MX-Records für Onmicrosoft Fallbackdomain setzen - Mailzustellung unterbinden

Servus Leute,

heute ist mir ein relativ gravierender Sicherheitsmangel an unserem E-Mail System aufgefallen, den ich gerne schnellstmöglich abstellen möchte.

Folgendes... Wir haben eine Domain... Die MX-Records sind schon seit jeher so gesetzt, dass Sie auf den Mailserver unseres Mailgateways zeigen (Drittanbieter E-Mail Security Cloud Dienst)... Dies hatten wir schon in Zeiten unseres On-Prem Exchange Servers so. Vor einiger Zeit haben wir uns von unserem Exchange Server getrennt und sind zu Exchange Online / O365 migriert.

Heute hatten wir dann von einem Endpoint die Meldung, dass im Postfach in Outlook eine E-Mail mit Malware im Anhang gefunden und gelöscht wurde. Kurze Aufregung, soweit so gut, aber wie kommt die Mail überhaupt dort hin?

Wir haben dann gerätselt, Protokolle von den Mailfiltern und Firewall ausgewertet, nichts gefunden, kein Eintrag, gar nix, nirgendwo etwas das zu dieser E-Mail passt... Aber sie war definitiv in dem Postfach und zum Zeitpunkt der letzten Sicherung des Postfachs etwa eine Stunde zuvor noch nicht.

Drauf gekommen bin ich dann, als ich mir die Nachrichtenablaufverfolgung in Exchange Online angesehen und dann nochmal genau angesehen habe... Da gab es nämlich einen Eintrag der vom Timestamp her passte.

Gesendet wurde die E-Mail nämlich nicht an peter@meinefirma.de sondern an peter@meinefirma.onmicrosoft.com, also an die Fallbackdomain, welche ja automatisch bei jedem Postfach mit als valide Empfängeradresse eingetragen ist.

Dadurch springt die E-Mail natürlich auch schlicht und ergreifend an unserem ach so tollen E-Mail Filtersystem mit Sandboxing und pipapo vorbei das hinter unserer primären Domäne meinefirma.de stehen würde und kommt direkt ins Postfach... Gut... Outlook hat sie zumindest in den Junkmailordner verschoben...

Jetzt frage ich mich... wie kann ich dafür sorgen, dass E-Mails die an die O365 Fallbackdomain gesendet werden auf jeden Fall auch über die E-Mail Filter geleitet werden. Wie wird das bei euch gehandhabt?

Ich bin noch zu keiner vernünftigen Lösung gekommen. MX-Einträge kann ich für mein dafürhalten nicht umbiegen, die Fallbackdomain als Empfangsadresse aus allen Postfächern zu entfernen wäre evtl. eine Möglichkeit aber sicher nicht im Sinne des Erfinders und erfordert dann bei jedem neu angelegten Postfach wieder ein Kontrolle... Die Fallbackdomain kann ich auch nicht als akzeptierte Empfangsdomain "Stilllegen" o.ä.

Bestimmt eigentlich was total triviales, was jeder, außer uns Noppeln, standardmäßig für seine organisation Konfiguriert hat... aber des hat uns heute kalt erwischt....

Bitte um Ratschläge!

Vielen Dank!

A&O

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 5266257067

Url: https://administrator.de/contentid/5266257067

Ausgedruckt am: 02.11.2024 um 22:11 Uhr

3 Kommentare

Neuester Kommentar

Moin,
leg doch einfach eine Transport Regel an, welche die Domain onmicrosoft.com blockiert/ablehnt.

Gruß,
Dani

Servus Dani,

vielen Dank für deinen Beitrag... das habe ich gestern bereits auf verschiedenen Wegen versucht... z.B. so:

Regeleinstellungen
Regelname
Fallbackdomain deny
Schweregrad
High
Absenderadresse
Matching Header
Bei Regelverarbeitungsfehlern
Ignore
Modus
Enforce
Zeitraum festlegen
Ein bestimmter Datumsbereich ist nicht festgelegt
Priorität
0
Regelbeschreibung
Diese Regel anwenden, wenn

Includes these words in the recipient's address 'meinefirma.onmicrosoft'  

Gehen Sie wie folgt vor:

Set audit severity level to 'High'  
and Delete the message without notifying the recipient or sender
and Stop processing more rules

Regelkommentare

Oder so:

Regeleinstellungen
Regelname
Fallbackdomain deny
Schweregrad
High
Absenderadresse
Matching Header
Bei Regelverarbeitungsfehlern
Ignore
Modus
Enforce
Zeitraum festlegen
Ein bestimmter Datumsbereich ist nicht festgelegt
Priorität
0
Regelbeschreibung
Diese Regel anwenden, wenn

recipients's address domain portion belongs to any of these domains: 'meinefirma.onmicrosoft.com'  

Gehen Sie wie folgt vor:

Set audit severity level to 'High'  
and Delete the message without notifying the recipient or sender
and Stop processing more rules

Regelkommentare

Aber leider greift die Regel einfach nicht... So schaut die Nachrichtenablaufverfolgung für eine solche Nachricht mit den oben dargestellten Transportregeln aus:

Datum (UTC) | Ereignis | Detail |
------------------------------------
1/10/2023, 11:09 AM | Receive | Message received by: ABC123.PROD.OUTLOOK.COM using TLS1.2 with AES256

1/10/2023, 11:09 AM | Resolve | The message was resolved to peter@meinefirma.de.

1/10/2023, 11:09 AM | Deliver | The message was successfully delivered.

Wenn ich nun aber z.B. die Regel so umgestalte:

Includes these words in the recipient's address 'meinefirma.onmicrosoft'

nach

Includes these words in the recipient's address 'peter'

Dann haut das so wie gewünscht hin:

Datum (UTC) | Ereignis | Detail |
------------------------------------
1/10/2023, 11:10 AM | Receive | Message received by: ABC123.PROD.OUTLOOK.COM using TLS1.2 with AES256

1/10/2023, 11:10 AM | Resolve | The message was resolved to peter@meinefirma.de.

1/10/2023, 11:10 AM | Fail | Reason: [{LED=550 5.2.1 Message deleted by the transport rules agent};{MSG=};{FQDN=};{IP=};{LRT=}]

1/10/2023, 11:10 AM | Drop | Reason: [{LED=550 5.2.1 Message deleted by the transport rules agent};{MSG=};{FQDN=};{IP=};{LRT=}]

1/10/2023, 11:10 AM | Transport rule | Transport rule: 'Fallbackdomain deny', ID: ('FFF238FF-4DE9-49EB-8212-BE9619E9981C'), DLP policy: '', ID: (00000000-0000-0000-0000-000000000000).  

1/10/2023, 11:10 AM | Transport rule | Transport rule: 'Fallbackdomain deny', ID: ('FFF238FF-4DE9-49EB-8212-BE9619E9981C'), DLP policy: '', ID: (00000000-0000-0000-0000-000000000000).  

1/10/2023, 11:10 AM | Transport rule | Transport rule: 'Fallbackdomain deny', ID: ('FFF238FF-4DE9-49EB-8212-BE9619E9981C'), DLP policy: '', ID: (00000000-0000-0000-0000-000000000000).  

Meine Vermutung also: Die Regeln können nicht für etwas das hinter dem @ einer Absenderadresse kommt angewendet werden... er schaut sich immer nur den vorderen Teil an....

Hat hier jemand einen Tip für mich?

Trotzdem frage ich mich.... was ist denn eigentlich die Best Practice für mein Problem? Wir werden hier ja nicht die einzigen auf der Welt sein, die so eine Konfiguration haben.... aber ich tue mich auch wirklich überraschend schwer irgendwas brauchbares hierzu zu recherchieren... was mir irgendwie das Gefühl gibt, dass wir was total triviales übersehen haben über das sich sonst kein Mensch Gedanken macht, weil es eh total offensichtlich sein müsste?

Vielen Dank!