Détection de l'en-tête P2 FROM non conforme à la RFC dans Exchange Server

Microsoft, Microsoft Exchange ServerUne vulnérabilité qui permet des attaques d'usurpation d'identité contre (CVE-2024-49040) fermé.

Cette vulnérabilité est due à l'implémentation actuelle de la validation d'en-tête effectuée lors du processus de transport. demande actuelle, RFC 5322 Certains qui ne respectent pas la norme P2 DEPUIS Permet de transmettre les informations d'en-tête ; Cela peut amener les clients de messagerie (par exemple Microsoft Outlook) à faire passer un faux expéditeur pour un expéditeur légitime.

Avec la mise à jour de sécurité (SU) de novembre 2024, Exchange Server est désormais capable de détecter et de signaler les messages électroniques contenant des modèles potentiellement malveillants P2 FROM Header.

Comment fonctionne la règle d'en-tête P2 FROM non conforme à la RFC dans Exchange Server ?

premier Exchange Server Vous devez installer la dernière CU/SU disponible dans votre environnement, Pour vérifier les informations de version et les informations de configuration générale de votre environnement Exchange Server Bilan de santé dans Exchange Server Vous pouvez exécuter le script.

Exchange Serverest configuré pour ajouter automatiquement l'alerte suivante au corps du message électronique lorsqu'il détecte un message suspect :

Image 1
Remarque : Cet e-mail semble suspect. Ne faites pas confiance aux informations, liens ou pièces jointes contenus dans cet e-mail sans vérifier la source via une méthode fiable. Pour plus d'informations, voir : https://aka.ms/ProtectYourselfFromPhishing.

Exchange Server, ajoute également un en-tête à tout message électronique détecté par la fonctionnalité P2. Si vous souhaitez agir sur les e-mails détectés par la fonctionnalité, Règle de transport d'échange (ETR) Vous pouvez l'utiliser pour détecter cet en-tête et effectuer une action spécifique.

Dans l'exemple ci-dessous, si l'email contient l'en-tête Exchange Server Il est rejeté par : X-MS-Exchange-P2FromRegexMatch

New-TransportRule -HeaderContainsMessageHeader "X-MS-Exchange-P2FromRegexMatch" -HeaderContainsWords @("True") -RejectMessageReasonText "Message not accepted due to a non-RFC compliant P2 FROM header" -Name "NonCompliantP2FromDetectionRule" -SenderAddressLocation "Header"

Configuration de la règle d'en-tête P2 FROM non conforme à la RFC dans Exchange Server

La fonctionnalité fournie avec la mise à jour de sécurité de novembre d'Exchange Server est activée par défaut pour augmenter la sécurité.

Exchange Serverfonctionnalité dans New-SettingOverride Bien qu'il soit possible de le désactiver à l'aide de la commande, il est fortement recommandé de laisser cette fonctionnalité activée. La désactivation de cette fonctionnalité permet aux acteurs malveillants de mener plus facilement des attaques de phishing contre votre organisation.

Comment désactiver la clause de non-responsabilité de la règle d'en-tête P2 FROM non conforme à la RFC dans Exchange Server

Si Exchange Server répond automatiquement aux messages détectés par l'algorithme. clause de non-responsabilité Si vous ne souhaitez pas l'ajouter, vous pouvez simplement désactiver l'action Disclaimer. Cela permet de gérer ces emails différemment grâce à une ETR (Transport Rule) personnalisée. Vous pouvez désactiver l'action de texte de responsabilité à l'aide des commandes suivantes :

New-SettingOverride -Name "DisableP2FromRegexMatchDisclaimer" -Component "Transport" -Section "NonCompliantSenderSettings" -Parameters @("AddDisclaimerforRegexMatch=false") -Reason "Disabled For Troubleshooting"

Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

Restart-Service -Name MSExchangeTransport

Comment désactiver la règle d'en-tête P2 FROM non conforme à la RFC dans Exchange Server

Avec la version Exchange Server November SU v2, cette fonctionnalité avec paramètres par défaut ajoute un titre spécial (un titre personnalisé) aux messages spécifiés.X-MS-Exchange-P2FromRegexMatch) ajoute. Cependant, vous souhaiterez peut-être désactiver cette insertion de titre. Par exemple, ces changements Mise à jour SUv2024 de novembre 2 d’Exchange Server a été introduit avec. Vous pouvez désactiver l'action d'ajout d'en-têtes personnalisés uniquement à l'aide des commandes suivantes :

New-SettingOverride -Name "DisableP2FromRegexMatchHeader" -Component "Transport" -Section "NonCompliantSenderSettings" -Parameters @("AddP2FromRegexMatchHeader=false") -Reason "Disabled For Troubleshooting"

Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

Restart-Service -Name MSExchangeTransport

Comment désactiver l'en-tête et la clause de non-responsabilité dans P2 FROM non conforme RFC dans Exchange Server

Si vous devez désactiver complètement la fonctionnalité (bien que cela ne soit pas recommandé), vous pouvez désactiver à la fois le texte de responsabilité et l'insertion d'en-tête personnalisé avec les commandes suivantes :

New-SettingOverride -Nom "DisableP2FromRegexMatchDisclaimer" -Composant "Transport" -Section "NonCompliantSenderSettings" -Paramètres @("AddDisclaimerforRegexMatch=false") -Raison "Désactivé pour le dépannage"
New-SettingOverride -Nom "DisableP2FromRegexMatchHeader" -Composant "Transport" -Section "NonCompliantSenderSettings" -Paramètres @("AddP2FromRegexMatchHeader=false") -Raison "Désactivé pour le dépannage"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Actualisation
Redémarrer le service -Nom MSExchangeTransport

Dans cet article Mise à jour de sécurité de novembre d'Exchange Server est entré dans nos vies avec P2 depuis l'en-tête Nous avons parlé de la règle.

Exchange ServerVous pouvez suivre les liens ci-dessous pour d’autres articles sur ;


Benzer Yazilar – Exchange Server'da RFC Uyumlu Olmayan P2 FROM Header Tespiti

“Exchange Server’da RFC Uyumlu Olmayan P2 FROM Header Tespiti” üzerine 2 yorum

Commenter