Boa ideia? Recusar e-mails recebidos com o nosso próprio domínio finalizado? (porque eles devem ser falsos)

Tenho uma pergunta sobre o Exchange Server: Você acha uma boa idéia recusar emails externos recebidos que tenham nosso próprio domínio no final?

Como e-mail externo de fake@example.com?

Porque se fosse de um remetente real em nossa empresa, o email nunca viria de fora?

Se sim, qual é a melhor maneira de fazer isso?

Sim, se você souber que o email do seu domínio deve vir apenas de seu próprio servidor, deverá bloquear qualquer email desse domínio originário de um servidor diferente. Mesmo se o cliente de e-mail do remetente estiver em outro host, ele deverá estar conectado ao seu servidor (ou a qualquer servidor de e-mail que você use) para enviar e-mail.

Dando um passo adiante, você pode configurar seu servidor para verificar os registros SPF. Este é o número de hosts que impedem esse tipo de atividade de email. Os registros SPF são um registro DNS, um registro TXT, que fornece regras sobre quais servidores têm permissão para enviar email para o seu domínio. Como habilitar a verificação de registros SPF dependeria do seu serviço de e-mail e estaria além do escopo do que abordar aqui. Felizmente, a maioria dos ambientes e softwares de hospedagem possui documentação para trabalhar com registros SPF. Você pode querer aprender mais sobre o SPF em geral. Aqui está o artigo da Wikipedia: https://en.wikipedia.org/wiki/Sender_Policy_Framework

Já existe um padrão para fazer isso. Chama-se DMARC . Você o implementa com assinatura DKIM (que é uma boa idéia para implementar de qualquer maneira).

A visão geral de alto nível é que você assina todos os emails que deixam seu domínio com um cabeçalho DKIM (que é uma boa prática de qualquer maneira). Em seguida, você configura o DMARC para rejeitar todos os emails que atingem seu servidor de email, de um domínio que você possui, que não é assinado com um cabeçalho DKIM válido.

Isso significa que você ainda pode fazer com que serviços externos entreguem e-mails para o seu domínio (como software hospedado de helpdesk, etc.), mas pode bloquear tentativas de spear phishing.

A outra grande coisa sobre o DMARC é que você recebe os relatórios de falhas para poder gerenciar o tratamento de exceções, conforme necessário.

O lado negativo é que você precisa ter certeza de que tudo está resolvido com antecedência, ou pode começar a soltar e-mails legítimos.

Esse bloqueio provavelmente reduzirá o spam e possivelmente tornará a engenharia social mais difícil, mas também poderá bloquear emails legítimos. Exemplos incluem serviços de encaminhamento de email, listas de email, usuários com clientes de email configurados incorretamente, aplicativos da Web que enviam email diretamente do host da Web sem envolver o servidor de email principal e assim por diante.

O Dkim pode atenuar isso, até certo ponto, fornecendo uma maneira de identificar uma mensagem que foi enviada da sua rede, em loop por meio de uma lista de endereços ou encaminhador e, em seguida, foi recebida pelo seu correio, mas não é uma solução perfeita, algumas listas de endereços quebram as assinaturas do dkim e você ainda tem o problema de rastrear todos os pontos de origem legítimos de email e garantir que eles passem por um assinante dkim.

Pise com cuidado, especialmente se estiver implementando isso em um domínio existente.

Talvez, mas há alguns casos que você precisa considerar antes de fazer essa alteração.

1) Alguém na sua empresa usa algum tipo de serviço externo (por exemplo, Survey Monkey, Constant Contact etc.) para enviar e-mails que parecem ser "do" seu domínio? Mesmo que não o façam hoje, poderão fazê-lo no futuro?

2) Existem endereços externos encaminhados aos seus usuários? Por exemplo, suponha que a conta do gmail "minhaempresa.sales@gmail.com" encaminhe para "vendas@minhaempresa.com" e seu usuário "bob@minhaempresa.com" envie para "minhaempresa.sales@gmail.com". Nesse caso, a mensagem chegará de "fora", mas com um endereço "@ mycompany.com" De:.

3) Algum de seus usuários está inscrito em listas de distribuição externas que preservam o endereço "De:" original nas mensagens da lista? Por exemplo, se Bob se inscrever em "foo-list@lists.apple.com" e enviar uma mensagem, ele receberá uma mensagem de entrada parecida com: De: bob@mycompany.com Para: foo-list@lists.apple. Remetente:

Se o servidor examinar ingenuamente o cabeçalho "De:" (em vez de "Remetente:"), ele poderá rejeitar esta mensagem porque você a está recebendo de fora.

Por tudo isso, ter uma política geral de "... de um remetente real em nossa empresa, o e-mail nunca viria de fora" nem sempre é viável.

Você pode fazer isso no PowerShell, atualizando as permissões do conector de recebimento para excluir usuários anônimos do envio como remetente de domínio autoritativo:

Get-ReceiveConnector <identity> | Remove-AdPermission -User "NT AUTHORITY\Anonymous Logon" -ExtendedRights ms-Exch-SMTP-Accept-Authoritative-DomainSender

No entanto, o problema surge quando você possui servidores de aplicativos remotos que precisam enviar e-mails de status para você, pois eles geralmente usam seu nome de domínio no endereço De. É possível criar um conector de recebimento adicional para seus endereços IP específicos, para que você não os exclua inadvertidamente.

O GMail possui uma configuração na qual permite enviar emails com um domínio que não seja do GMail, desde que o endereço de email seja verificado pela primeira vez. Sua decisão bloquearia esses e-mails.

Se você tem ou não usuários que podem usar esse recurso do GMail e se faz sentido atender a eles, depende muito do comportamento da sua empresa.

O SPF não resolverá isso, pois o envelope pode ter um passe SPF adequado (por exemplo, remetentes de spam usando um servidor comprometido) enquanto forja o email dentro do envelope. O que você precisa é de um bloqueio na sua mensagem de email de domínio que tenha um servidor de email de origem no envelope não aceitável para você.