Ide bagus? Menolak email masuk dengan akhiran domain kami sendiri? (karena mereka pasti palsu)

Saya punya pertanyaan tentang Exchange Server kami: Apakah menurut Anda adalah ide yang baik untuk menolak email eksternal masuk yang memiliki domain sendiri di akhir?

Suka dari eMail eksternal fake@example.com?

Karena jika itu berasal dari pengirim nyata di perusahaan kami, email tidak akan pernah datang dari luar?

Jika ya, apa cara terbaik untuk melakukan ini?

Ya, jika Anda tahu bahwa email untuk domain Anda seharusnya hanya berasal dari server Anda sendiri, maka Anda harus memblokir email apa pun untuk domain yang berasal dari server yang berbeda. Bahkan jika klien email pengirim ada di host lain, mereka harus masuk ke server Anda (atau server email apa pun yang Anda gunakan) untuk mengirim email.

Mengambil langkah lebih jauh, Anda dapat mengkonfigurasi server Anda untuk memeriksa catatan SPF. Ini adalah jumlah host yang mencegah aktivitas email semacam itu. Catatan SPF adalah catatan DNS, catatan TXT, yang memberikan aturan tentang server mana yang diizinkan mengirim email untuk domain Anda. Cara mengaktifkan pemeriksaan catatan SPF akan tergantung pada layanan email Anda, dan akan berada di luar jangkauan apa yang akan dibahas di sini. Untungnya, sebagian besar lingkungan dan perangkat lunak hosting akan memiliki dokumentasi untuk bekerja dengan catatan SPF. Anda mungkin ingin mempelajari lebih lanjut tentang SPF secara umum. Inilah artikel Wikipedia: https://en.wikipedia.org/wiki/Sender_Policy_Framework

Sudah ada standar untuk melakukan ini. Itu disebut DMARC . Anda menerapkannya dengan penandatanganan DKIM (yang merupakan ide bagus untuk menerapkannya).

Ikhtisar tingkat tinggi adalah Anda menandatangani setiap email yang meninggalkan domain Anda dengan header DKIM (yang merupakan praktik yang baik). Kemudian Anda mengkonfigurasi DMARC untuk menolak setiap email yang mengenai server email Anda, dari domain yang Anda miliki, yang tidak ditandatangani dengan header DKIM yang valid.

Ini berarti Anda masih dapat memiliki layanan eksternal mengirim email ke domain Anda (seperti perangkat lunak helpdesk yang di-host, dll), tetapi dapat memblokir upaya phishing tombak.

Hal hebat lainnya tentang DMARC adalah Anda mendapatkan laporan kegagalan yang dikirim, sehingga Anda dapat mengelola penanganan pengecualian sesuai kebutuhan.

Sisi buruknya adalah Anda perlu memastikan bahwa Anda telah menyelesaikan semuanya dengan seksama sebelumnya atau Anda mungkin mulai menjatuhkan email yang sah.

Blok semacam itu kemungkinan akan mengurangi spam dan kemungkinan membuat rekayasa sosial lebih sulit tetapi mungkin juga memblokir email yang sah. Contohnya termasuk layanan penerusan surat, milis, pengguna dengan klien surat yang tidak terkonfigurasi, aplikasi web yang mengirim surat langsung dari hosting tanpa melibatkan server surat utama Anda dan sebagainya.

Dkim dapat mengurangi ini sampai batas tertentu dengan menyediakan cara untuk mengidentifikasi pesan yang dikirim dari jaringan Anda, di-loop melalui milis atau forwarder dan kemudian diterima di email Anda tetapi itu bukan obat yang sempurna, beberapa milis akan memecah tanda tangan dkim dan Anda masih memiliki masalah melacak semua titik asal surat yang sah dan memastikan mereka pergi melalui penandatangan dkim.

Tapak dengan hati-hati, terutama jika menerapkan ini pada domain yang ada.

Mungkin, tetapi ada beberapa kasus yang perlu Anda pertimbangkan sebelum Anda melakukan perubahan seperti itu.

1) Apakah ada orang di perusahaan Anda yang menggunakan layanan eksternal apa pun (misalnya Survey Monkey, Constant Contact, dll.) Untuk mengirimkan email yang tampaknya "dari" domain Anda? Bahkan jika mereka tidak melakukannya hari ini, mungkinkah mereka melakukannya di masa depan?

2) Apakah ada alamat luar yang meneruskan ke pengguna Anda? Misalnya, anggap akun gmail "mycompany.sales@gmail.com" meneruskan ke "sales@mycompany.com", dan pengguna Anda "bob@mycompany.com" mengirim ke "mycompany.sales@gmail.com". Dalam hal ini, pesan akan datang dari "luar", tetapi dengan "@ mycompany.com" Dari: alamat.

3) Apakah ada pengguna Anda yang berlangganan daftar distribusi eksternal yang mempertahankan alamat "Dari:" asli pada pesan ke daftar? Misalnya, jika Bob berlangganan "foo-list@lists.apple.com" dan mengirim pesan, ia akan menerima pesan masuk yang terlihat seperti: Dari: bob@mycompany.com Ke: foo-list@lists.apple. com Pengirim:

Jika server Anda secara naif melihat header "Dari:" (bukan "Pengirim:"), ia mungkin menolak pesan ini karena Anda menerimanya dari luar.

Karena semua hal di atas, memiliki kebijakan selimut "... dari pengirim nyata di perusahaan kami, email tidak akan pernah datang dari luar" tidak selalu layak.

Anda dapat melakukan ini di PowerShell dengan memperbarui izin Receive Connector Anda untuk mengecualikan pengguna Anonim dari mengirim sebagai pengirim domain otoritatif:

Get-ReceiveConnector <identity> | Remove-AdPermission -User "NT AUTHORITY\Anonymous Logon" -ExtendedRights ms-Exch-SMTP-Accept-Authoritative-DomainSender

Namun masalah muncul ketika Anda memiliki server aplikasi jarak jauh yang perlu mengirim email status kepada Anda, karena ini umumnya menggunakan nama domain Anda di alamat Dari mereka. Dimungkinkan untuk membuat Konektor Penerimaan tambahan untuk alamat IP spesifik mereka sehingga Anda tidak mengecualikannya secara tidak sengaja.

GMail memiliki pengaturan di mana ia memungkinkan Anda untuk mengirim email dengan domain non-GMail asalkan alamat email yang pertama diverifikasi. Keputusan Anda akan memblokir email-email itu.

Apakah Anda memiliki pengguna yang mungkin menggunakan fitur GMail ini dan apakah masuk akal untuk melayani mereka sangat tergantung pada perilaku di perusahaan Anda.

SPF tidak akan menyembuhkan ini karena amplop tersebut dapat memiliki pass SPF yang tepat (yaitu spammer menggunakan server yang dikompromikan) sementara mereka akan memalsukan email di dalam amplop. Yang Anda butuhkan adalah blok pada pesan email domain Anda sendiri yang memiliki server email asal pada amplop yang tidak dapat Anda terima.