Exchange Online Sicherheitsfunktionen in O365
21. Türchen
Gestern habe ich das Exchangen Admin Center bereits angedeutet, als es um die Mailbox Migration ging. (Ab) heute schauen wir uns in diesem Admin Center genauer um. Es gibt eine Reihe Funktionen, mit denen wir unseren Exchange Online konfigurieren können. Wir können nicht alle in diesem Adventskalender-Rahmen besprechen, daher möchte ich mich auf die meiner Meinung nach wichtigsten konzentrieren – Heute: Exchange Sicherheitsfunktionen.
Mit diesen Funktionen kann ich mein Unternehmen und die Nutzer davor schützen, dass Spam, Phishing und Malware (Schadsoftware) von außen nach innen gelangt. In der umgekehrten Richtung kann ich aber auch dafür sorgen, dass nicht mein Exchange Server gehackt und missbraucht wird und nun solche Dinge von innen nach außen geraten. Besonderen Fokus legen wir also auf die Malware und Spam Filter.
Malware Filter:
Mit diesem Filter kann Exchange Online für Schadsoftware sensibilisiert werden, die meist in Email-Anhängen zu finden sind. Dafür stehen uns einige Option zur Verfügung, die wir uns nun anschauen.
Nachdem wir von der Übersichtsseite direkt in die Mailware Filterregeln gelangt sind, können wir dort über das „+“ Zeichen eine neue Regel hinzufügen, der wir als erstes einen eindeutigen Namen vergeben. Anschließend können wir entscheiden, was bei einem Fund getan werden soll. Also ob die komplette Email gelöscht wird oder nur die Anhänge und der Benutzer im letzteren Fall mit einer Standard- oder einer angepassten Notiz darüber informiert wird.
Weiterhin können wir festlegten, bei welchen Dateitypen die Regel zutrifft. Standardmäßig sind dafür schon die wichtigsten Formate hinterlegt, wie Skripte oder EXE-Dateien. Ich kann diese Liste aber auch mit eigenen Definitionen erweitern.
Der Benachrichtigungsteil im Malware Filter ist sehr umfangreich. Hierbei geht es um die Versender solcher Email, deren Dateianhänge als Malware eingestuft werden. Dafür kann ich gezielt Absender-Name und Email-Adresse sowie Betreff und Inhalt definieren. Dies ist natürlich wichtig, damit ich bei solchen Antworten nicht zu viel preisgebe, sollte es sich wirklich um eine Viren- oder Phishing Attacke handeln.
Neben angepassten Einstellungen sowohl für interne als auch für externe Versender fragwürdiger Emailanhänge, so kann ich mich ebenso als Administrator zusätzlich darüber informieren lassen, um das Auslösen dieser Richtlinie zu überwachen. Gegebenenfalls kann ich also einschreiten und interne Nutzer besser über das Versenden solcher Dateianhänge informieren oder bei Externen Angriffen eventuell meine Einstellungen noch weiter verfeinern und verstärken.
Und dies ist fast schon ein Stichwort für die letzte Konfiguration, denn ich kann Richtlinien auch ganz bestimmten Personen zuordnen. So wende ich beispielsweise auf externe Mitarbeiter strengere Richtlinien an, als auf die Internen. Oder aber ich habe einen Verdacht gegen einen bestimmten Kollegen und kann diesen so auch genauer unter die Lupe nehmen, um Schaden von der Firma abzuwenden.
Am Ende nicht vergessen abzuspeichern und gegebenenfalls die Rangordnung, der verschiedenen Regeln anpassen.
Testen können wir die Malware (Schadsoftware) Filter mit einer EICAR.TXT Datei. Dies ist eine normale Textdatei, die aber aufgrund ihrer Zeichenfolge als Schadsoftware identifiziert wird. Somit erstellen wir uns eine Text-Datei und nennen sie EICAR.TXT. In die Datei kopieren wir uns folgende Zeichenfolge:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Achtung, auch normale Antivirenprogramme auf eurem Rechner oder in Outlook erkennen so eine Datei als Virus, daher stellt sicher, dass ihr die Datei in einem sicheren bzw. vom Virenprogramm ausgeschlossenen Verzeichnis erstellen. Ich habe es ehrlich gesagt nicht hinbekommen, diese Textdatei zu versenden, weil mindestens Outlook diese Datei nicht zugelassen hat. Ihr müsst also im Unternehmen spezielle Nutzer komplett ausschließen, um solche Regeln testen zu können.
Spam Filter:
Neben dem Malware Filter, der auf Schadprogramme abzielt, kann ich mit dem Spam Filter den Inhalt von Emails auf Werbung, Phishing oder ähnliches überwachen. Dafür ist auch etwas mehr Fingerspitzengefühl gefragt, damit wichtige Emails eben auch ankommen und nicht fälschlicher Weise als Spam markiert werden.
Interessant ist dabei bereits – nachdem wir auch der Spam Filter Regel einen aussagekräftigen Namen gegeben haben – dass wir zwei verschiedene Stufen haben, mit welcher Wahrscheinlichkeit eine Email wahrscheinlich oder nur vermutlich Spam ist. Auf dem Screenshot sehen wir dazu, was möglich ist.
Ich würde folgendes Fingerspitzengefühl empfehlen: Wenn es sich „vermutlich“ um eine Spam Mail handelt, dass diese zwar ausgeliefert, aber im Titel mit einem Prefix versehen wird, um den Empfänger entsprechend zu sensibilisieren. Nur wenn es sich sehr sicher um Spam handelt, dann verschiebe es in den – von Endbenutzern selten beachteten – Junk-Mail Ordner. So stelle ich sicher, dass es keine unnötigen Falschmeldungen gibt und meine Nutzer keine großen Einschränkungen erfahren. Weitere mögliche Aktionen sind folgende:
Zusätzlich zum Algorithmus für die Identifikation von Spam kann man auch ganz dedizierte Absender und Domains in eine „Schwarzen Liste“, aber auch in eine „Weißen Liste“ hinzufügen. Ich denke, es ist klar, was eine Black – und White List ist, daher können wir uns hier weitere Details sparen.
Ganz spannend finde ich aber noch die „Internationalen Spam“ Einstellungen. Hier kann ich gezielte Sprachen und Länder auswählen, denen man hohen Spam Verkehr unterstellt und somit Emails aus diesen Gegenden oder mit dieser Sprache ähnlich mit hoher Wahrscheinlichkeit als Spam einstuft.
Aber es geht auch noch detaillierter! Um das Ranking und die Wahrscheinlichkeit von Spam-Identifikationen zu präzisieren, können wir sogar auf ganz bestimmte Eigenschaften filtern, wie verlinkte Bilder zu einer anderen Quelle, Redirect-URLs, JavaScripte, eingebettet iFrames und und und… Die Liste ist sehr umfangreich und schön finde ich auch, dass ich manche Filter auch nur zum Testen einstellen kann.
Werden also Eigenschaften gefunden, die ich nur testen möchte, dann soll die Mail erst mal noch kein Spam sein, sondern ich kann konfigurieren, ob nur ein Standard-Kopfzeilen-Text mit eingefügt wird oder ein Administrator eine Blindkopie-Email (Bcc) erhält.
Genauso wie bei den Malware Filtern kann ich auch hier wieder gezielt Personen, Domains oder Gruppen definieren, auf die unsere Spam Filter Richtlinie angewendet werden soll. Abspeichern und fertig!
Das ist schon wirklich sehr umfangreich und einfach zu konfigurieren, damit wir schnell und sicher per Exchange Online kommunizieren können. Um das Ganze zu testen, ob die Richtlinien wirklich funktionieren, so können wir uns einfach eine Email mit folgendem Text ohne Leerzeichen und Zeilenumbrüche zusenden:
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X
So eine GTUBE-Nachricht funktioniert wie eine EICAR.TXT Nachricht, die Schadsoftware simuliert.
Der Vollständigkeit halber noch kurz die anderen Sicherheitsfunktionen.
Connection Filter:
Hier kann man erlaubte und nicht erlaubte IP Adressen und IP-Adressräume angeben, von denen Emails akzeptiert oder geblockt werden.
Outbound Spam:
Hier kann nur die „Default“ Richtlinie angepasst werden. Es geht im Prinzip nur darum, dass auch die gesendeten Emails von O365 geprüft werden, ob sie spam-verdächtig sind. Eine Email kann dann an entsprechende Administratoren gesendet werden, um zu überprüfen, ob der Unternehmens-Exchange nicht für Spamming gehackt wurde – oder Mitarbeiter Spam in eigener Sache verschicken.
Quarantine:
Hier werden Email-Fälle aufgelistet, die im Spam Filter als Spam identifiziert wurden. Von hier kann man auch Emails wieder frei geben, wenn sie fälschlicher Weise als Spam identifiziert wurden.
Action Center:
Hier sehen wie alle Accounts, die aktuell von den Exchange Sicherheitsrichtlinien betroffen sind, also bei denen beispielsweise in den Emails Malware gefunden wurde. Dieser Bereich ist noch relativ neu und es gibt noch keine weiteren Information darüber, was genau hier möglich sein wird.
DKIM:
Das steht für Domain Keys Identified Mail und erhöht die Sicherheit beim Email-Verkehr gegen Spam und Phishing. Hiermit kann man nämlich spezielle DKIM Signaturen hinzufügen, die bestätigen, dass die Email wirklich vom entsprechenden Nutzer kommt und nicht im Versand abgefangen und geändert wurde.
Wir sehen also schnell, auch wenn wir fast den gesamten Exchange Online per PowerShell verwalten können – ganz im Gegensatz zu SharePoint Online – wir haben hier auch ein schönes User Interface, mit dem ich mir ohne tief technische Kenntnisse einen sicheren Mailversand in Office 365 konfigurieren kann. Dies ist vor allem für kleinere bis mittlere Firmen ein großer Vorteil, die sich keinen dedizierten Exchange Administrator leisten können oder wollen. Mit Office 365 kann ich also einfach Sicherheitsstandards erfüllen, die normalerweise nur Großunternehmen mit dedizierten Ressourcen erreichen konnten. Die Ausrede, dass die Cloud unsicher sei, lasse ich also nicht gelten. 😉
Happy „SharePointing“! (oder fröhliches Austauschen? 😉 )
Zur O365Adventskalender Übersicht
