Erkennung eines nicht RFC-kompatiblen P2-FROM-Headers in Exchange Server

Microsoft, Microsoft Exchange ServerEine Sicherheitslücke, die Spoofing-Angriffe gegen (CVE-2024-49040) geschlossen.

Diese Sicherheitslücke ist auf die aktuelle Implementierung der Header-Validierung zurückzuführen, die während des Transportprozesses durchgeführt wird. aktuelle Bewerbung, RFC 5322 einige entsprechen nicht der Norm P2 VON Ermöglicht die Übergabe von Header-Informationen; Dies kann dazu führen, dass E-Mail-Clients (z. B. Microsoft Outlook) einen gefälschten Absender als legitimen Absender ausgeben.

Mit dem Sicherheitsupdate (SU) vom November 2024 ist Exchange Server nun in der Lage, E-Mail-Nachrichten mit potenziell schädlichen P2-FROM-Header-Mustern zu erkennen und zu kennzeichnen.

Wie funktioniert die nicht RFC-kompatible P2-FROM-Header-Regel in Exchange Server?

Es ist eine sehr effektive Methode nicht nur bei Exchange Server Sie müssen die neueste verfügbare CU/SU in Ihrer Umgebung installieren. Um die Versionsinformationen und allgemeinen Konfigurationsinformationen Ihrer Exchange Server-Umgebung zu überprüfen Gesundheitsprüfung im Exchange Server Sie können das Skript ausführen.

Exchange Serverist so konfiguriert, dass automatisch die folgende Warnung zum Text der E-Mail-Nachricht hinzugefügt wird, wenn eine verdächtige Nachricht erkannt wird:

1 Bild
Hinweis: Diese E-Mail scheint verdächtig zu sein. Vertrauen Sie den Informationen, Links oder Anhängen in dieser E-Mail nicht, ohne die Quelle durch eine vertrauenswürdige Methode zu überprüfen. Weitere Informationen finden Sie unter: https://aka.ms/ProtectYourselfFromPhishing.

Exchange Server, fügt außerdem jeder E-Mail-Nachricht, die von der P2-Funktion erkannt wird, einen Header hinzu. Wenn Sie eine Aktion bezüglich der von der Funktion erkannten E-Mails durchführen möchten, Exchange Transport Rule (ETR) Sie können damit diesen Header erkennen und eine bestimmte Aktion ausführen.

Im Beispiel unten, wenn die E-Mail den Header enthält Exchange Server Es wird abgelehnt von: X-MS-Exchange-P2FromRegexMatch

New-TransportRule -HeaderContainsMessageHeader "X-MS-Exchange-P2FromRegexMatch" -HeaderContainsWords @("True") -RejectMessageReasonText "Message not accepted due to a non-RFC compliant P2 FROM header" -Name "NonCompliantP2FromDetectionRule" -SenderAddressLocation "Header"

Konfigurieren der nicht RFC-kompatiblen P2-FROM-Header-Regel in Exchange Server

Die mit dem November-Sicherheitsupdate für Exchange Server gelieferte Funktion ist zur Erhöhung der Sicherheit standardmäßig aktiviert.

Exchange ServerFunktion in New-SettingOverride Obwohl es möglich ist, es mit dem Befehl zu deaktivieren, wird dringend empfohlen, diese Funktion aktiviert zu lassen. Durch die Deaktivierung der Funktion können böswillige Akteure leichter Phishing-Angriffe gegen Ihr Unternehmen durchführen.

So deaktivieren Sie den Haftungsausschluss für nicht RFC-kompatible P2-FROM-Header-Regeln in Exchange Server

Wenn Exchange Server automatisch auf vom Algorithmus erkannte Nachrichten antwortet. Haftungsausschluss Wenn Sie nicht möchten, dass es hinzugefügt wird, können Sie einfach die Aktion „Haftungsausschluss“ deaktivieren. Dadurch können Sie diese E-Mails mithilfe einer benutzerdefinierten ETR (Transport Rule) auf andere Weise verwalten. Sie können die Verantwortungstextaktion mit den folgenden Befehlen deaktivieren:

New-SettingOverride -Name "DisableP2FromRegexMatchDisclaimer" -Component "Transport" -Section "NonCompliantSenderSettings" -Parameters @("AddDisclaimerforRegexMatch=false") -Reason "Disabled For Troubleshooting"

Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

Restart-Service -Name MSExchangeTransport

So deaktivieren Sie die nicht RFC-kompatible P2-FROM-Header-Regel in Exchange Server

Mit der Exchange Server November SU v2-Version fügt diese Funktion mit Standardeinstellungen bestimmten Nachrichten einen speziellen Titel (einen benutzerdefinierten Titel) hinzu.X-MS-Exchange-P2FromRegexMatch) fügt hinzu. Möglicherweise möchten Sie diesen Titelzusatz jedoch deaktivieren. Zum Beispiel diese Änderungen Exchange Server November 2024 SUv2-Update wurde mit eingeführt. Sie können das Hinzufügen benutzerdefinierter Header nur mit den folgenden Befehlen deaktivieren:

New-SettingOverride -Name "DisableP2FromRegexMatchHeader" -Component "Transport" -Section "NonCompliantSenderSettings" -Parameters @("AddP2FromRegexMatchHeader=false") -Reason "Disabled For Troubleshooting"

Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

Restart-Service -Name MSExchangeTransport

So deaktivieren Sie Header und Haftungsausschluss in nicht RFC-kompatiblem P2 FROM in Exchange Server

Wenn Sie die Funktion vollständig deaktivieren müssen (obwohl dies nicht empfohlen wird), können Sie sowohl den Zuständigkeitstext als auch das Einfügen benutzerdefinierter Titel mit den folgenden Befehlen deaktivieren:

New-SettingOverride -Name "DisableP2FromRegexMatchDisclaimer" -Component "Transport" -Section "NonCompliantSenderSettings" -Parameters @("AddDisclaimerforRegexMatch=false") -Reason "Deaktiviert zur Fehlerbehebung"
New-SettingOverride -Name "DisableP2FromRegexMatchHeader" -Component "Transport" -Section "NonCompliantSenderSettings" -Parameters @("AddP2FromRegexMatchHeader=false") -Reason "Deaktiviert zur Fehlerbehebung"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name MSExchangeTransport

In diesem Artikel November-Sicherheitsupdate für Exchange Server trat mit in unser Leben P2 Von Header Wir haben über die Regel gesprochen.

Exchange ServerSie können den Links unten folgen, um weitere Artikel zu folgenden Themen zu erhalten:


Benzer Yazilar – Exchange Server'da RFC Uyumlu Olmayan P2 FROM Header Tespiti

“Exchange Server’da RFC Uyumlu Olmayan P2 FROM Header Tespiti” üzerine 2 yorum

Kommentar