https://www.techradar.com/pro/misconfigurations-in-microsoft-exchange-open-new-doors-to-email-spoofing-attacks-here-s-how-it-works
根據 Acronis Threat Research Unit 的一份新報告,發現 Microsoft Exchange Online 設置中存在一個漏洞,可能使得電子郵件仿冒攻擊得以實現。
此問題主要影響使用混合配置的用戶,該配置包括本地 Exchange 和 Exchange Online,以及使用第三方電子郵件安全解決方案的用戶。2023 年 7 月,Microsoft 對如何在 Microsoft Exchange 中處理 DMARC(基於域的郵件身份驗證、報告和一致性)進行了重大改變。該更新旨在通過加強電子郵件伺服器驗證進入郵件的合法性來提高安全性。然而,儘管Microsoft提供了清晰的指導,但仍有相當多的用戶未能實施這些安全措施,讓他們的系統面臨各種網絡威脅,尤其是電子郵件仿冒。
當 Exchange Online 被用作郵件伺服器時,並不需要本地的 Exchange 伺服器或第三方反垃圾郵件解決方案。然而,當 Exchange Online 在混合環境中使用時——本地 Exchange 伺服器通過連接器與 Exchange Online 進行通信——或者涉及第三方 MX 伺服器時,就會出現漏洞。電子郵件仍然是網絡犯罪分子的主要攻擊目標,因此,強大的安全協議對於保護免受仿冒攻擊至關重要。為此,已經開發了三個關鍵協議:發件人政策框架(SPF)檢查一個郵件伺服器是否被授權代表某個域通過 DNS 記錄發送電子郵件;域密鑰識別郵件(DKIM)允許電子郵件進行數位簽名,驗證其來源來自授權伺服器並確認發件人的域名的真實性;基於域的郵件身份驗證、報告和一致性(DMARC)決定如何處理未通過 SPF 或 DKIM 檢查的電子郵件,指定拒絕或隔離等行動以增強電子郵件安全性。
為了理解電子郵件安全協議如何協同工作,可以考慮一個典型的電子郵件流:伺服器 A 向接收者域(例如,ourcompany.com)發起 DNS 請求以尋找郵件交換(MX)伺服器,然後通過其中一個 MX 伺服器(伺服器 B)將電子郵件從 “[email protected]” 發送到 “[email protected]”。接著,伺服器 B 通過檢查該電子郵件是否來自授權伺服器(SPF 驗證)、確保存在有效 DKIM 簽名,以及遵循該域 DMARC 政策中指定的行動來驗證電子郵件。如果伺服器 A 未在 SPF 記錄中列出、缺乏有效的 DKIM 簽名,或者 DMARC 政策設為 “拒絕”,那麼伺服器 B 應該拒絕該電子郵件。然而,如果接收伺服器配置錯誤,這些安全檢查可能會被繞過,允許電子郵件被投遞並構成重大的安全風險。
在混合環境中,Exchange Hybrid Setup 向導通常會創建標準的入站和出站連接器,以促進 Exchange Online 和本地 Exchange 伺服器之間的數據交換。然而,配置錯誤可能會發生,特別是當管理員未能意識到潛在風險或未能鎖定其 Exchange Online 組織以僅接受來自受信來源的郵件時。入站連接器在確定交換伺服器如何處理進入電子郵件方面起著至關重要的作用。在混合環境中,管理員必須確保正確的連接器存在且已正確配置。這包括創建帶有特定 IP 地址或證書的夥伴連接器,以確保僅接受來自受信來源的電子郵件。若未採取這些預防措施,配置錯誤的入站連接器可能使惡意電子郵件繞過安全檢查,導致潛在的安全漏洞。
使用第三