu có, cách tốt nhất để làm điều này là gì?

Có, nếu bạn biết rằng email cho tên miền của bạn chỉ nên đến từ máy chủ của riêng bạn, thì bạn nên chặn bất kỳ email nào cho tên miền đó có nguồn gốc từ một máy chủ khác. Ngay cả khi ứng dụng email của người gửi ở trên một máy chủ khác, họ vẫn nên đăng nhập vào máy chủ của bạn (hoặc bất kỳ máy chủ email nào bạn sử dụng) để gửi email.

Tiến thêm một bước nữa, bạn có thể định cấu hình máy chủ của mình để kiểm tra các bản ghi SPF. Đây là cách nhiều máy chủ ngăn chặn loại hoạt động email đó. Bản ghi SPF là bản ghi DNS, bản ghi TXT, cung cấp các quy tắc về máy chủ nào được phép gửi email cho miền của bạn. Cách bật kiểm tra bản ghi SPF sẽ phụ thuộc vào dịch vụ email của bạn và sẽ vượt ra ngoài phạm vi của những gì cần đề cập ở đây. May mắn thay, hầu hết các môi trường và phần mềm lưu trữ sẽ có tài liệu để làm việc với các bản ghi SPF. Bạn có thể muốn tìm hiểu thêm về SPF nói chung. Đây là bài viết Wikipedia: https://en.wikipedia.org/wiki/Sender_Policy_Framework

Có một tiêu chuẩn để làm điều này đã. Nó được gọi là DMARC . Bạn thực hiện nó với ký DKIM (dù sao đó cũng là một ý tưởng tốt để thực hiện).

Tổng quan ở cấp độ cao là bạn ký mỗi email rời khỏi tên miền của bạn bằng tiêu đề DKIM (dù sao đó cũng là một cách làm tốt). Sau đó, bạn định cấu hình DMARC để từ chối mọi email truy cập máy chủ thư của bạn, từ tên miền bạn sở hữu, không được ký với tiêu đề DKIM hợp lệ.

Điều này có nghĩa là bạn vẫn có thể có các dịch vụ bên ngoài gửi email đến tên miền của bạn (như phần mềm trợ giúp được lưu trữ, v.v.), nhưng có thể chặn các nỗ lực lừa đảo giáo.

Một điều tuyệt vời khác về DMARC là bạn nhận được các báo cáo lỗi được gửi, do đó bạn có thể quản lý xử lý ngoại lệ theo yêu cầu.

Mặt trái là bạn cần chắc chắn rằng bạn đã sắp xếp mọi thứ kỹ lưỡng trước đó hoặc bạn có thể bắt đầu bỏ các email hợp pháp.

Một khối như vậy có khả năng làm giảm thư rác và có thể làm cho kỹ thuật xã hội trở nên khó khăn hơn nhưng nó cũng có thể chặn thư hợp pháp. Ví dụ bao gồm dịch vụ chuyển tiếp thư, danh sách gửi thư, người dùng có ứng dụng thư được định cấu hình sai, ứng dụng web gửi thư trực tiếp từ webhost mà không liên quan đến máy chủ chính của bạn và v.v.

Dkim có thể giảm thiểu điều này đến một mức độ nào đó bằng cách cung cấp một cách để xác định thư được gửi từ mạng của bạn, được lặp qua danh sách gửi thư hoặc chuyển tiếp và sau đó được nhận tại thư của bạn nhưng đó không phải là cách chữa hoàn hảo, một số danh sách gửi thư sẽ phá vỡ chữ ký của dkim và bạn vẫn có vấn đề theo dõi tất cả các điểm khởi tạo thư hợp pháp và đảm bảo rằng họ đi qua người ký dkim.

Bước đi cẩn thận, đặc biệt nếu thực hiện điều này trên một tên miền hiện có.

Có thể, nhưng có một số trường hợp bạn cần xem xét trước khi bạn thực hiện một thay đổi như vậy.

1) Có ai trong công ty của bạn sử dụng bất kỳ loại dịch vụ bên ngoài nào không (ví dụ Survey Monkey, Constant Contact, v.v.) để gửi email có vẻ là "từ" tên miền của bạn? Ngay cả khi họ không làm điều đó hôm nay, họ có thể làm điều đó trong tương lai không?

2) Có địa chỉ bên ngoài nào chuyển tiếp đến người dùng của bạn không? Ví dụ: giả sử tài khoản gmail "mycompany.sales @ gmail" chuyển tiếp đến "sales@mycompany.com" và người dùng của bạn "bob@mycompany.com" gửi đến "mycompany.sales @ gmail". Trong trường hợp đó, tin nhắn sẽ đến từ "bên ngoài", nhưng với địa chỉ "@ mycompany.com" từ :.

3) Có bất kỳ người dùng nào của bạn đăng ký vào danh sách phân phối bên ngoài giữ địa chỉ "Từ:" ban đầu trên các tin nhắn vào danh sách không? Ví dụ: nếu Bob đăng ký "foo-list@lists.apple.com" và gửi tin nhắn, anh ta sẽ nhận được một tin nhắn gửi đến trông giống như: Từ: bob@mycompany.com Tới: foo-list@lists.apple. com Người gửi:

Nếu máy chủ của bạn ngây thơ nhìn vào tiêu đề "Từ:" (thay vì "Người gửi:"), nó có thể từ chối thông báo này vì bạn đang nhận được từ bên ngoài.

Bởi vì tất cả những điều trên, có chính sách "... từ một người gửi thực sự trong công ty chúng tôi, email sẽ không bao giờ đến từ bên ngoài" không phải lúc nào cũng khả thi.

Bạn có thể thực hiện việc này trong PowerShell bằng cách cập nhật quyền Nhận Trình kết nối để loại trừ người dùng ẩn danh gửi dưới dạng người gửi tên miền có thẩm quyền:

Get-ReceiveConnector <identity> | Remove-AdPermission -User "NT AUTHORITY\Anonymous Logon" -ExtendedRights ms-Exch-SMTP-Accept-Authoritative-DomainSender

Tuy nhiên, vấn đề phát sinh khi bạn có các máy chủ ứng dụng từ xa cần gửi email trạng thái cho bạn, vì chúng thường sử dụng tên miền của bạn trong địa chỉ Từ của họ. Có thể tạo Trình kết nối nhận bổ sung cho các địa chỉ IP cụ thể của họ để bạn không vô tình loại trừ chúng.

GMail có cài đặt cho phép bạn gửi email với tên miền không phải là Gmail được cung cấp địa chỉ email được xác minh đầu tiên. Quyết định của bạn sẽ chặn những email đó.

Việc bạn có người dùng có thể sử dụng tính năng GMail này hay không và việc sử dụng chúng có hợp lý hay không phụ thuộc rất nhiều vào hành vi trong công ty của bạn.

SPF sẽ không chữa được điều này vì phong bì có thể có một đường chuyền SPF thích hợp (tức là những kẻ gửi thư rác sử dụng máy chủ bị xâm nhập) trong khi họ sẽ giả mạo email bên trong phong bì. Những gì bạn cần là một khối trên thông điệp email tên miền của riêng bạn có một máy chủ email có nguồn gốc trên phong bì không được bạn chấp nhận.