העברת דואר בצורה אוטומטית היא לא רע
לאפשר למשתמשים להעביר את הדואר האלקטרוני שלהם מחוץ ל-Exchange Online הוא רע, במיוחד אם הם לא שומרים עותק של ההודעות שהופנו בתיבת הדואר שלהם. בנוסף להסרת הדואר מהשלטים שנכנסים על ידי מדיניות שליטת נתונים, זה גורם לסיכון שמידע סודי יצא מהארגון, כולל כאשר תוקפן פורץ לתיבת הדואר ומגדיר הופנה ללא ידיעת בעלים של התיבה. נעשה זאת כדי להבין את התנועה שהמשתמש שנפרץ מקבל בהכנה לביצוע תקיפת דואר אלקטרוני במטרה עסקית.
בסדרת המאמרים הזו המורכבת משני חלקים, אני בפעם הראשונה מבחינה בכיצד להגביל משתמשים ב-OWA מהקמת כתובות העברה אוטומטיות באמצעות RBAC. המאמר השני מתאר כמה חסימות נוספות שמתייחסות לכל הלקוחות על מנת לעצור דואר חוצה מהארגון.
מי מעביר באופן אוטומטי?
ההעברה היא פונקציה של השרת, לכן כאשר משתמש מגדיר כתובת העברה ב-OWA, כל דואר שנכנס לתיבת הדואר יופנה. כדי לגלות אם כרגע יש העברה של דואר, יש להפעיל את הפקודה:
Get-Mailbox -RecipientTypeDetails UserMailbox -Filter {ForwardingSmtpAddress -ne $Null} -ResultSize Unlimited | Format-Table DisplayName, ForwardingSmtpAddress, DeliverToMailboxAndForward -AutoSize
DisplayName ForwardingSmtpAddress DeliverToMailboxAndForward
----------- --------------------- --------------------------
Vasil Michev (Technical Guru) smtp:[email protected] True
Ståle Hansen smtp:[email protected] True
Eoin Redmond smtp:[email protected]
ניתן לנקות צעדים כדי להתמודד עם תקיפות על ידי הדרכת משתמשים, אך עדיף לחתוך את יכולת העברת הדואר. נוכל לעשות זאת על ידי יצירת מדיניות חדשה לשיוך תפקיד משתמש שאינה כוללת את הפרמטרים הנדרשים על ידי משתמש כדי ליצור העברת דואר באופן אוטומטי.
כיצד לקבוע כתובת העברת דואר
באפשרותך להפעיל את האפשרות להפניה אוטומטית של הודעות מ-Exchange Online (או מקומי) בחלק הדואר של ההגדרות של OWA (כפי שמוצג באיור 1).
לאחר שמגדירים כתובת אוטומטית להפניה, OWA מודיעה למשתמש במה שעכשיו נקרא מנהל החשבון OWA בשורת התפריט (כפי שמוצג באיור 2).
שליטה מבוססת תפקידים ו-Exchange
ה-OWA החדש מציג ממשק משופר, ומנגנון שליטה מבוססת תפקידים (RBAC) שקיים מאז Exchange 2010 מאכסן את המראה המבריק החדש, בדיוק כמו שהוא עושה זאת במרכז הניהול של Exchange (EAC).
RBAC פועל על ידי מתן גישה ל-PowerShell cmdlets ולפרמטרים שלהם. אם אי אפשר להפעיל cmdlet או להעביר ערך בפרמטר, אז אין גישה לתכונה. מדיניות ההקצאה של התפקיד המופעלת על תיבת הדואר מורכבת מסט תפקידים, כשכל אחד מהם שולט בגישה לתכונה אחת או יותר. ללקוחות כמו OWA יש שימוש ב-RBAC כדי לדעת מתי תכונה זמינה למשתמש. אם תיבת הדואר שלהם מושהה מתכונה מכיוון שהמדיניות המוקצבת לא כוללת את הגישה הנכונה, המשתמש לא מציג את התכונה. זו מערכת פשוטה ויעילה. לפחות, זהו הרעיון.
ניתן ליצור ולהקצות מדיניות השמה לתפקיד משתמש דרך המדור Permissions של EAC. ה-UI עובד טוב אם ברצונך לאפשר את אפשרויותיו של כמה פונקציות גדולות כגון האפשרות לבחור תיוגי שמירה אישית. הוא לא מאפשר לחתוך את הפונקציונליות באופן רגוע יותר, כגון לאפשר לאנשים לנהל רשימות הפצה שהם בבעלותם בעוד שהם מסירים את היכולת ליצירת רשימות חדשות. יש להשתמש בפוורשל כדי לבצע שינויים כאלה.
יצירת תפקיד RBAC חדש
RBAC של Exchange Online עובד על בסיס הגבלת המשתמשים להפעלת cmdlets עד לרמת הפרמטרים. מנהלים יכולים להפעיל את כל ה-cmdlets ואת כל הפרמטרים בגלל התפקידים שלהם. משתמשים רגילים מקבלים סט מוגבל יותר של השמות לתפקיד, כך שהם יכולים לעשות יותר. לדוגמה, כדי להגדיר כתובת העברה אוטומטית בפוורשל, יש להפעיל את ה-cmdlet Set-Mailbox באמצעות פקודה דומה לכזו:
Set-Mailbox -Identity Kim.Akers -ForwardingSmtpAddress [email protected] -DeliverToMailboxAndForward $True
לכן, כדי למנוע ממשתמשים ליצור כתובת העברה אוטומטית, עלינו להסיר את היכולת להפעיל את ה-cmdlet Set-Mailbox עם פרמטר ForwardingSmtppAddress.
השלב הראשון ליישום חסימה בעזרת RBAC הוא ליצור תפקיד ניהול חדש באמצעות תבנית התפקיד MyBaseOptions הקיימת. זה אומר שכל האפשרויות הנתמכות ב- MyBaseOptions, כולל היכולת להגדיר כתובת העברה אוטומטית, יורשות לתפקיד החדש.
New-ManagementRole MyBaseOptions-NoForward -Parent MyBaseOptions
ניטרול פרמטרי Cmdlet בתפקיד
אנחנו לא רוצים להסיר גישה ל־ Set-Mailbox בגלל שהפקודה הזו משמשת לניהול הגדרות אחרות כמו קיבוע הודעת חופשה, אבל אנחנו רוצים לכיבות גישה לפרמטרים המשמשים באפשרות ה־OWA. הנה כיצד להסיר את שני הפרמטרים מהפקודה באפשרויות המותרות בתפקיד הניהול החדש.
Set-ManagementRoleEntry MyBaseOptions-NoForward\Set-Mailbox -RemoveParameter -Parameters DeliverToMailboxAndForward, ForwardingSmtpAddress
יצירת מדיניו מדיניות זכויות
כעת יש לנו תפקיד מותאם אישית ואנו צריכים לשלב אותו עם התפקידים האחרים שמשתמשי עם רובם בדרך כלל מקבלים במדיניות שיוך תפקיד משתמש כדי ליצור מדיניות חדשה. הפקודה הזו תייצר מדיניות חדשה השיוכת את תפקידי הבסיס והתפקיד המותאם אישית שלנו.
New-RoleAssignmentPolicy -Name PolicyWithNoEmailForward -Roles MyContactInformation, MyRetentionPolicies, MyMailSubscriptions, MyTextMessaging, MyVoiceMail, MyDistributionGroupMembership, MyDistributionGroups, MyProfileInformation, MyBaseOptions-NoForward -Description "User role assignment policy that restricts the assignees from being able to autoforward email outside the organization"
הערה: אם התפקידים הבסיסיים עודכנו, השינויים האלו יועברו קדימה למדיניות החדשה. ניתן לבדוק את השיוכים על ידי פתיחת המדיניות ב־EAC (איור 3).
הגישה האלטרנטיבית היא לעדכן את מדיניות שיוך תפקיד המשתמשים ברירת המחדל דרך EAC כך שתראה כמו באיור 3. החסרון הוא ששינוי כזה ישפיע על כל תיבת דואר שבה המדיניות משוייכת (לעיתים תיבת הדואר בכל הארגון). יתכן שתרצה לא לעשות זאת, ולכן מדיניות חדשה עשויה להיות האפשרות הטובה ביותר.
החלת מדיניות השיוך לתפקיד משתמש חדשה
מדיניות השיוך לתפקידי משתמש נשתלבים בתיבת הדואר על ידי הרצת הפקודה Set-Mailbox. כאן אנו משייכים את המדיניות לתיבת דואר אחת.
Set-Mailbox -Identity James.Ryan -RoleAssignmentPolicy PolicyWithNoEmailForward
יקח זמן קצת עד שהמדיניות החדשה תחול. כאשר זה קורה, המשתמש לא יוכל להגדיר כתובת העברה כי OWA תסמן כי המדיניות אינה כוללת את הפרמטרים הנחוצים לפקודה ותמוע על הממשק המשתמש (איור 4).
פווארשל מקל על הקצאת מדינויים למספר גדול של תיבות דואר בפעם אחת. כאן אנו מוצאים את סט התיבות שיש להן כתובת העברה אוטומטית ומקצים את המדיניות החדשה להן. בו זמנית, אנו מסירים את כתובת ההעברה הקיימת כדי למנוע מסרים אחרים לזרום מחוץ לארגון. זהו שלב חשוב מאחר וההקצאה של המדיניות מבטלת את היכולת להגדיר העברות חדשות. זה אינו פועל להסרת כל כתובת ההעברה הקיימת.
Get-Mailbox -RecipientTypeDetails UserMailbox -Filter {ForwardingSmtpAddress -ne $Null} |
Set-Mailbox -RoleAssignmentPolicy "PolicyWithNoEmailForward" -ForwardingSmtpAddress $Null -DeliverToMailboxAndForward $False
בנקודה זו, כנראה כי יהיה טוב לשלוח הודעה מנומסת לבעלי תיבות הדואר הנפגעות כדי לספר להם את החדשות הטובות שדואר האלקטרוני יישאר בתוך הארגון.
כצעד אחרון, כדי לגלות אילו תיבות דואר יש להן את המדיניות החדשה שלנו, רוץ:
Get-mailbox -RecipientTypeDetails UserMailbox | ?{$_.RoleAssignmentPolicy -eq "PolicyWithNoEmailForward"} | Format-Table DisplayName, RoleAssignmentPolicy
DisplayName RoleAssignmentPolicy
----------- --------------------
Kim Akers PolicyWithNoEmailForward
Vasil Michev PolicyWithNoEmailForward
Ståle Hansen PolicyWithNoEmailForward
Eoin Redmond PolicyWithNoEmailForward
אם נחוץ, מנהל יכול לאפס את ההעברה האוטומטית על התיבה דרך הרצת Set-Mailbox (כפי שמוצג למטה) או על ידי עדכון התיבה דרך EAC. RBAC אינה חלה בהקשרים המנהליים אלו.
Set-Mailbox -Identity Kim.Akers -ForwardingSmtpAddress [email protected] -DeliverToMailboxAndForward $True
חלק אחד מהפתרון
עצירת משתמשי OWA מיצירת כתובות העברה אוטומטיות היא צעד ראשון טוב למניעת העברת מסרים אוטומטית מחוץ לארגון. בכל מקרה, זהו רק הצעד הראשון. ללקוחות ויישומים אחרים יש דרכים משלהם לאוטומציה של העברות, לכן חשוב לקחת גישה עקבית לבעיה.
השלב הבא הוא לשקול אילו מחסומים אחרים ניתן להקים כדי למנוע ביצוע העברה אוטומטית. זה מתואר ב סעיף 2 של סדרת זו.
Source:
https://petri.com/stop-owa-users-autoforwarding-email/