背景介绍

近些年来,越来越多的攻击者利用社会工程学技巧伪造正常邮件内容,诱骗用户点击邮件链接或下载附件文件,这种攻击方式瞄准了企业安全防护中最薄弱的环节普通用户和终端环境,结合社会工程学和终端安全漏洞进行有效攻击,也为恶意代码的大范围感染和传播提供了诸多便利。多家企业和机构曾对钓鱼邮件攻击展开过调查:Google 与加州大学伯克利分校的研究人员近期的一份调查研究报告显示:网络钓鱼攻击对用户账户安全的威胁甚于信息泄露:

  1. APWG(Anti-Phishing Working Group)曾在多次钓鱼邮件趋势报告中指出钓鱼攻击各个行业的威胁;
  2. 过去一段时间,有大量钓鱼邮件用来传播 Cerber、Locky 等勒索软件;
  3. 在已经曝光的 APT 事件中,多数攻击者都是将钓鱼邮件作为渗透到目标内部网络的入口,鱼叉攻击方式也成为 APT 组织常用方式之一。

因此,无论对个人用户还是企业、组织来说,钓鱼邮件攻击都是最为严重的安全威胁之一。为了更好地保障企业网络安全,及时发现并处置来自于钓鱼邮件的威胁,除了使用邮件网关等安全产品之外,邮件管理员可基于现有的 ​​Office 365邮件规则​​ 添加外部电子邮件发件人警告消息。

通过邮件头信息获取真实发件人域名,如不在组织内部,则在邮件顶部增加相关醒目提示,提醒收件人注意邮件内容。也可根据邮件标题或正文增加相关关键字匹配,一旦触发相关关键字则增加醒目的提示,本文做两个样式供参考、区分

效果图

在Office 365 EXO中添加外部电子邮件发件人提示_M365 在Office 365 EXO中添加外部电子邮件发件人提示_Exchange_02 950·210


在Office 365 EXO中添加外部电子邮件发件人提示_M365_03 在Office 365 EXO中添加外部电子邮件发件人提示_M365_04 950·207


样式代码

样式一

<table border=0 cellspacing=0 cellpadding=0 align="left" width="100%" margin="auto">
    <tr>
        <td style="background:#FFB900;padding:5.0pt 2.0pt 5.0pt 2.0pt">td>
        <td width="100%" style="width:100.0%;background:#FFF8E5;padding:5.0pt 4.0pt 5.0pt 12.0pt"
            cellpadding="7px 6px 7px 15px">
            <div>
                <p><b><span lang="EN-US" style="font-size:15px;
                        font-family:微软雅黑,sans-serif;color:#222222">注意:span>b><span lang="EN-US"
                        style="font-size:13px;font-family:微软雅黑,sans-serif;color:#222222">
                    span><span
                        style="font-size:13px;font-family:微软雅黑,sans-serif;color:#222222">此邮件非ITPro内部邮箱发送,请不要轻易点击邮件中的链接或附件。<span
                            lang="EN-US"><br>
                        span>如不确定该邮件是否可信,可将此邮件作为附件发送至<span class="SpellE"><span
                                lang="EN-US">HelpDeskspan>span><span lang="EN-US">: <a
                                href="mailto:HelpDesk@ITPro.cc">HelpDesk@ITPro.cca>
                            <o:p>o:p>
                        span>span>p>
            div>
        td>
    tr>
table>
<br />

样式二

<table cellpadding="3" style="background-color:#E4E4E4;border:1px solid #FF0000;color:#FF0000;width:100%;margin:auto;">
    <tr>
        <td style="font-family: 微软雅黑,san-serif;font-size:10;">
            <p>注意:此邮件来自组织外部,不要轻易点击链接或打开附件。
                除非您认识该邮件发送者,并且确认内容是安全的。<br>
                CAUTION: This email originated from outside of the organization. Do not click links or open attachments
                unless you recognize the sender, and know the content is safe.
            p>
        td>
    tr>
table>

本文为 ​​微风​​ 原创文章.经实践,测试,整理发布.如需转载请联系作者获得授权,并注明转载地址.

部署

创建两条邮件流规则

注意:这里需要设置正文关键字规则的优先级高于发件人显示名、域名关键词的规则,并且在匹配正文关键字这条规则后,停止后续显示名关键字规则

在Office 365 EXO中添加外部电子邮件发件人提示_Exchange_05

规则一:正文关键字规则

在Office 365 EXO中添加外部电子邮件发件人提示_Exchange_06 在Office 365 EXO中添加外部电子邮件发件人提示_M365_07 950·438

在Office 365 EXO中添加外部电子邮件发件人提示_M365_08 在Office 365 EXO中添加外部电子邮件发件人提示_M365_09 950·493

正文关键词正则式样例

# 以下增加几个常见的钓鱼邮件正文关键词,仅供参考:
(过期|重置|修改|更新|解锁|解冻|重置).*密码
密码.*(过期|重置|修改|更新|解锁|解冻|重置)
(reset|change|update).*password
Password.*(expire|reset)
You have received a secure message
Release Pending Message To Inbox
This message is password protected

规则二:发件人显示名、发件地址关键字规则

在Office 365 EXO中添加外部电子邮件发件人提示_M365_10


# 外部发件人地址显示名包含 ITPro|ITPr0|itpro 等仿冒ITPRO 域名的均作为标识
^[a-zA-Z0-9._]+@([a-zA-Z09.]{0,})(itpro|itpr0|ltpro|ltpr0|1tpro|1tpr0)([a-zA-Z0-9.]{0,})(\.[a-zA-Z0-9]+){0,}$


总结

上述仅结合现有的环境​​O365​​做一些的优化(不产生额外费用)。实际生产环境还是需要结合邮件网关等平台做更深层次的防护。