微軟 Exchange 配置錯誤引發電子郵件新風險

來自安克諾斯威脅研究單元的一份新報告發現，微軟 Exchange Online 的設置存在一個漏洞，此漏洞可能引發電子郵件欺騙攻擊。

此問題主要對具有本地 Exchange 與 Exchange Online 混合配置的用戶，以及使用第三方電子郵件安全解決方案的用戶產生影響。

2023 年 7 月，微軟在其 Microsoft Exchange 裡，對處理 DMARC（基於域的消息身份驗證、報告和一致性）的方式做出了重大改變。

此次更新的目的是通過增強電子郵件服務器對傳入電子郵件合法性的驗證方式來提高安全性。

不幸的是，儘管微軟給出了明確的指導，但是仍有相當多數量的用戶尚未落實這些安全措施，致使他們的系統容易遭受各種網絡威脅，尤其是電子郵件欺騙。

微軟 Exchange Online 能夠作爲郵件服務器使用，無需本地 Exchange 服務器，也無需第三方反垃圾郵件解決方案。

然而，當 Exchange Online 在混合環境中被使用（也就是本地 Exchange 服務器通過連接器與 Exchange Online 進行通信）或者涉及第三方 MX 服務器時，就會產生漏洞。

電子郵件仍然是網絡犯罪分子的主要目標，這就是爲什麼強大的安全協議對於防止欺騙至關重要。爲此目的已經開發了三個關鍵協議：發件人策略框架 (SPF) 藉助 DNS 記錄來檢查郵件服務器是否有權代表某個域發送電子郵件；域名密鑰識別郵件 (DKIM) 允許對電子郵件進行數字簽名，驗證它們是否來自授權服務器並確認發件人的域真實性；基於域的消息身份驗證、報告和一致性 (DMARC) 確定怎樣處理未通過 SPF 或 DKIM 檢查的電子郵件，指定像拒絕或隔離之類的操作，以增強電子郵件的安全性。

要了解電子郵件安全協議如何協同工作，請考慮一個典型的電子郵件流程：服務器 A 發起一個 DNS 請求，以定位收件人所在域（比如，ourcompany.com）的郵件交換（MX）服務器，然後通過其中一個 MX 服務器（服務器 B）從“user@company.com”向“user2@ourcompany.com”發送電子郵件。服務器 B 接着通過檢查電子郵件是否源自授權服務器（SPF 驗證）來驗證該郵件，確保存在有效的 DKIM 簽名，並遵循該域的 DMARC 策略所規定的操作。如果服務器 A 未在 SPF 記錄中列出、缺少有效的 DKIM 簽名或者如果 DMARC 策略設置爲“拒絕”，服務器 B 應該拒絕該電子郵件。然而，如果接收服務器配置錯誤，這些安全檢查可能會被繞過，從而允許電子郵件被傳遞並造成重大安全風險。

在混合環境中，Exchange 混合設置嚮導通常會創建標準的入站和出站連接器，以促進 Exchange Online 和本地 Exchange 服務器之間的數據交換。不過，可能會出現配置錯誤的情況，尤其是如果管理員沒有意識到潛在風險或者未能鎖定其 Exchange Online 組織，使其僅接收來自可信來源的郵件。

入站連接器在確定 Exchange 服務器如何處理傳入電子郵件方面起着極爲關鍵的作用。在混合環境中，管理員必須確保正確的連接器已設置妥當並配置正確。這包括利用特定的 IP 地址或證書來創建合作伙伴連接器，以確保僅接受來自受信任來源的電子郵件。要是沒有這些保障措施，配置錯誤的入站連接器可能會允許惡意電子郵件繞過安全檢查，從而導致潛在的危害。

當使用第三方 MX 服務器時，根據 微軟的建議 配置 Exchange Online 實例至關重要。如果不這樣做，可能會讓組織遭遇欺騙攻擊，因爲電子郵件可能會繞過像 DMARC、SPF 和 DKIM 這類關鍵的安全檢查。

例如，如果租戶的收件人域的 MX 記錄指向第三方電子郵件安全解決方案而不是微軟的，則 DMARC 策略將不會被應用。因此，來自未經驗證來源的電子郵件可能會被傳遞，增加了網絡釣魚及欺騙性攻擊的風險。

爲了防範電子郵件欺騙及相關風險，管理員應通過採取以下關鍵步驟來強化其 Exchange 環境：