오토포워딩은 나쁨
사용자가 Exchange Online 외부로 이메일을 전달할 수 있게 하는 것은 좋지 않으며, 특히 전달된 메시지를 메일함에 복사하지 않는 경우에는 더욱 그렇습니다. 데이터 관리 정책에서 제한하는 이메일을 제외하고, 조직 외부로 기밀 정보가 이동할 가능성이 있으며, 특히 해커가 메일함을 해킹하고 소유자의 동의 없이 전달을 설정할 때 발생합니다. 해킹된 사용자가 받는 트래픽을 이해하여 비즈니스 이메일 위조 공격을 실행하려고 하는 것입니다.
이 두 파트로 구성된 시리즈에서 먼저 OWA 사용자가 RBAC를 사용하여 오토포워드 주소를 제한하는 방법을 살펴보겠습니다. 두 번째 기사에서는 조직 외부로 이메일 유출을 막기 위해 모든 클라이언트에 적용되는 일부 차단 기능을 설명합니다.
오토포워딩 중인 사용자는 누구일까요?
포워딩은 서버 기능이기 때문에 사용자가 OWA에서 포워딩 주소를 설정하면 사서함으로 들어오는 이메일이 전달됩니다. 현재 메일이 전달되고 있는지 확인하려면 아래 명령을 실행합니다:
Get-Mailbox -RecipientTypeDetails UserMailbox -Filter {ForwardingSmtpAddress -ne $Null} -ResultSize Unlimited | Format-Table DisplayName, ForwardingSmtpAddress, DeliverToMailboxAndForward -AutoSize
DisplayName ForwardingSmtpAddress DeliverToMailboxAndForward
----------- --------------------- --------------------------
Vasil Michev (Technical Guru) smtp:[email protected] True
Ståle Hansen smtp:[email protected] True
Eoin Redmond smtp:[email protected]
사용자에게 공격을 저항하도록 가르치는 것도 좋지만 이메일 전달 기능을 차단하는 것이 더 좋습니다. 사용자가 오토포워드를 생성하는 데 필요한 cmdlet 매개변수를 포함하지 않는 새 사용자 역할 할당 정책을 만듭니다.
오토포워드 주소 설정 방법
Exchange Online(또는 온프레미스)에서 메시지를 자동 전달하는 OWA 옵션은 OWA 설정의 메일 섹션에 있습니다(그림 1).
자동 전달 주소가 설정되면, OWA는 이제 OWA 계정 관리자로 불리는 것을 사용자에게 알립니다(메뉴 바에 그림 2).
역할 기반 액세스 제어 및 Exchange
새로운 OWA는 향상된 인터페이스를 자랑하며, Exchange 2010부터 존재해온 역할 기반 액세스 제어(RBAC) 메커니즘은 이번 화려한 새로운 외관을 뒷받침하며, 마치 Exchange 관리 센터(EAC)가 하는 것처럼 작동합니다.
RBAC는 PowerShell cmdlet 및 해당 매개변수에 대한 액세스를 활성화하여 작동합니다. cmdlet을 실행하거나 매개변수에 값을 전달할 수 없는 경우 기능에 액세스할 수 없습니다. 메일박스에 적용된 역할 할당 정책은 기능에 대한 액세스를 제어하는 역할 집합으로 구성됩니다. OWA와 같은 클라이언트는 사용자에게 기능이 사용 가능한지 알기 위해 RBAC를 사용합니다. 할당된 정책에 적절한 액세스가 포함되지 않아 메일박스가 기능에 차단된 경우, 사용자는 해당 기능을 표시하지 않습니다. 이는 간단하고 효과적인 시스템입니다. 적어도 개념적으로는 그렇습니다.
EAC의 Permissions 섹션을 통해 사용자 역할 할당 정책을 생성하고 할당할 수 있습니다. 개인 보존 태그 선택 기능과 같은 많은 기능을 배제하려는 경우 UI가 잘 작동합니다. 사람들이 소유한 배포 목록을 관리하면서 새 목록을 만들 수 없도록 하려는 경우와 같이 더 정밀하게 기능을 제한하는 것은 허용하지 않습니다. 이러한 종류의 변경을 하려면 PowerShell을 사용해야 합니다.
새 RBAC 역할 만들기
Exchange Online의 RBAC는 사용자가 매개변수 수준까지 cmdlet를 실행할 수 있도록 제한하는 원칙에 기반합니다. 관리자는 소유한 역할 때문에 모든 cmdlet와 매개변수를 실행할 수 있습니다. 일반 사용자는 보다 제한된 역할 할당 집합을 갖기 때문에 더 적은 작업을 수행할 수 있습니다. PowerShell에서 autoforward 주소를 설정하려면 다음과 같은 명령을 사용하여 Set-Mailbox cmdlet를 실행합니다:
Set-Mailbox -Identity Kim.Akers -ForwardingSmtpAddress [email protected] -DeliverToMailboxAndForward $True
따라서 사용자가 autoforward 주소를 만들지 못하게 하려면 ForwardingSmtppAddress 매개변수를 사용하여 Set-Mailbox cmdlet를 실행할 수 있는 기능을 제거해야 합니다.
RBAC로 블록을 구현하는 첫 번째 단계는 새로운 관리 역할을 생성하는 것인데, 기존의 MyBaseOptions 역할을 템플릿으로 사용합니다. 이는 새 역할이 MyBaseOptions에서 지원하는 모든 옵션, autoforward 주소를 설정하는 기능을 상속받는다는 것을 의미합니다.
New-ManagementRole MyBaseOptions-NoForward -Parent MyBaseOptions
역할 내 Cmdlet 매개변수 비활성화
저희는 Set-Mailbox의 모든 액세스를 제거하고 싶지는 않습니다. 왜냐하면 이 cmdlet은 다른 설정을 관리하는 데 사용되기 때문입니다.
예를 들어 외근 알림을 설정하는 것과 같은 다른 설정을 관리합니다만, OWA 옵션에서 사용되는 매개변수에 대한 액세스만 비활성화하고 싶습니다.
이제 새 관리 역할에 허용된 옵션에서 cmdlet에서 두 가지 매개변수를 제거하는 방법은 다음과 같습니다.
Set-ManagementRoleEntry MyBaseOptions-NoForward\Set-Mailbox -RemoveParameter -Parameters DeliverToMailboxAndForward, ForwardingSmtpAddress
권한 할당 정책 만들기
이제 맞춤형 역할이 있고 일반적으로 사용자가 받는 다른 역할과 결합해 새 정책을 만들어야 합니다.
다음 명령은 기본 역할과 우리의 맞춤형 역할을 결합한 새 사용자 역할 할당 정책을 만듭니다.
New-RoleAssignmentPolicy -Name PolicyWithNoEmailForward -Roles MyContactInformation, MyRetentionPolicies, MyMailSubscriptions, MyTextMessaging, MyVoiceMail, MyDistributionGroupMembership, MyDistributionGroups, MyProfileInformation, MyBaseOptions-NoForward -Description "User role assignment policy that restricts the assignees from being able to autoforward email outside the organization"
참고: 기본 역할이 업데이트되었다면 해당 변경 사항이 새 정책으로 이어집니다. EAC에서 정책을 열어 할당 사항을 확인할 수 있습니다 (그림 3).
대안은 EAC를 통해 기본 사용자 역할 할당 정책을 업데이트하여 그림 3과 같이 만드는 것입니다.
그러나 이 방법의 단점은 해당 변경 사항이 할당된 정책의 모든 사서함에 영향을 줄 것이라는 것입니다 (대개 조직 내의 모든 사서함).
이러한 변경을 원하지 않을 수 있으므로 새 정책이 최선의 옵션이 될 수 있습니다.
새 사용자 역할 할당 정책 적용
사용자 역할 할당 정책은 Set-Mailbox cmdlet을 실행하여 사서함에 적용됩니다. 여기서 우리는 정책을 하나의 사서함에 할당합니다.
Set-Mailbox -Identity James.Ryan -RoleAssignmentPolicy PolicyWithNoEmailForward
새 정책이 효과적이 되기까지는 약간의 시간이 소요됩니다. 효과적이 된 이후에 사용자는 전달 주소를 설정할 수 없을 것입니다.
왜냐하면 OWA가 정책에 필요한 cmdlet 매개변수를 포함하지 않았다는 것을 감지하고 UI를 숨기기 때문입니다 (그림 4).
PowerShell을 사용하면 한 번에 대량의 메일박스에 정책을 할당하기 쉬워집니다. 여기서는 자동 전달 주소가 있는 메일박스 그룹을 찾아 새 정책을 할당합니다. 동시에 기존의 자동 전달 주소를 제거하여 조직 외부로의 메시지 흐름을 막습니다. 정책 할당은 새 전달을 설정하는 능력을 비활성화하므로 기존 전달 주소를 제거하지는 않습니다.
Get-Mailbox -RecipientTypeDetails UserMailbox -Filter {ForwardingSmtpAddress -ne $Null} |
Set-Mailbox -RoleAssignmentPolicy "PolicyWithNoEmailForward" -ForwardingSmtpAddress $Null -DeliverToMailboxAndForward $False
이 시점에서 영향을 받는 메일박스 소유자에게 정중한 안내 메모를 보내어 이메일이 조직 내에 유지될 것이라는 좋은 소식을 전해주는 것이 좋을 것입니다.
최종 확인으로 새 정책이 있는 메일박스를 확인하려면 다음을 실행합니다:
Get-mailbox -RecipientTypeDetails UserMailbox | ?{$_.RoleAssignmentPolicy -eq "PolicyWithNoEmailForward"} | Format-Table DisplayName, RoleAssignmentPolicy
DisplayName RoleAssignmentPolicy
----------- --------------------
Kim Akers PolicyWithNoEmailForward
Vasil Michev PolicyWithNoEmailForward
Ståle Hansen PolicyWithNoEmailForward
Eoin Redmond PolicyWithNoEmailForward
필요한 경우 관리자는 Set-Mailbox(아래 예시)를 실행하거나 EAC를 통해 메일박스를 업데이트하여 메일박스의 자동 전달을 재설정할 수 있습니다. RBAC는 이러한 관리 문맥에는 적용되지 않습니다.
Set-Mailbox -Identity Kim.Akers -ForwardingSmtpAddress [email protected] -DeliverToMailboxAndForward $True
해결책의 일부
OWA 사용자가 자동 전달 주소를 생성하는 것을 막는 것은 조직 외부로 메시지를 자동 전달하는 것을 방지하는 좋은 첫 단계입니다. 그러나 이것은 첫 번째 단계에 불과합니다. 다른 클라이언트와 애플리케이션에는 자동 전달을 자동화하는 자체 방법이 있으므로 문제에 일관된 접근을 취하는 것이 중요합니다.
다음 단계는 자동 전달을 막기 위해 설립할 수 있는 다른 장벽에 대해 고려하는 것입니다. 이것은 이 시리즈의 제2장에 있습니다.
Source:
https://petri.com/stop-owa-users-autoforwarding-email/