MX-Records für Onmicrosoft Fallbackdomain setzen - Mailzustellung unterbinden
Servus Leute,
heute ist mir ein relativ gravierender Sicherheitsmangel an unserem E-Mail System aufgefallen, den ich gerne schnellstmöglich abstellen möchte.
Folgendes... Wir haben eine Domain... Die MX-Records sind schon seit jeher so gesetzt, dass Sie auf den Mailserver unseres Mailgateways zeigen (Drittanbieter E-Mail Security Cloud Dienst)... Dies hatten wir schon in Zeiten unseres On-Prem Exchange Servers so. Vor einiger Zeit haben wir uns von unserem Exchange Server getrennt und sind zu Exchange Online / O365 migriert.
Heute hatten wir dann von einem Endpoint die Meldung, dass im Postfach in Outlook eine E-Mail mit Malware im Anhang gefunden und gelöscht wurde. Kurze Aufregung, soweit so gut, aber wie kommt die Mail überhaupt dort hin?
Wir haben dann gerätselt, Protokolle von den Mailfiltern und Firewall ausgewertet, nichts gefunden, kein Eintrag, gar nix, nirgendwo etwas das zu dieser E-Mail passt... Aber sie war definitiv in dem Postfach und zum Zeitpunkt der letzten Sicherung des Postfachs etwa eine Stunde zuvor noch nicht.
Drauf gekommen bin ich dann, als ich mir die Nachrichtenablaufverfolgung in Exchange Online angesehen und dann nochmal genau angesehen habe... Da gab es nämlich einen Eintrag der vom Timestamp her passte.
Gesendet wurde die E-Mail nämlich nicht an peter@meinefirma.de sondern an peter@meinefirma.onmicrosoft.com, also an die Fallbackdomain, welche ja automatisch bei jedem Postfach mit als valide Empfängeradresse eingetragen ist.
Dadurch springt die E-Mail natürlich auch schlicht und ergreifend an unserem ach so tollen E-Mail Filtersystem mit Sandboxing und pipapo vorbei das hinter unserer primären Domäne meinefirma.de stehen würde und kommt direkt ins Postfach... Gut... Outlook hat sie zumindest in den Junkmailordner verschoben...
Jetzt frage ich mich... wie kann ich dafür sorgen, dass E-Mails die an die O365 Fallbackdomain gesendet werden auf jeden Fall auch über die E-Mail Filter geleitet werden. Wie wird das bei euch gehandhabt?
Ich bin noch zu keiner vernünftigen Lösung gekommen. MX-Einträge kann ich für mein dafürhalten nicht umbiegen, die Fallbackdomain als Empfangsadresse aus allen Postfächern zu entfernen wäre evtl. eine Möglichkeit aber sicher nicht im Sinne des Erfinders und erfordert dann bei jedem neu angelegten Postfach wieder ein Kontrolle... Die Fallbackdomain kann ich auch nicht als akzeptierte Empfangsdomain "Stilllegen" o.ä.
Bestimmt eigentlich was total triviales, was jeder, außer uns Noppeln, standardmäßig für seine organisation Konfiguriert hat... aber des hat uns heute kalt erwischt....
Bitte um Ratschläge!
Vielen Dank!
A&O
heute ist mir ein relativ gravierender Sicherheitsmangel an unserem E-Mail System aufgefallen, den ich gerne schnellstmöglich abstellen möchte.
Folgendes... Wir haben eine Domain... Die MX-Records sind schon seit jeher so gesetzt, dass Sie auf den Mailserver unseres Mailgateways zeigen (Drittanbieter E-Mail Security Cloud Dienst)... Dies hatten wir schon in Zeiten unseres On-Prem Exchange Servers so. Vor einiger Zeit haben wir uns von unserem Exchange Server getrennt und sind zu Exchange Online / O365 migriert.
Heute hatten wir dann von einem Endpoint die Meldung, dass im Postfach in Outlook eine E-Mail mit Malware im Anhang gefunden und gelöscht wurde. Kurze Aufregung, soweit so gut, aber wie kommt die Mail überhaupt dort hin?
Wir haben dann gerätselt, Protokolle von den Mailfiltern und Firewall ausgewertet, nichts gefunden, kein Eintrag, gar nix, nirgendwo etwas das zu dieser E-Mail passt... Aber sie war definitiv in dem Postfach und zum Zeitpunkt der letzten Sicherung des Postfachs etwa eine Stunde zuvor noch nicht.
Drauf gekommen bin ich dann, als ich mir die Nachrichtenablaufverfolgung in Exchange Online angesehen und dann nochmal genau angesehen habe... Da gab es nämlich einen Eintrag der vom Timestamp her passte.
Gesendet wurde die E-Mail nämlich nicht an peter@meinefirma.de sondern an peter@meinefirma.onmicrosoft.com, also an die Fallbackdomain, welche ja automatisch bei jedem Postfach mit als valide Empfängeradresse eingetragen ist.
Dadurch springt die E-Mail natürlich auch schlicht und ergreifend an unserem ach so tollen E-Mail Filtersystem mit Sandboxing und pipapo vorbei das hinter unserer primären Domäne meinefirma.de stehen würde und kommt direkt ins Postfach... Gut... Outlook hat sie zumindest in den Junkmailordner verschoben...
Jetzt frage ich mich... wie kann ich dafür sorgen, dass E-Mails die an die O365 Fallbackdomain gesendet werden auf jeden Fall auch über die E-Mail Filter geleitet werden. Wie wird das bei euch gehandhabt?
Ich bin noch zu keiner vernünftigen Lösung gekommen. MX-Einträge kann ich für mein dafürhalten nicht umbiegen, die Fallbackdomain als Empfangsadresse aus allen Postfächern zu entfernen wäre evtl. eine Möglichkeit aber sicher nicht im Sinne des Erfinders und erfordert dann bei jedem neu angelegten Postfach wieder ein Kontrolle... Die Fallbackdomain kann ich auch nicht als akzeptierte Empfangsdomain "Stilllegen" o.ä.
Bestimmt eigentlich was total triviales, was jeder, außer uns Noppeln, standardmäßig für seine organisation Konfiguriert hat... aber des hat uns heute kalt erwischt....
Bitte um Ratschläge!
Vielen Dank!
A&O
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5266257067
Url: https://administrator.de/contentid/5266257067
Ausgedruckt am: 02.11.2024 um 22:11 Uhr
3 Kommentare
Neuester Kommentar
Moin,
ich bin grad kurz angebunden. Daher zwei Artikel für dich zur Kontrolle:
https://witit.blog/block-direct-delivery-to-onmicrosoft-com-exchange-hyb ...
https://www.eshlomo.us/block-onmicrosoft-domain-in-office365/
Gruß,
Dani
ich bin grad kurz angebunden. Daher zwei Artikel für dich zur Kontrolle:
https://witit.blog/block-direct-delivery-to-onmicrosoft-com-exchange-hyb ...
https://www.eshlomo.us/block-onmicrosoft-domain-in-office365/
Gruß,
Dani