Le 20 migliori tecniche per migliorare la protezione di Exchange Online

L'obiettivo principale di questo articolo è migliorare la protezione in linea di scambio per una perdita di dati o un account compromesso seguendo le migliori pratiche di sicurezza Microsoft e passando attraverso la configurazione effettiva. Microsoft offre due livelli di sicurezza della posta elettronica Microsoft 365: Exchange Online Protection (EOP) e Microsoft Defender Advanced Threat Protection. Queste soluzioni possono migliorare la sicurezza della piattaforma Microsoft e alleviare i problemi di sicurezza della posta elettronica di Microsoft 365.

1 Abilita la crittografia e-mail

2 Abilitare i blocchi di inoltro delle regole client

3 Powershell

4 Non consentire la delega della cassetta postale

5 Filtraggio delle connessioni

6 Spam e malware

7 malware

8 Politica antiphishing

9 Configurare il filtro avanzato

10 Configurare la politica di collegamenti sicuri e allegati sicuri di ATP

11 Aggiungere SPF, DKIM e DMARC

12 Non consentire la condivisione dei dettagli del calendario

13 Abilita ricerca log di controllo

14 Abilita il controllo delle cassette postali per tutti gli utenti

15 Comandi PowerShell per il controllo delle cassette postali

16 Revisione dei cambiamenti di ruolo settimanalmente

17 Esaminare le regole di inoltro alle cassette postali settimanalmente

18 Esaminare il rapporto Accesso alle cassette postali da parte di non proprietari ogni due settimane

19 Esaminare il rapporto sui rilevamenti di malware settimanalmente

20 Esamina il rapporto sull'attività di provisioning dell'account settimanalmente

Abilita crittografia e-mail

È possibile aggiungere regole di crittografia e-mail per crittografare un messaggio con una parola chiave particolare nella riga dell'oggetto o nel corpo. Il più comune consiste nell'aggiungere "Sicuro" come parola chiave nell'oggetto per crittografare il messaggio. La crittografia dei messaggi M365/O365 funziona con Outlook.com, Yahoo!, Gmail e altri servizi di posta elettronica. La crittografia dei messaggi di posta elettronica consente di garantire che solo i destinatari previsti possano visualizzare il contenuto del messaggio.

• Nell'interfaccia di amministrazione di Microsoft 365, fare clic su Exchange sotto le interfacce di amministrazione

• Nella sezione Flusso di posta, fai clic su Regole

• Fare clic sul segno più e fare clic su Applica crittografia messaggi Microsoft 365 (consente di definire più condizioni)

• Assegna un nome alla tua polizza e nella sezione Applica questa regola se, pronuncia "l'oggetto o il corpo include...", quindi aggiungi la tua parola chiave. Qui, stiamo inserendo "Crittografa"

• Nella sezione Esegui le seguenti operazioni, fai clic su quello selezionato per il modello RMS e scegli Crittografa

• Dopo aver fatto clic su Salva, puoi testare la tua politica. In questo caso, stiamo mostrando un messaggio inviato a un utente Gmail

• Posta in arrivo utente di Gmail:

• Quando l'utente Gmail salva e apre l'allegato (messaggio.html), può scegliere di accedere con le proprie credenziali Google o ricevere un passcode monouso inviato alla propria e-mail.

• In questo caso, abbiamo scelto un passcode monouso.

• Controlla la posta in arrivo di Gmail per il passcode

• Copia il passcode e incollalo

• Possiamo visualizzare il messaggio crittografato nel portale e inviare una risposta crittografata

Per verificare che il tenant sia configurato per la crittografia, utilizzare il comando seguente, assicurandosi che il valore Sender sia un account valido all'interno del tenant:

Test-IRMConfiguration -Sender [email protected]

Se vedi "RISULTATO COMPLESSIVO: PASS" allora sei pronto per partire

Leggi anche : Come crittografare le e-mail di Microsoft 365 con ATP?

Abilita i blocchi di inoltro delle regole client

Si tratta di una regola di trasporto per impedire l'esfiltrazione dei dati con regole create dal client che inoltrano automaticamente i messaggi di posta elettronica dalle cassette postali degli utenti a indirizzi di posta elettronica esterni. Questo è un metodo di fuga di dati sempre più comune nelle organizzazioni.

Vai al Centro di amministrazione di Exchange > Flusso di posta > Regole

Fare clic sul segno più e selezionare Applica la crittografia dei messaggi di Microsoft 365 e la protezione dei diritti ai messaggi...

Aggiungi le seguenti proprietà alla regola:

• SE Il Mittente si trova 'All'interno dell'organizzazione'
• E SE Il Destinatario si trova 'Al di fuori dell'organizzazione'
• E SE Il tipo di messaggio è "Inoltro automatico"
• POI Rifiuta il messaggio con la spiegazione "Non è consentito l'inoltro di email esterne tramite le regole del cliente".

Suggerimento 1: per la terza condizione, è necessario selezionare Proprietà messaggio > Includi questo tipo di messaggio per popolare l'opzione Inoltro automatico

Suggerimento 2 : per la 4a condizione, è necessario selezionare Blocca il messaggio...> rifiuta il messaggio e includi una spiegazione da compilare

• Fare clic su Salva al termine. Questa regola sarà applicata immediatamente. I client riceveranno un messaggio di ricevuta di mancato recapito (NDR) personalizzato utile per evidenziare le regole di inoltro esterne di cui potrebbero non essere a conoscenza o che sono state create da un attore non valido su una cassetta postale compromessa. È possibile creare eccezioni per determinati utenti o gruppi specificati nella regola di trasporto creata.

Powershell

• Script Powershell per bloccare l'inoltro automatico per un cliente.
• Script Powershell per bloccare l'inoltro automatico per tutti i tuoi clienti tramite le credenziali del Centro per i partner.

Non consentire la delega della cassetta postale

• Se i tuoi utenti non delegano le cassette postali, è più difficile per un utente malintenzionato passare da un account all'altro e rubare dati. La delega della cassetta postale è la pratica di consentire a qualcun altro di gestire la posta e il calendario, il che può accelerare la diffusione di un attacco.
• Per determinare se esistono autorizzazioni di delega della cassetta postale, esegui lo script di PowerShell da Github. Quando richiesto, inserisci le credenziali di amministratore globale per il tenant.
• Se esistono autorizzazioni di delega, le vedrai elencate. Se non ce ne sono, otterrai semplicemente una nuova riga di comando. L'identità è la cassetta postale a cui sono state assegnate le autorizzazioni di amministratore delegato e l'utente è la persona che dispone di tali autorizzazioni.
• È possibile eseguire il comando seguente per rimuovere i diritti di accesso per gli utenti:

Remove-MailboxPermission -Identity Test1 -User Test2 -AccessRights FullAccess -InheritanceType All

Filtraggio delle connessioni

Utilizzi il filtro delle connessioni in EOP per identificare i server di posta elettronica di origine buoni o non validi in base ai loro indirizzi IP. I componenti chiave del criterio di filtro di connessione predefinito sono:

Elenco IP consentiti : ignora il filtro antispam per tutti i messaggi in arrivo dai server di posta elettronica di origine specificati in base all'indirizzo IP o all'intervallo di indirizzi IP. Per ulteriori informazioni su come l'elenco di indirizzi IP consentiti dovrebbe adattarsi alla strategia generale dei mittenti attendibili, consulta  Creare elenchi di mittenti attendibili in EOP .

Elenco IP bloccati : blocca tutti i messaggi in arrivo dai server di posta elettronica di origine specificati in base all'indirizzo IP o all'intervallo di indirizzi IP. I messaggi in arrivo vengono rifiutati, non vengono contrassegnati come spam e non viene applicato alcun filtro aggiuntivo. Per ulteriori informazioni su come l'elenco di indirizzi IP bloccati dovrebbe adattarsi alla strategia generale dei mittenti bloccati, consulta  Creare elenchi di mittenti bloccati in EOP .

• Nell'interfaccia di amministrazione di Exchange > Protezione > Filtro di connessione > Fare clic sull'icona a forma di matita per modificare il criterio predefinito.

• Fare clic su Filtraggio connessioni

• Qui puoi consentire\bloccare l'indirizzo IP.

Spam e malware

Domande da porre:

1. Quali azioni vogliamo intraprendere quando un messaggio viene identificato come spam?
   un. Sposta messaggio nella cartella posta indesiderata (impostazione predefinita)
   b. Aggiungi intestazione X (invia il messaggio ai destinatari specificati, ma aggiunge il testo dell'intestazione X all'intestazione del messaggio per identificarlo come spam)
   c. Inserisci la riga dell'oggetto con il testo (invia il messaggio ai destinatari previsti ma antepone la riga dell'oggetto con il testo specificato nella riga dell'oggetto del prefisso con questa casella di immissione del testo. Utilizzando questo testo come identificatore, puoi facoltativamente creare regole per filtrare o indirizzare i messaggi secondo necessità.)
   d. Reindirizza il messaggio all'indirizzo e-mail (invia il messaggio a un indirizzo e-mail designato anziché ai destinatari previsti.)
2. È necessario aggiungere mittenti/domini consentiti o bloccare mittenti/domini?
3. Abbiamo bisogno di filtrare i messaggi scritti in una lingua specifica?
4. È necessario filtrare i messaggi provenienti da paesi/regioni specifici?
5. Vogliamo configurare eventuali notifiche di spam degli utenti finali per informare gli utenti quando i messaggi a loro destinati sono stati invece inviati in quarantena? (Da queste notifiche, gli utenti finali possono rilasciare falsi positivi e segnalarli a Microsoft per l'analisi.)

• Vai all'interfaccia di amministrazione di Microsoft 365 > seleziona sicurezza da Admin Center > gestione delle minacce > criteri > anti-spam

• Modifica la politica predefinita

• Naviga tra le schede per configurare le domande poste in precedenza

• Espandi la  sezione Elenchi consentiti  per configurare i mittenti dei messaggi in base all'indirizzo e-mail o al dominio e-mail a cui è consentito ignorare il filtro antispam.
• Expand the Block lists section to configure message senders by email address or email domain that will always be marked as high confidence spam.

• The Spam properties tab allows you to get more granular with your policy and tighten the settings on the spam filter

Malware

This is already set up company-wide via default anti-malware policy. Do you need to create more granular policies for a certain group of users such as additional notifications via text or heightened filtering based on file extensions?

• Go to the security portal > Threat management > Policy > Anti-malware

• Select the default policy to modify
• Select No for the malware detection response

• Turn Off the feature to block attachment types that may harm your computer

• Turn On malware zero-hour auto purge

• Modify notifications accordingly

• Specify the users, groups or domains for whom this policy applies by creating recipient based rules

• Review your settings and save.

Anti-Phishing Policy

Microsoft 365 subscriptions come with a default policy for anti-phishing preconfigured but if you have the correct licensing for ATP, you can configure additional setting for impersonation attempts within the tenant. We will be configuring those additional settings here.

• Go to the security portal > Threat management > Policy > ATP anti-phishing

• Click the default policy > Click on Edit in the Impersonation section
• In the first section toggle the switch to on and add top executives or users within the organization that are most likely to get spoofed

• In the Add Domains to Protect section, toggle the switch to automatically include domains I own

• In the Actions section, choose what action you want to take if a user or domain is impersonated. We recommend either quarantine or moving to Junk folder.

• In the Mailbox Intelligence section, toggle on the protection and chose what action to take, like in the previous step

• The final section allows you to whitelist senders and domains. Refrain from adding generic domains here like gmail.com.

• After you review your settings, you can choose to Save

Also Read: Microsoft Cloud App Security: The Definitive Guide

Configure Enhanced Filtering

• Enhanced email filtering can be set up if you have a connector in 365 (3rd party email filtering service or hybrid configuration) and your MX record does not point to Microsoft 365 or Office 365. This new feature allows you to filter email based on the actual source of messages that arrive over the connector.
• This is also known as skip listing and this feature will allow you to overlook, or skip, any IP addresses that are considered internal to you in order to get the last known external IP address, which should be the actual source IP address.
• If you are using Microsoft Defender ATP, this will enhance its machine learning capabilities and security around safe links/safe attachments/anti-spoofing from Microsoft’s known malicious list based off IP.
• In a way, you are getting a secondary layer of protection by allowing Microsoft to view the IPs of the original email and check against their database.

For enhanced filtering configuration steps: click here

Configure ATP Safe Links and Safe Attachments Policy

Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP) allows you to create policies for safe links and safe attachments across Exchange, Teams, OneDrive, and SharePoint. Real-time detonation occurs when a user clicks on any link and the content is contained in a sandbox environment. Attachments are opened inside a sandbox environment as well before they are fully delivered over email. This allows zero-day malicious attachments and links to be detected.

• Go to the security portal > Threat management > Policy > ATP safe attachments

• Click Global settings

• Turn on ATP for SharePoint, OneDrive and Microsoft Teams

• Create a new policy

• Add Name, Description, and choose Dynamic Delivery. For more on delivery methods, click here.

• Select the action as Dynamic Delivery

• Add the recipient domain and chose the main domain in the tenant.

• Click Next to review your settings and click Finish

• For Safe Links, go back to Threat management > Policy > ATP Safe Links

• Use the default policy or create a new policy and turn on the necessary settings displayed below.

• You can choose to whitelist certain URLs

• Like the safe attachments policy, apply to all users in the tenant by the domain name.

• Click Next to review your settings and click Finish

Add SPF, DKIM and DMARC

• Do you have SPF records/DKIM records/DMARC in place?
• SPF validates the origin of email messages by verifying the IP address of the sender against the alleged owner of the sending domain which helps prevent spoofing.
• DKIM lets you attach a digital signature to email messages in the message header of emails you send. Email systems that receive email from your domain use this digital signature to determine if incoming email that they receive is legitimate.
• DMARC helps receiving mail systems determine what to do with messages that fail SPF or DKIM checks and provides another level of trust for your email partners.

To add records:

• Go to Domains in the Microsoft 365 Admin center and click on the domain you want to add records to.

• Click “DNS records” and Take note of the MX and TXT record listed under the Exchange Online

• Add the TXT record of v=spf1 include:spf.protection.outlook.com -all to your DNS settings for our SPF record
• For our DKIM records we need to publish two CNAME records in DNS

Use the following format for the CNAME Record:

Where:
= our primary domain = The prefix of our MX record (ex. domain-com.mail.protection.outlook.com)
= domain.onmicrosoft.com
Example: DOMAIN = techieberry.com

CNAME Record #1:
Host Name: selector1._domainkey.techiebery.com
Points to address or value: selector1-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL: 3600

CNAME Record #2:
Host Name: selector2._domainkey.techiebery.com
Points to address or value: selector2-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL: 3600

• After publishing the records, go to the security portal > Threat management > Policy > DKIM

• Select the Domain for which you want to enable DKIM and click Enable.
• With the SPF and DKIM records in place, we can now set up DMARC. The format for the TXT record we want to add is as follows:

_dmarc.domain TTL IN TXT “v=DMARC1; pct=100; p=policy

Dove :
= dominio che vogliamo proteggere
= 3600
= indica che questa regola deve essere utilizzata per il 100% delle e-mail
= specifica quale politica si desidera che il server ricevente segua se DMARC fallisce.
NOTA: è possibile impostare su nessuno, mettere in quarantena o rifiutare

Esempio :

• _dmarc.pax8.com 3600 IN TXT “v=DMARC1; p=nessuno”
• _dmarc.pax8.com 3600 IN TXT “v=DMARC1; p=quarantena”
• _dmarc.pax8.com 3600 IN TXT “v=DMARC1; p=rifiutare”

Non consentire la condivisione dei dettagli del calendario

Non dovresti consentire ai tuoi utenti di condividere i dettagli del calendario con utenti esterni. Questa funzione consente ai tuoi utenti di condividere tutti i dettagli dei loro calendari con utenti esterni. Molto spesso gli aggressori trascorrono del tempo a conoscere la tua organizzazione (eseguendo ricognizioni) prima di lanciare un attacco. I calendari pubblicamente disponibili possono aiutare gli aggressori a comprendere le relazioni organizzative e determinare quando utenti specifici possono essere più vulnerabili a un attacco, ad esempio quando sono in viaggio.

• Nell'interfaccia di amministrazione di Microsoft 365 > Impostazioni - Impostazioni organizzazione

• Clicca sui servizi e seleziona il calendario

• Modificare le impostazioni in " Informazioni sulla disponibilità/occupato del calendario con solo orario "

• Abilita questa impostazione su un tenant tramite PowerShell
• Abilita questa impostazione in tutti i tenant tramite le credenziali del Centro per i partner usando PowerShell

Abilita la ricerca del registro di controllo

È necessario abilitare la registrazione dei dati di controllo per il servizio Microsoft 365 o Office 365 per assicurarti di avere un record di ogni interazione di utente e amministratore con il servizio, inclusi Azure AD, Exchange Online, Microsoft Teams e SharePoint Online/OneDrive for Business. Questi dati consentiranno di indagare e indagare su una violazione della sicurezza, qualora si verificasse. Tu (o un altro amministratore) devi attivare la registrazione di controllo prima di poter iniziare a cercare nel log di controllo .

• Come attivare l'Audit Log On?
• Come cercare nel registro di controllo?

• Vai al portale di sicurezza>Cerca>Ricerca registro di controllo
• Assicurati di non ottenere quanto segue:

• Dopo aver attivato il controllo, vedrai quanto segue:

• Puoi creare una ricerca personalizzata basata su attività, intervallo di date, utenti e file\cartella\sito
• Crea una nuova politica di avviso basata su un determinato evento

• Se desideri cercare nel registro di controllo tramite PowerShell, utilizzare i comandi seguenti:

$ auditlog = Cerca-Registro di controllo unificato -StartDate 01/01/2021 -EndDate 01/31/2021 -RecordType SharePointFileOperation

• È possibile utilizzare il comando seguente per esportare determinate proprietà in un file CSV:

$ registro di controllo | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Percorso c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Abilita il controllo delle cassette postali per tutti gli utenti

Per impostazione predefinita, tutto l'accesso non proprietario viene controllato, ma è necessario abilitare il controllo sulla cassetta postale per poter controllare anche l'accesso del proprietario. Ciò consentirà di scoprire l'accesso illecito all'attività di Exchange Online se l'account di un utente è stato violato. Sarà necessario eseguire uno script di PowerShell per abilitare il controllo per tutti gli utenti.

NOTA : utilizzare il registro di controllo per cercare l'attività della cassetta postale che è stata registrata. È possibile cercare l'attività per una casella di posta utente specifica.

• Vai al portale di sicurezza>Cerca>Ricerca registro di controllo

Elenco delle azioni di controllo delle cassette postali

Comandi PowerShell per il controllo delle cassette postali

Per controllare lo stato di controllo di una cassetta postale:

Get-Mailbox [email protected] | fl *audit*

Per cercare un controllo della cassetta postale:

Cerca-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 31/01/2021

Per esportare i risultati in un file CSV:

Cerca-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 31/01/2021 | Export-Csv C:\utenti\AuditLogs.csv -NoTypeInformation

Per visualizzare ed esportare i registri in base alle operazioni :

Cerca-MailboxAuditLog -Identity [email protected] -ResultSize 250000 -Operations HardDelete, Move, MoveToDeletedItems,SoftDelete -LogonTypes Admin,Delegate,Owner -StartDate 01/01/2021 -EndDate 01/31/2021 -ShowDetails | Export-Csv C:\AuditLogs.csv -NoTypeInformation

Per visualizzare ed esportare i registri in base ai tipi di accesso :

Cerca-MailboxAuditLog [email protected] -ResultSize 250000 -StartDate 01/01/2021 -EndDate 01/31/2021 -LogonTypes Owner,Delegate,Admin -ShowDetails | Export-Csv C:\AuditLogs.csv -NoTypeInformation

Rivedi i cambiamenti di ruolo settimanalmente

Dovresti farlo perché dovresti prestare attenzione alle modifiche illecite del gruppo di ruoli, che potrebbero conferire a un utente malintenzionato privilegi elevati per eseguire operazioni più pericolose e di impatto nella tua locazione.

• Vai a Portale di sicurezza>Cerca>Ricerca registro di controllo
• Digita " Ruolo " nella ricerca e seleziona " Membro aggiunto al ruolo " e " Utente rimosso da un ruolo Directory "

Monitora i cambiamenti di ruolo in tutti i tenant dei clienti

Rivedi le regole di inoltro delle cassette postali settimanalmente

È necessario rivedere le regole di inoltro delle cassette postali a domini esterni almeno ogni settimana. Esistono diversi modi per farlo, inclusa la semplice revisione dell'elenco delle regole di inoltro della posta a domini esterni su tutte le cassette postali utilizzando uno script di PowerShell o rivedendo l'attività di creazione delle regole di inoltro della posta nell'ultima settimana dalla ricerca nel registro di controllo. Sebbene ci siano molti usi legittimi delle regole di inoltro della posta ad altre posizioni, è anche una tattica di esfiltrazione dei dati molto popolare per gli aggressori. Dovresti esaminarli regolarmente per assicurarti che l'e-mail dei tuoi utenti non venga esfiltrata. L'esecuzione dello script PowerShell collegato di seguito genererà due file CSV, "MailboxDelegatePermissions" e "MailForwardingRulesToExternalDomains", nella cartella System32.

• Monitorare su un singolo inquilino
• Monitorare gli inoltri alle cassette postali esterne in tutti i tenant dei clienti di Microsoft 365/Office 365

Esaminare il rapporto Accesso alle cassette postali da parte di non proprietari ogni due settimane

Questo rapporto mostra quali cassette postali sono state accedute da un utente diverso dal proprietario della cassetta postale. Sebbene esistano molti usi legittimi delle autorizzazioni dei delegati, la revisione periodica di tale accesso può aiutare a impedire a un utente malintenzionato esterno di mantenere l'accesso per lungo tempo e può aiutare a scoprire prima attività interne dannose.

• Nell'interfaccia di amministrazione di Exchange, vai a Gestione conformità>Auditing
• Fare clic su " Esegui un rapporto di accesso alla casella di posta non proprietario... "

• Specificare un intervallo di dati ed eseguire una ricerca

Esamina il rapporto sui rilevamenti di malware settimanalmente

Questo rapporto mostra istanze specifiche di Microsoft che impedisce a un allegato di malware di raggiungere i tuoi utenti. Sebbene questo rapporto non sia strettamente perseguibile, la sua revisione ti darà un'idea del volume complessivo di malware mirato ai tuoi utenti, il che potrebbe spingerti ad adottare misure di mitigazione del malware più aggressive

• Vai al portale di sicurezza>Rapporti>Dashboard

• Scorri fino in fondo e fai clic su Malware rilevato nell'e-mail

• Visualizza il rapporto di rilevamento e fai clic su + Crea pianificazione

• Crea un programma di report settimanale e invialo all'indirizzo email appropriato

Esamina il rapporto sull'attività di provisioning dell'account settimanalmente

Questo rapporto include una cronologia dei tentativi di fornire account ad applicazioni esterne. Se di solito non utilizzi un provider di terze parti per gestire gli account, qualsiasi voce nell'elenco è probabilmente illecita. Ma, se lo fai, questo è un ottimo modo per monitorare i volumi delle transazioni e cercare applicazioni di terze parti nuove o insolite che gestiscono gli utenti.

• Nell'interfaccia di amministrazione di Microsoft 365>Azure Active Directory da Admin Center>Azure Active Directory>Registri di controllo

• Nella sezione Attività, cerca "esterno" e seleziona Invita utente esterno

È così che migliori la protezione online di scambio per una maggiore sicurezza.

Ora vorrei sentirti:

Quale risultato del rapporto di oggi hai trovato più interessante? O forse hai una domanda su qualcosa che ho trattato.

Ad ogni modo, mi piacerebbe avere tue notizie. Quindi vai avanti e lascia un commento qui sotto.