改善 Exchange Online 保護的 20 種最佳技術

本文的主要目的是通過遵循 Microsoft 安全性的最佳實踐並通過實際設置來改進 Exchange 在線保護以防止數據丟失或受損帳戶。Microsoft 提供兩個級別的 Microsoft 365 電子郵件安全 - Exchange Online Protection (EOP) 和 Microsoft Defender 高級威脅防護。這些解決方案可以增強 Microsoft 平台的安全性並緩解 Microsoft 365 電子郵件安全問題。

1 啟用電子郵件加密

2 啟用客戶端規則轉發塊

3 電源外殼

4 不允許郵箱委託

5 連接過濾

6 垃圾郵件和惡意軟件

7 惡意軟件

8 反釣魚政策

9 配置增強過濾

10 配置 ATP 安全鏈接和安全附件策略

11 添加 SPF、DKIM 和 DMARC

12 不允許日曆詳細信息共享

13 啟用審核日誌搜索

14 為所有用戶啟用郵箱審核

15個郵箱審計powershell命令

16 每週回顧角色變化

17 每週查看郵箱轉發規則

18 每兩週查看非所有者的郵箱訪問報告

19 每週查看惡意軟件檢測報告

20 每週查看您的帳戶配置活動報告

啟用電子郵件加密

可以添加電子郵件加密規則以在主題行或正文中使用特定關鍵字加密郵件。最常見的是在主題中添加“安全”作為關鍵字來加密消息。M365/O365 郵件加密適用於 Outlook.com、Yahoo!、Gmail 和其他電子郵件服務。電子郵件加密有助於確保只有預期的收件人才能查看郵件內容。

• 在 Microsoft 365 管理中心中，單擊管理中心下的 Exchange

• 在郵件流部分中，單擊規則

• 單擊加號並單擊應用 Microsoft 365 消息加密（允許您定義多個條件）

• 為您的策略命名，然後在“如果應用此規則”部分中，說“主題或正文包括……”，然後添加您的關鍵字。在這裡，我們正在輸入“加密”

• 在執行以下部分中，單擊選擇 RMS 模板並選擇加密

• 單擊保存後，您可以測試您的策略。在這種情況下，我們將顯示發送給 Gmail 用戶的郵件

• Gmail 用戶收件箱：

• 當 Gmail 用戶保存並打開附件 (message.html) 時，他們可以選擇使用他們的 Google 憑據登錄或將一次性密碼發送到他們的電子郵件。

• 在這種情況下，我們選擇了一次性密碼。

• 檢查 Gmail 收件箱以獲取密碼

• 複製密碼並粘貼

• 我們可以在門戶中查看加密消息並發送加密回复

要驗證您的租戶是否設置了加密，請使用以下命令，確保 Sender 值是您租戶中的有效帳戶：

Test-IRMConfiguration -Sender [email protected]

如果您看到“總體結果：通過”，那麼您就可以開始了

另請閱讀：如何使用 ATP 加密 Microsoft 365 電子郵件？

啟用客戶端規則轉發塊

這是一個傳輸規則，通過客戶端創建的規則來幫助阻止數據洩露，這些規則將電子郵件從用戶郵箱自動轉發到外部電子郵件地址。這是組織中越來越常見的數據洩漏方法。

轉到 Exchange 管理中心>郵件流>規則

單擊加號並選擇將 Microsoft 365 郵件加密和權限保護應用於郵件...

將以下屬性添加到規則中：

• 如果發件人位於“組織內部”
• 並且如果收件人位於“組織外部”
• AND IF 消息類型為“自動轉發”
• THEN 拒絕帶有“不允許通過客戶端規則轉發外部電子郵件”解釋的消息。

提示 1：對於第 3 個條件，您需要選擇 Message Properties >Include this message type 以獲取要填充的 Auto-forward 選項

提示 2：對於第 4 個條件，您需要選擇阻止消息...> 拒絕消息並包含要填充的解釋

• 完成後點擊保存。該規則將立即執行。客戶將收到一條自定義的未送達回執 (NDR) 消息，該消息可用於突出顯示他們可能不知道存在的外部轉發規則，或者是由壞人在受感染郵箱上創建的規則。您可以在創建的傳輸規則中為某些指定的用戶或組創建例外。

電源外殼

• 用於阻止一位客戶的自動轉發的Powershell 腳本。
• 用於通過合作夥伴中心憑據阻止所有客戶的自動轉發的Powershell 腳本。

不允許郵箱委派

• 如果您的用戶不委派郵箱，攻擊者就很難從一個帳戶轉移到另一個帳戶並竊取數據。郵箱委託是允許其他人管理您的郵件和日曆的做法，這可能會加速攻擊的傳播。
• 要確定是否有任何現有的郵箱委派權限，請從 Github運行PowerShell 腳本。出現提示時，輸入租戶的全局管理員憑據。
• 如果存在任何委派權限，您將看到它們已列出。如果沒有，你只會得到一個新的命令行。身份是指派了管理員權限的郵箱，用戶是擁有這些權限的人。
• 您可以運行以下命令來刪除用戶的訪問權限：

刪除-MailboxPermission -Identity Test1 -User Test2 -AccessRights FullAccess -InheritanceType All

連接過濾

您在 EOP 中使用連接過濾來通過 IP 地址識別好的或壞的源電子郵件服務器。默認連接過濾策略的關鍵組件是：

IP 允許列表：對來自您按 IP 地址或 IP 地址範圍指定的源電子郵件服務器的所有傳入郵件跳過垃圾郵件過濾。有關 IP 允許列表應如何適合您的整體安全發件人策略的更多信息，請參閱 在 EOP 中創建安全發件人列表。

IP 阻止列表：阻止來自您按 IP 地址或 IP 地址範圍指定的源電子郵件服務器的所有傳入消息。傳入的郵件會被拒絕，不會被標記為垃圾郵件，並且不會發生額外的過濾。有關 IP 阻止列表應如何適合您的整體阻止發件人策略的更多信息，請參閱 在 EOP 中創建阻止發件人列表。

• 在 Exchange 管理中心 > 保護 > 連接過濾器 > 單擊鉛筆圖標以修改默認策略。

• 單擊連接過濾

• 在這裡您可以允許\阻止 IP 地址。

垃圾郵件和惡意軟件

要問的問題：

1. 當郵件被識別為垃圾郵件時，我們希望採取什麼措施？
   一個。將郵件移動到垃圾文件夾（默認）
   b. 添加 X 標頭（將郵件發送給指定的收件人，但將 X 標頭文本添加到郵件標頭以將其識別為垃圾郵件）
   c。在主題行前添加文本（將郵件發送給預期的收件人，但在主題行前添加您在帶有此文本輸入框前綴主題行中指定的文本。使用此文本作為標識符，您可以選擇創建規則以過濾或根據需要路由消息。）
   d. 將消息重定向到電子郵件地址（將消息發送到指定的電子郵件地址而不是目標收件人。）
2. 我們是否需要添加允許的發件人/域或阻止發件人/域？
3. 我們是否需要過濾以特定語言編寫的消息？
4. 我們是否需要過濾來自特定國家/地區的消息？
5. 我們是否要配置任何最終用戶垃圾郵件通知，以便在發送給他們的郵件被發送到隔離區時通知用戶？（通過這些通知，最終用戶可以發布誤報並將其報告給 Microsoft 進行分析。）

• 轉到 Microsoft 365 管理中心 > 從管理中心選擇安全 > 威脅管理 > 策略 > 反垃圾郵件

• 編輯默認策略

• 瀏覽選項卡以配置之前提出的任何問題

• 展開 允許列表 部分以按允許跳過垃圾郵件過濾的電子郵件地址或電子郵件域配置郵件發件人。
• 展開 阻止列表 部分以按電子郵件地址或電子郵件域配置郵件發件人，這些郵件將始終被標記為高可信度垃圾郵件。

• 垃圾郵件屬性選項卡可讓您更詳細地了解您的策略並收緊垃圾郵件過濾器的設置

惡意軟件

這已經通過默認的反惡意軟件策略在公司範圍內設置。您是否需要為特定的用戶組創建更精細的策略，例如通過文本的附加通知或基於文件擴展名的增強過濾？

• 轉到安全門戶 > 威脅管理 > 策略 > 反惡意軟件

• 選擇要修改的默認策略
• 為惡意軟件檢測響應選擇否

• 關閉該功能以阻止可能損害您計算機的附件類型

• 打開惡意軟件零小時自動清除

• 相應地修改通知

• 通過創建基於收件人的規則來指定應用此策略的用戶、組或域

• 檢查您的設置並保存。

反網絡釣魚政策

Microsoft 365 訂閱附帶預配置的反網絡釣魚默認策略，但如果你擁有正確的 ATP 許可，則可以為租戶內的模擬嘗試配置其他設置。我們將在此處配置這些附加設置。

• 轉到安全門戶 > 威脅管理 > 策略 > ATP 反網絡釣魚

• 單擊默認策略 > 單擊模擬部分中的編輯
• 在第一部分中，將開關切換到打開並添加組織內最有可能被欺騙的高管或用戶

• 在將域添加到保護部分中，切換開關以自動包含我擁有的域

• 在“操作”部分中，選擇在模擬用戶或域時要執行的操作。我們建議隔離或移動到垃圾文件夾。

• 在 Mailbox Intelligence 部分中，打開保護並選擇要採取的操作，就像在上一步中一樣

• 最後一部分允許您將發件人和域列入白名單。不要在此處添加通用域，例如 gmail.com。

• 查看設置後，您可以選擇保存

另請閱讀：Microsoft Cloud App Security：權威指南

配置增強過濾

• 如果您在 365（第三方電子郵件過濾服務或混合配置）中有連接器並且您的 MX 記錄不指向 Microsoft 365 或 Office 365，則可以設置增強的電子郵件過濾。此新功能允許您根據實際情況過濾電子郵件通過連接器到達的消息的來源。
• 這也稱為跳過列表，此功能將允許您忽略或跳過任何被認為是您內部的 IP 地址，以便獲取最後一個已知的外部 IP 地址，這應該是實際的源 IP 地址。
• 如果你使用的是 Microsoft Defender ATP，這將增強其機器學習能力和安全鏈接/安全附件/反欺騙來自 Microsoft 的基於 IP 的已知惡意列表的安全性。
• 在某種程度上，通過允許 Microsoft 查看原始電子郵件的 IP 並檢查其數據庫，您獲得了第二層保護。

增強過濾配置步驟：點擊這裡

配置 ATP 安全鏈接和安全附件策略

Microsoft Defender 高級威脅防護 (Microsoft Defender ATP) 允許您為跨 Exchange、團隊、OneDrive 和 SharePoint 的安全鏈接和安全附件創建策略。當用戶單擊任何鏈接並且內容包含在沙盒環境中時，就會發生實時引爆。附件在通過電子郵件完全交付之前也在沙盒環境中打開。這允許檢測零日惡意附件和鏈接。

• 轉到安全門戶 > 威脅管理 > 策略 > ATP 安全附件

• 單擊全局設置

• 為 SharePoint、OneDrive 和 Microsoft Teams 開啟 ATP

• 創建新策略

• 添加名稱、描述，然後選擇動態交付。有關交付方式的更多信息，請單擊 此處。

• 選擇作為動態交付的操作

• 添加收件人域並在租戶中選擇主域。

• 單擊下一步查看您的設置，然後單擊完成

• 對於安全鏈接，請返回威脅管理 > 策略 > ATP 安全鏈接

• 使用默認策略或創建新策略並打開下面顯示的必要設置。

• 您可以選擇將某些 URL 列入白名單

• 與安全附件策略一樣，通過域名應用於租戶中的所有用戶。

• 單擊下一步查看您的設置，然後單擊完成

添加 SPF、DKIM 和 DMARC

• 您是否有 SPF 記錄/DKIM 記錄/DMARC？
• SPF validates the origin of email messages by verifying the IP address of the sender against the alleged owner of the sending domain which helps prevent spoofing.
• DKIM lets you attach a digital signature to email messages in the message header of emails you send. Email systems that receive email from your domain use this digital signature to determine if incoming email that they receive is legitimate.
• DMARC helps receiving mail systems determine what to do with messages that fail SPF or DKIM checks and provides another level of trust for your email partners.

To add records:

• Go to Domains in the Microsoft 365 Admin center and click on the domain you want to add records to.

• Click “DNS records” and Take note of the MX and TXT record listed under the Exchange Online

• 將 v=spf1 include:spf.protection.outlook.com -all 的 TXT 記錄添加到我們的 SPF 記錄的 DNS 設置中
• 對於我們的 DKIM 記錄，我們需要在 DNS 中發布兩條 CNAME 記錄

對 CNAME 記錄使用以下格式：

其中:
= 我們的主域 = 我們的 MX 記錄的前綴（例如 domain-com.mail.protection.outlook.com）
= domain.onmicrosoft.com
示例：DOMAIN = techieberry.com

CNAME 記錄 #1：
主機名： selector1._domainkey.techiebery.com
指向地址或值：selector1-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL：3600

CNAME 記錄 #2：
主機名：selector2._domainkey.techiebery.com
指向地址或值：selector2-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL：3600

• 發布記錄後，轉到安全門戶 > 威脅管理 > 策略 > DKIM

• 選擇要啟用 DKIM 的域，然後單擊啟用。
• 有了 SPF 和 DKIM 記錄，我們現在可以設置 DMARC。我們要添加的TXT記錄的格式如下：

_dmarc.domain TTL IN TXT “v=DMARC1; 百分比=100；p=政策

其中:
= 我們要保護的域
= 3600
= 表示該規則應用於 100% 的電子郵件
= 指定在 DMARC 失敗時您希望接收服務器遵循的策略。
注意：您可以設置為無、隔離或拒絕

示例：

• _dmarc.pax8.com 3600 IN TXT “v=DMARC1; p=無”
• _dmarc.pax8.com 3600 IN TXT “v=DMARC1; p=隔離”
• _dmarc.pax8.com 3600 IN TXT “v=DMARC1; p=拒絕”

不允許日曆詳細信息共享

您不應允許您的用戶與外部用戶共享日曆詳細信息。此功能允許您的用戶與外部用戶共享其日曆的完整詳細信息。攻擊者通常會在發動攻擊之前花時間了解您的組織（執行偵察）。公開可用的日曆可以幫助攻擊者了解組織關係，並確定特定用戶何時更容易受到攻擊，例如他們在旅行時。

• 在 Microsoft 365 管理中心 > 設置 - 組織設置

• 點擊服務並選擇日曆

• 將設置更改為“僅帶時間的日曆忙/閒信息”

• 通過PowerShell在一個租戶上啟用此設置
• 使用PowerShell通過合作夥伴中心憑據在所有租戶中啟用此設置

啟用審核日誌搜索

您應該為您的 Microsoft 365 或 Office 365 服務啟用審核數據記錄，以確保您記錄每個用戶和管理員與服務的交互，包括 Azure AD、Exchange Online、Microsoft Teams 和 SharePoint Online/OneDrive for Business。如果安全漏洞發生，這些數據將使調查和確定安全漏洞成為可能。您（或其他管理員）必須先打開審核日誌，然後才能開始搜索審核日誌。

• 如何打開審核日誌？
• 如何搜索審計日誌？

• 轉到安全門戶>搜索>審核日誌搜索
• 確保您沒有得到以下信息：

• 打開審核後，您將看到以下內容：

• 您可以根據活動、日期範圍、用戶和文件\文件夾\站點創建自定義搜索
• 根據特定事件創建新警報策略

• 如果想通過 PowerShell 搜索審計日誌，可以使用以下命令：

$auditlog = Search-UnifiedAuditLog -StartDate 01/01/2021 -EndDate 01/31/2021 -RecordType SharePointFileOperation

• 您可以使用以下命令將某些屬性導出到 CSV 文件：

$審計日誌 | Select-Object -Property CreationDate、UserIds、RecordType、AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

為所有用戶啟用郵箱審核

默認情況下，會審核所有非所有者訪問，但您必須在郵箱上啟用審核才能審核所有者訪問。如果用戶的帳戶遭到破壞，這將允許您發現對 Exchange Online 活動的非法訪問。我們需要運行一個PowerShell 腳本來為所有用戶啟用審核。

注意：使用審核日誌搜索已記錄的郵箱活動。您可以搜索特定用戶郵箱的活動。

• 轉到安全門戶>搜索>審核日誌搜索

郵箱審核操作列表

郵箱審核 powershell 命令

檢查郵箱審核狀態：

獲取郵箱 [email protected] | 佛羅里達*審計*

要搜索郵箱審核：

Search-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021

要將結果導出到 csv 文件：

Search-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021 | 導出 Csv C:\users\AuditLogs.csv -NoTypeInformation

根據操作查看和導出日誌：

Search-MailboxAuditLog -Identity [email protected] -ResultSize 250000 -Operations HardDelete,Move,MoveToDeletedItems,SoftDelete -LogonTypes Admin,Delegate,Owner -StartDate 01/01/2021 -EndDate 01/31/2021 -ShowDetails | 導出-CSV C:\AuditLogs.csv -NoTypeInformation

根據登錄類型查看和導出日誌：

Search-MailboxAuditLog [email protected] -ResultSize 250000 -StartDate 01/01/2021 -EndDate 01/31/2021 -LogonTypes Owner,Delegate,Admin -ShowDetails | 導出-CSV C:\AuditLogs.csv -NoTypeInformation

每週回顧角色變化

您應該這樣做，因為您應該注意非法的角色組更改，這可能會賦予攻擊者更高的權限，以便在您的租戶中執行更危險和更有影響力的事情。

• 轉到安全門戶>搜索>審核日誌搜索
• 在搜索中鍵入“角色”並選擇“將成員添加到角色”和“從目錄角色中刪除用戶”

監控所有客戶租戶的角色變化

每週查看郵箱轉發規則

您應該至少每週檢查一次郵箱轉發到外部域的規則。有幾種方法可以做到這一點，包括使用 PowerShell 腳本簡單地查看所有郵箱上的外部域的郵件轉發規則列表，或者通過審核日誌搜索查看上週的郵件轉發規則創建活動。雖然郵件轉發規則有很多合法用途，但對於攻擊者來說，這也是一種非常流行的數據洩露策略。您應該定期查看它們，以確保您的用戶的電子郵件沒有被洩露。運行下面鏈接的 PowerShell 腳本將在 System32 文件夾中生成兩個 csv 文件，“MailboxDelegatePermissions”和“MailForwardingRulesToExternalDomains”。

• 監控單個租戶
• 監控所有 Microsoft 365/Office 365 客戶租戶中的外部郵箱轉發

每兩週查看非所有者的郵箱訪問報告

此報告顯示郵箱所有者以外的其他人訪問了哪些郵箱。雖然委託權限有許多合法用途，但定期審查該訪問權限有助於防止外部攻擊者長時間保持訪問權限，並有助於更快地發現惡意的內部活動。

• 在 Exchange 管理中心，轉到合規性管理>審核
• 點擊“運行非所有者郵箱訪問報告…… ”

• 指定數據范圍並運行搜索

每週查看惡意軟件檢測報告

此報告顯示 Microsoft 阻止惡意軟件附件到達您的用戶的特定實例。雖然此報告並非嚴格可操作，但查看它可以讓您了解針對您的用戶的惡意軟件的總量，這可能會促使您採取更積極的惡意軟件緩解措施

• 轉到安全門戶>報告>儀表板

• 滾動到底部並單擊電子郵件中檢測到的惡意軟件

• 查看檢測報告並單擊 + 創建計劃

• 創建每週報告計劃並將其發送到適當的電子郵件地址

每週查看您的帳戶配置活動報告

此報告包括嘗試向外部應用程序配置帳戶的歷史記錄。如果您通常不使用第三方提供商來管理帳戶，那麼列表中的任何條目都可能是非法的。但是，如果您這樣做，這是監控交易量並尋找管理用戶的新的或不尋常的第三方應用程序的好方法。

• 在 Microsoft 365 管理中心>管理中心的 Azure Active Directory>Azure Active Directory>審核日誌中

• 在活動部分中，搜索“外部”並選擇邀請外部用戶

這就是您改善交易所在線保護以獲得更好安全性的方式。

現在我想听聽你的意見：

您覺得今天報告中的哪個發現最有趣？或者，也許您對我所涵蓋的內容有疑問。

不管怎樣，我想听聽你的意見。所以繼續在下面發表評論。