- Вопрос или проблема
- Дополнительная информация
- Редактировать:
- Ответ или решение
- Ответ на вопрос о проблемах с почтой и спамом в Office 365
- 1. Как распознать, являются ли сообщения от Postmaster подлинными?
- 2. Как защититься от подделки заголовков и отправки почты от имени вашего домена?
- Дополнительные рекомендации
Вопрос или проблема
Я использую Office 365 для электронной почты с примерно 30 людьми, работающими на 6 доменах.
Я иногда получаю сообщения от “Почтового администратора”, в которых говорится, что электронное письмо было отклонено, хотя оно никогда не отправлялось. Например:
Я предположил, что происходит одно из следующего.
- Кто-то отправлял мне сообщения, притворяясь Почтовым администратором.
- Кто-то отправлял сообщения другим людям с поддельными заголовками, чтобы это выглядело так, как будто они приходят от меня.
Я в основном игнорировал эти сообщения, потому что не думал, что могу что-либо сделать с этими двумя сценариями. Однако я только что добавил новый домен, и теперь количество этих сообщений резко возросло.
Вот мои вопросы:
- Существует ли способ определить, действительно ли эти сообщения от почтового администратора? Если да, смогу ли я полностью заблокировать любые сообщения, не поступающие от легитимного почтового администратора?
- Существует ли какой-либо способ защиты от подделки заголовков, чтобы отправлять электронные письма с одного моего домена?
Дополнительная информация
Я получаю эти подозрительные электронные письма на своей главной учетной записи администратора (назовем это domain1.com). Однако письма приходят так, как будто они были отправлены с нового domain2.com. Обычно отказы от почтового администратора приходят от адреса электронной почты, который отправил их первоначально.
Обычно сообщение об отклонении электронного письма из Office 365 выглядит так:
Что заставляет меня думать, что это фальшивое сообщение. Однако, когда я смотрю на заголовок сообщения подозрительного письма, он выглядит довольно легитимно (хотя я не эксперт). Вот что появляется:
- Посмотрите на заголовки сообщений, чтобы определить, откуда действительно пришло сообщение. Есть “приложение” для анализа заголовков сообщений OWA MessageHeaderAnalyzer, которое, по сути, загружает тот же инструмент с testconnectivity.microsoft.com. ID сообщений от Exchange довольно легко распознать.
- Да!!! Каноничный ответ на Server Fault: Борьба со спамом – Что я могу сделать как: администратор электронной почты, владелец домена или пользователь?
Настройки Office 365 охватывают часть этого. В частности, проводя проверки DNS, чтобы убедиться, что ваши MX и SPF действительны. DKIM также автоматически включен в сервисе, но это не охватывает никакие “другие” почтовые системы для вашего домена.
Редактировать:
Строка 24 в заголовке показывает, как Exchange оценил спам-позицию сообщения.
SFV:SKI
Похож на SFV:SKN, сообщение пропустило фильтрацию по другой причине, такой как внутригрупповая электронная почта внутри арендатора. Это не совпадает с тем, что вы объясняете.
Справочная информация о заголовке антиспама
Существуют ли какие-либо домены, предоставленные в вашем владении?
Это легитимные сообщения. Это стандартное сообщение для уведомлений администраторов, возможна фактическая замена этого текста в ECP. Я получаю довольно много из них ежедневно.
Эта настройка находится в разделе Защита –> Вредоносное ПО –> Настройки –> Настройки администратора
В моем случае я настроил его так, чтобы он уведомлял меня только тогда, когда это обнаруживается от внутреннего отправителя. Однако, когда я получаю эти сообщения, если я проверяю трассировки сообщений, они никогда не отображаются. Это заставляет меня думать, что это происходит внутри Office365, и кто-то пытается отправить от моего домена, и это вызывает это предупреждение. Я еще не на 100% уверен, так как у меня не было времени изучить это подробнее.
Что касается ваших NDR, вы можете включить обратный отклоненный отчет NDR в настройках защиты. Это предотвращает возможность генерации NDR с поддельного адреса и его отправку обратно на ваш адрес.
Ответ или решение
Ответ на вопрос о проблемах с почтой и спамом в Office 365
Вы описали распространённую проблему, с которой сталкиваются многие администраторы почтовых систем, особенно в контексте использования Office 365 и нескольких доменов. Давайте разберёмся с возникшими у вас вопросами.
1. Как распознать, являются ли сообщения от Postmaster подлинными?
Чтобы определить, являются ли сообщения от постмастера подлинными, необходимо внимательно изучить заголовки электронных писем. Это можно сделать с помощью инструмента OWA Message Header Analyzer, который доступен через testconnectivity.microsoft.com.
Посмотрите на следующие ключевые моменты в заголовках сообщений:
- Домен отправителя: Убедитесь, что домен, с которого пришло сообщение, совпадает с ожидаемым (например, postmaster@вашдомен.com).
- ID сообщения: Они должны соответствовать формату и стандартам, используемым Outlook и Exchange.
- Состояние фильтрации: Проверьте вывод о статусе спама (например, SFV:SKI), чтобы понять, каким образом сообщение обрабатывалось серверами Office 365.
Если у вас есть возможность просмотреть настройки уведомлений о спаме в административной панели, вы можете настроить фильтрацию так, чтобы сообщения от неавторизованных отправителей блокировались.
2. Как защититься от подделки заголовков и отправки почты от имени вашего домена?
Для защиты вашего домена от подделки заголовков (spoofing) и уменьшения вероятности получения несанкционированных уведомлений, следует рассмотреть следующие шаги:
-
Настройка SPF (Sender Policy Framework): Убедитесь, что у вас есть корректная SPF-запись в DNS, которая указывает, какие серверы имеют право отправлять электронные письма от имени вашего домена. Это поможет предотвратить отправку писем от имени вашего домена без разрешения.
-
Включение DKIM (DomainKeys Identified Mail): Эта технология позволяет цифровую подпись ваших писем, что позволяет получателю проверять, действительно ли оно было отправлено от вашего домена. Убедитесь, что DKIM включён для всех доменов.
-
Внедрение DMARC (Domain-based Message Authentication, Reporting & Conformance): Это добавит дополнительный уровень защиты, позволяя вам задавать правила по обработке сообщений, которые не проходят проверки SPF или DKIM. Вы сможете установить политику, согласно которой такие сообщения будут либо отклоняться, либо помещаться в «спам».
Дополнительные рекомендации
-
Мониторинг сообщений: Постоянно следите за отчетами и сводками о состоянии доставляемости почты. Это поможет вам выявлять подозрительные активности.
-
Изменение настроек уведомлений: Как упомянули другие участники обсуждения, вы можете настроить уведомления о нежелательной почте. Возможно, стоит сокращать количество уведомлений, поступающих вам по почте, или получать их только в случае реальной угрозы.
-
Обучение сотрудников: Проведите обучение для сотрудников касательно распознавания фишинговых атак и подозрительных писем. Это может значительно снизить вероятность несанкционированных попыток отправки почты от имени вашего домена.
В результате выполнения этих шагов вы сможете значительно повысить уровень безопасности вашего почтового окружения в Office 365 и защититься от нежелательных уведомлений и атак. Если ситуация не улучшится, рекомендуется обратиться к поддержке Microsoft для дальнейшего анализа ситуации.