Stoppen Sie OWA-Benutzer, die E-Mails automatisch weiterleiten

Autoforwarding ist schlecht

Das Zulassen von Benutzern, ihre E-Mails außerhalb von Exchange Online weiterzuleiten, ist schlecht, insbesondere wenn sie keine Kopie der weitergeleiteten Nachrichten in ihrem Postfach behalten. Abgesehen davon, dass E-Mails aus den Kontrollen entfernt werden, die durch Datenschutzrichtlinien auferlegt werden, birgt dies das Risiko, dass vertrauliche Informationen außerhalb der Organisation weitergegeben werden, auch wenn ein Angreifer sich Zugriff auf ein Postfach verschafft und die Weiterleitung ohne Wissen des Postfachbesitzers einrichtet. Dies geschieht, um den Datenverkehr zu verstehen, den der gehackte Benutzer erhält, um die Durchführung eines Business-E-Mail-Kompromissangriffs vorzubereiten.

In dieser zweiteiligen Serie betrachte ich zunächst, wie man OWA-Benutzer daran hindern kann, Autoforward-Adressen mithilfe von RBAC zu erstellen. Der zweite Artikel beschreibt einige weitere Sperren, die für alle Clients gelten, um das Austreten von E-Mails aus der Organisation zu stoppen.

Wer leitet weiter?

Die Weiterleitung ist eine Serverfunktion, daher werden alle E-Mails, die in das Postfach eingehen, weitergeleitet, sobald ein Benutzer eine Weiterleitungsadresse in OWA einrichtet. Um herauszufinden, ob E-Mails derzeit weitergeleitet werden, führen Sie den Befehl aus:

Get-Mailbox -RecipientTypeDetails UserMailbox -Filter {ForwardingSmtpAddress -ne $Null} -ResultSize Unlimited | Format-Table DisplayName, ForwardingSmtpAddress, DeliverToMailboxAndForward -AutoSize

DisplayName                   ForwardingSmtpAddress         DeliverToMailboxAndForward
-----------                   ---------------------         --------------------------
Vasil Michev (Technical Guru) smtp:[email protected]                              True
Ståle Hansen                  smtp:[email protected]                      True
Eoin Redmond                  smtp:[email protected]                               

Sie können Maßnahmen ergreifen, um Angriffe durch Schulung der Benutzer zu widerstehen, aber es ist besser, die Möglichkeit der E-Mail-Weiterleitung zu unterbinden. Dies können wir erreichen, indem wir eine neue Benutzerrollenzuweisungsrichtlinie erstellen, die die für einen Benutzer erforderlichen Cmdlet-Parameter zum Erstellen einer Autoforward nicht enthält.

Wie man eine Autoforward-Adresse einrichtet

Die OWA-Option zur automatischen Weiterleitung von Nachrichten aus Exchange Online (oder lokal) befindet sich im Postfachbereich der OWA-Einstellungen (Abbildung 1).

Nachdem eine automatische Weiterleitungs-Adresse eingerichtet wurde, informiert OWA den Benutzer in dem, was jetzt als OWA-Konto-Manager im Menüband bezeichnet wird (Abbildung 2).

Rollenbasierte Zugriffssteuerung und Exchange

Die neue OWA bietet eine verbesserte Benutzeroberfläche, und das Rollenbasierte Zugriffssteuerung (RBAC), das seit Exchange 2010 besteht, untermauert diese strahlende neue Erscheinung, genau wie es das Exchange Admin Center (EAC) tut.

RBAC funktioniert, indem es den Zugriff auf PowerShell-Cmdlets und ihre Parameter ermöglicht. Wenn Sie ein Cmdlet nicht ausführen oder einen Wert in einem Parameter nicht übergeben können, verlieren Sie den Zugriff auf eine Funktion. Die dem Postfach zugewiesene Rollenzuweisungsrichtlinie besteht aus einer Reihe von Rollen, von denen jede den Zugriff auf eine oder mehrere Funktionen steuert. Clients wie OWA verwenden RBAC, um zu wissen, wann eine Funktion für einen Benutzer verfügbar ist. Wenn ihr Postfach aufgrund der zugewiesenen Richtlinie keinen Zugriff auf eine Funktion hat, wird die Funktion nicht angezeigt. Es ist ein einfaches und effektives System. Zumindest ist es in der Theorie.

Sie können Benutzerrollenzuweisungsrichtlinien über den Berechtigungen-Abschnitt von EAC erstellen und zuweisen. Die Benutzeroberfläche funktioniert gut, wenn Sie einen großen Teil der Funktionalität ausschließen möchten, z. B. die Fähigkeit, persönliche Aufbewahrungstags auszuwählen. Es erlaubt nicht, die Funktionalität chirurgisch präziser zu kürzen, z. B. Personen zu erlauben, Verteilerlisten zu verwalten, die sie besitzen, während die Möglichkeit, neue Listen zu erstellen, entfernt wird. PowerShell muss verwendet werden, um diese Arten von Änderungen vorzunehmen.

Neue RBAC-Rolle erstellen

RBAC für Exchange Online funktioniert basierend auf der Einschränkung von Benutzern, Cmdlets bis auf die Parameter-Ebene ausführen zu können. Administratoren können alle Cmdlets und alle Parameter ausführen, weil sie die Rollen besitzen. Normale Benutzer haben eine eingeschränktere Menge an Rollenzuweisungen, daher können sie weniger tun. Um z. B. eine Autoforward-Adresse in PowerShell einzurichten, führen Sie das Set-Mailbox-Cmdlet mit einem Befehl wie diesem aus:

Set-Mailbox -Identity Kim.Akers -ForwardingSmtpAddress [email protected] -DeliverToMailboxAndForward $True

Daher müssen wir Benutzer davon abhalten, eine Autoforward-Adresse erstellen zu können, indem wir die Fähigkeit entfernen, das Set-Mailbox-Cmdlet mit dem ForwardingSmtpAddress-Parameter auszuführen.

Der erste Schritt zur Implementierung einer Blockierung mit RBAC besteht darin, eine neue Verwaltungsrolle unter Verwendung der vorhandenen MyBaseOptions-Rolle als Vorlage zu erstellen. Dies bedeutet, dass alle in MyBaseOptions unterstützten Optionen, einschließlich der Fähigkeit, eine Autoforward-Adresse einzurichten, von der neuen Rolle geerbt werden.

New-ManagementRole MyBaseOptions-NoForward -Parent MyBaseOptions

Deaktivieren von Cmdlet-Parametern in einer Rolle

Wir möchten nicht den gesamten Zugriff auf Set-Mailbox entfernen, weil dieses Cmdlet zum Verwalten anderer Einstellungen wie beispielsweise zum Setzen einer Abwesenheitsnotiz genutzt wird, aber wir möchten den Zugriff auf die Parameter, die in der OWA-Option verwendet werden, deaktivieren. So entfernen Sie die beiden Parameter aus dem Cmdlet in den Optionen, die in der neuen Verwaltungsrolle erlaubt sind.

Set-ManagementRoleEntry MyBaseOptions-NoForward\Set-Mailbox -RemoveParameter -Parameters DeliverToMailboxAndForward, ForwardingSmtpAddress

Erstellen einer Rollenzuweisungsrichtlinie

Wir haben nun eine maßgeschneiderte Rolle und müssen sie mit den anderen Rollen kombinieren, die Benutzer normalerweise in einer Benutzerrollenzuweisungsrichtlinie erhalten, um eine neue Richtlinie zu erstellen. Mit diesem Befehl erstellen Sie eine neue Benutzerrollenzuweisungsrichtlinie, die die Basisrollen und unsere angepasste Rolle kombiniert.

New-RoleAssignmentPolicy -Name PolicyWithNoEmailForward -Roles MyContactInformation, MyRetentionPolicies, MyMailSubscriptions, MyTextMessaging, MyVoiceMail, MyDistributionGroupMembership, MyDistributionGroups, MyProfileInformation, MyBaseOptions-NoForward -Description "User role assignment policy that restricts the assignees from being able to autoforward email outside the organization"

Hinweis: Wenn die Basisrollen aktualisiert wurden, werden diese Änderungen in die neue Richtlinie übernommen. Sie können die Zuweisungen überprüfen, indem Sie die Richtlinie in der EAC öffnen (Abbildung 3).

Ein alternativer Ansatz besteht darin, die Standard-Benutzerrollenzuweisungsrichtlinie über die EAC zu aktualisieren, sodass sie wie in Abbildung 3 aussieht. Der Nachteil ist, dass eine solche Änderung sich auf jedes Postfach auswirkt, dem die Richtlinie zugewiesen ist (oft jedes Postfach in der Organisation). Sie möchten dies möglicherweise nicht machen, weshalb eine neue Richtlinie die beste Option sein könnte.

Anwenden der neuen Benutzerrollenzuweisungsrichtlinie

Benutzerrollenzuweisungsrichtlinien werden auf Postfächer angewendet, indem das Set-Mailbox Cmdlet ausgeführt wird. Hier weisen wir die Richtlinie einem Postfach zu.

Set-Mailbox -Identity James.Ryan -RoleAssignmentPolicy PolicyWithNoEmailForward

Es dauert eine Weile, bis die neue Richtlinie wirksam wird. Sobald dies der Fall ist, wird der Benutzer keine Weiterleitung einrichten können, da OWA darauf hinweist, dass die Richtlinie die erforderlichen Cmdlet-Parameter nicht enthält und die Benutzeroberfläche unterdrückt (Abbildung 4).

PowerShell erleichtert die Zuweisung von Richtlinien an eine große Anzahl von Postfächern auf einmal. Hier finden wir die Gruppe von Postfächern, die eine automatische Weiterleitungsadresse haben, und weisen ihnen die neue Richtlinie zu. Gleichzeitig entfernen wir die bestehende automatische Weiterleitungsadresse, um zu verhindern, dass andere Nachrichten außerhalb der Organisation fließen. Dies ist ein wichtiger Schritt, da durch die Zuweisung der Richtlinie die Möglichkeit zur Einrichtung neuer Weiterleitungen deaktiviert wird. Es hat keine Auswirkungen auf das Entfernen bestehender Weiterleitungsadressen.

Get-Mailbox -RecipientTypeDetails UserMailbox -Filter {ForwardingSmtpAddress -ne $Null} |
Set-Mailbox -RoleAssignmentPolicy "PolicyWithNoEmailForward" -ForwardingSmtpAddress $Null -DeliverToMailboxAndForward $False

An diesem Punkt wäre es wahrscheinlich eine gute Idee, den Besitzern der betroffenen Postfächer eine höfliche Notiz zu senden, um ihnen die gute Nachricht mitzuteilen, dass E-Mails innerhalb der Organisation bleiben werden.

Als abschließende Überprüfung, um herauszufinden, welche Postfächer unsere neue Richtlinie haben, führen Sie aus:

Get-mailbox -RecipientTypeDetails UserMailbox | ?{$_.RoleAssignmentPolicy -eq "PolicyWithNoEmailForward"} | Format-Table DisplayName, RoleAssignmentPolicy

DisplayName                   RoleAssignmentPolicy
-----------                   --------------------
Kim Akers                     PolicyWithNoEmailForward
Vasil Michev                  PolicyWithNoEmailForward
Ståle Hansen                  PolicyWithNoEmailForward
Eoin Redmond                  PolicyWithNoEmailForward

Wenn erforderlich, kann ein Administrator die automatische Weiterleitung im Postfach zurücksetzen, indem er Set-Mailbox ausführt (Beispiel unten) oder indem er das Postfach über EAC aktualisiert. RBAC gilt nicht in diesen administrativen Kontexten.

Set-Mailbox -Identity Kim.Akers -ForwardingSmtpAddress [email protected] -DeliverToMailboxAndForward $True

Teil eins der Lösung

Das Stoppen von OWA-Benutzern bei der Erstellung von automatischen Weiterleitungsadressen ist ein guter erster Schritt, um das automatische Weiterleiten von Nachrichten außerhalb der Organisation zu verhindern. Es ist jedoch nur der erste Schritt. Andere Clients und Anwendungen haben ihre eigenen Möglichkeiten, Weiterleitungen zu automatisieren, daher ist es wichtig, einen kohärenten Ansatz für das Problem zu wählen.

Der nächste Schritt besteht darin zu überlegen, welche weiteren Barrieren errichtet werden können, um automatisches Weiterleiten zu stoppen. Das steht in Artikel 2 dieser Serie.