Outlook en Office365 bieden de mogelijkheid om bepaalde e-mails automatisch te laten doorsturen naar een ander adres. Het wordt potentieel gevaarlijk wanneer dat doorsturen gebeurt naar een extern e-mailadres.
Bescherming tegen BEC en CEO-Fraude
Aanvallers die Business E-mail Compromise (BEC) of CEO-fraude toepassen, zijn beruchte misbruikers van automatische doorstuurregels. Ze krijgen toegang tot de e-mailbox van 1 medewerker, en sturen dan alle e-mail van die ene medewerker naar zichzelf door. Dan wachten ze af totdat er een keer een financieel georienteerd e-mail voorbij komt, zoals een betaalinstructie. Daaruit leiden ze af wie die instructie aan wie geeft en met welk taalgebruiken en e-mailtemplates. En die informatie gebruiken ze vervolgens om een misleidende variant van die e-mail te sturen met als doel om geld naar zichzelf over te laten maken.
Het automatisch doorsturen van e-mails naar buiten de organisatie moet daarom aan banden worden gelegd, en hooguit bij uitzondering worden toegelaten.
Auto-forwarding in Office365
Microsoft heeft op diverse plekken de mogelijkheid ingebouwd om automatisch doorgestuurde e-mails te blokkeren. Namelijk binnen Exchange en in het Outbound Spam Filter dat onderdeel is van het Security Center. Het is een kwestie van kiezen welke van die plekken wordt ingezet. Op de plek van keuze, moeten dan ook de uitzonderingen op de regel worden geconfigureerd. En om die uitzondering op de regel te laten werken, moet de andere plek zich niet meer met de e-mails bemoeien.
Op Zolder hebben wij ervoor gekozen om voor deze functie gebruik te maken van het Security Center. Daar wordt auto forwarding geblokkeerd als uitgangspunt, daar worden de uitzonderingen gedefinieerd. En Exchange Online laat die uitgezondere auto-forwards ongemoeid door. De gedachte daarachter is dat het Security Center beter overzicht biedt qua rapportage en finetuning voor deze regels. En sowieso de plek is waar veel meer security zaken dienen te worden geconfigureerd en waar Microsoft in doorontwikkeld.
Checks & Fixes
Omdat het auto-forwarding dus op verschillende plekken bij Microsoft geconfigureerd kan wroden, controleert Attic deze settings met verschillende checks. De volgende checks zijn van toepassing:
- CHK-1036 – Remote domains automatic forwarding allowed. Dit is de setting binnen Exchange Online waar automatisch doorsturen geblokkeerd kan worden, maar waar wij dus geen gebruik van maken. De check controleert dus of het blokkeren hier UIT staat.
- CHK-1049 – Outbound Spam Filter. Het outbound spamfilter wordt gebruikt om automatisch doorsturen te blokkeren. Blokkeren is de standaard instelling en daarnaast is een uitzonderingsregel actief (“[ZOLDER] auto forward policy”). Die policy staat autoforwarding wel toe, en hieraan kunnen users worden toegevoegd.
Voor deze checks is een Fix beschikbaar, en die zullen we via Attic aanbieden al naar gelang welke checks een alarm heeft gegenereerd.
Uitzonderingen
Users waarvoor autoforwarding toegestaan moet zijn, kunnen met hun e-mailadres worden gespecificeerd in de configuratie optie “autoforwardwhitelist” in Attic.