我最近在 Exchange (365) 管理中心设置了一条新的邮件流规则,以便在从外部发件人收到的电子邮件正文前面添加“警告”横幅。我将其定义如下 (Exchange 管理中心 -> 邮件流 -> 规则 -> [+] 新规则)
然而,与大多数为了安全而做出的改变一样,也有一些反对的声音(“这很烦人”等等)。即便如此,在标准的抱怨中,实际上提出了一个很好的观点:如果全部外部邮件(占我们用户收到的电子邮件通信的绝大部分)被标记为此警告,最终它将变得如此普遍,以至于用户将开始忽略它。该警告将不再发挥其预期作用,因为用户几乎在他们收到的每封邮件中都看到了它,包括来自他们认识和信任的发件人的邮件。
根据此反馈,我开始研究 Exchange 邮件流规则可用的例外选项。我发现其中有很多可能性,包括明确定义的发件人、域和 IP 地址的例外;关键字;甚至特定的邮件属性。但是,有一件事我还没有找到,我认为会很有用,那就是将例外基于某些服务器端白名单。
这里,我指的是与“主要”白名单不同的一些功能,它可以防止某些邮件被标记为垃圾邮件。我的第一个想法是使用 Outlook 中收件人的“安全发件人”列表,尽管我考虑过,我发现使用这个列表存在一些潜在的危险,即使它会使我自己对此类列表的管理变得轻松许多。
查看“新规则”对话框中的可用选项,我能想到的唯一其他可能性是创建一个新的 Exchange 组,在其中(手动)输入应“列入白名单”的所有发件人/域。我不完全反对将其作为一种选择,但获得“正确”的列表可能需要一些时间。另外,也许我有点愚钝,但老实说,我并不完全确定如何有效地完成这项工作。
正如我上面所述,我们公司的大部分电子邮件通信都来自外部发件人,因此任何“白名单”都可能相当长。此外,我意识到这样的名单可能会无意中暴露“欺骗”攻击,所以我正在考虑如何实施它以最大限度地减少这种威胁。目前,我只是想从经验丰富的 Exchange 管理员那里寻求建议,他们可能已经遇到过这个“问题”,并找到了一种合理且相对安全的解决方案。
编辑/更新
在我正在进行的研究中,我偶然发现了一篇文章(在 EOP 中创建安全发件人列表) 似乎至少包含了一小部分答案。我可以包括的一个例外是检查邮件头中是否有有效的发件人身份验证状态,以确保发送域没有被欺骗。
- 邮件流规则条件:邮件头 > 包含以下任意字词 > 头名称:
Authentication-Results> 标头值:dmarc=pass或者dmarc=bestguesspass
作为替代方案(如果有必要),我还可以手动研究发送域的 MX 记录并找到适当的 IP 地址来为这些设置例外:
- IP 允许列表:在连接过滤策略中指定源 IP 地址或地址范围。
类似这样的事情至少可以帮助减少带有警告横幅的“标记”消息的数量。
然而,我的想法是,规则并没有给你选择的机会和和或者条件。例如,如果我想要一个规则明确地根据特定发件人、域或 IP 地址的白名单检查发件人(取决于我必须如何设置,我想这些可能会出现在某个地方的三个单独的列表中),然后还要检查邮件头,我需要我的例外规则看起来像这样:
- (发件人地址 [地址白名单] 或发件人域名 [域名白名单] 或发件人 IP 在 [IP白名单])和(邮件头包括
dmarc=pass或消息头包括dmarc=bestguesspass)
我目前没有看到任何方法可以在邮件流规则界面中实现这样的事情。也许我想太多了,但这不就是我们所做的吗?:P
答案1
尽管或和和选项不包含在一条规则中,但是您可以创建多条规则来实现或选项。