Методология

Противодействие фишингу и спаму

Содержание

alukash.jpgАлексей Лукаш
osenchenko.jpgОлег Сенченко

С точки зрения результативной безопасности нельзя упускать из виду пользователей корпоративной электронной почты. Их преднамеренные или случайные действия способны нанести значительный вред как инфраструктуре организации, так и операционным процессам. Безопасная настройка почтового сервиса от действий пользователей помогает:

  • предотвращать утечки конфиденциальной информации;
  • снизить риск злоупотребления доступом к почтовым ящикам;
  • бороться с вирусами и вредоносным ПО;
  • сократить количество нежелательных писем;
  • снизить вероятность проникновения хакеров в инфраструктуру в результате фишинговых атак.

Для защиты от фишинга и спама рекомендуется использование сторонних средств защиты, поскольку встроенных возможностей Microsoft Exchange может быть недостаточно.

Однако использование сторонних решений для борьбы с фишингом и спамом не отменяет важности применения встроенных в Microsoft Exchange функций и изменения параметров, в том числе приведенных ниже.

Запрет получения писем через интернет для отдельных групп или пользователей

Запретите получение почты через интернет для:

  • служебных учетных записей;
  • внутренних групп рассылок.

Запрет настраивается в соответствии с инструкцией Microsoft, доступной по ссылке.

Ограничение отправки писем в официальные (важные) группы рассылки

Ограничьте отправку писем в официальные (важные) группы рассылки одним из двух вариантов:

  • укажите список лиц, которые могут отправлять письма в конкретную группу рассылки;
  • включите режим модерации сообщений. В этом режиме все письма сначала приходят группе модераторов и только после ручного одобрения отправляются участникам группы рассылки.

После выбора варианта выполните настройку ограничений в соответствии с инструкцией, доступной по ссылке.

Запрет отправки и получения исполняемых вложений

ВАЖНО! Фильтрация вложений возможна только при наличии роли Edge. В случае если вы не используете эту роль в своей инфраструктуре, вам необходимо настроить фильтрацию исполняемых вложений на стороннем антиспам- и антифишинг-решении или на внешнем почтовом сервере.

В качестве справочника списка расширений, которые нужно блокировать, используйте документацию Microsoft, доступную по ссылке.

Добавление предупреждения о внешнем отправителе входящего письма

Предупреждения о внешнем отправителе входящего письма рекомендуется применять в качестве вспомогательной меры для борьбы с фишингом. Для всех входящих писем настройте добавление текста, предупреждающего о действиях, которые не нужно совершать. Перед настройкой подготовьте уведомление в формате HTML.

В Exchange Admin Center перейдите в раздел Mail flowRules и настройте новое транспортное правило в соответствии с таблицей 1.

Таблица 1. Пример настроек транспортного правила в Exchange Admin Center

ПАРАМЕТРУСЛОВИЕЗНАЧЕНИЕ
Apply this rule ifThis sender is located “Outside organization”Outside organization
AndThe recipient is a member of<Название группы, содержащей всех защищаемых пользователей>. Не используйте это условие, если не требуется выделять группы пользователей
Do the followingPrepend the disclamer… and fall back to action wrap if the disclaimer can’t be inserted

Действие Wrap применяется для тех сообщений, которые отправлены в формате plain text, и к нему не может быть добавлено уведомление в формате HTML.

При необходимости в это же транспортное правило можно добавить исключения для отдельных отправителей или получателей.

Черные списки и фильтрация репутации

На DNS-сервере для используемых вами доменов реализуйте механизмы и стандарты безопасности Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM), а также отчеты об аутентификации сообщений домена (DMARC).

Следующие статьи

Изменение основных параметров Microsoft Exchange
Ограничения для десктопных почтовых клиентов
Настройка почтовых клиентов для мобильных устройств
Рекомендации по использованию веб-приложения Outlook on the web