Parar os Usuários do OWA de Encaminhar Automaticamente Email

O encaminhamento automático é algo ruim

Permitir que os usuários encaminhem seus e-mails fora do Exchange Online é ruim, especialmente se eles não mantiverem uma cópia das mensagens encaminhadas em suas caixas de correio. Além de remover o e-mail dos controles impostos pelas políticas de governança de dados, isso cria um risco de que informações confidenciais circulem fora da organização, inclusive quando um atacante hackeia uma caixa de correio e configura o encaminhamento sem o conhecimento do proprietário da caixa de correio. Isso é feito para entender o tráfego que o usuário hackeado recebe em preparação para executar um ataque de comprometimento de e-mail empresarial.

Nesta série em duas partes, primeiro eu examino como restringir os usuários do OWA de criar endereços de encaminhamento automático usando RBAC. O segundo artigo descreve outros bloqueios que se aplicam a todos os clientes para evitar vazamentos de e-mail da organização.

Quem está Encaminhando Automaticamente?

O encaminhamento é uma função do servidor, então uma vez que um usuário configura um endereço de encaminhamento no OWA, qualquer e-mail que entra na caixa de correio é encaminhado. Para descobrir se o correio está sendo atualmente encaminhado, execute o comando:

Get-Mailbox -RecipientTypeDetails UserMailbox -Filter {ForwardingSmtpAddress -ne $Null} -ResultSize Unlimited | Format-Table DisplayName, ForwardingSmtpAddress, DeliverToMailboxAndForward -AutoSize

DisplayName                   ForwardingSmtpAddress         DeliverToMailboxAndForward
-----------                   ---------------------         --------------------------
Vasil Michev (Technical Guru) smtp:[email protected]                              True
Ståle Hansen                  smtp:[email protected]                      True
Eoin Redmond                  smtp:[email protected]                               

Você pode tomar medidas para resistir a ataques orientando os usuários, mas é melhor cortar a capacidade de encaminhar e-mails. Podemos fazer isso criando uma nova política de atribuição de função de usuário que não inclua os parâmetros de cmdlet necessários para que um usuário crie um encaminhamento automático.

Como Configurar um Endereço de Encaminhamento Automático

A opção de encaminhar automaticamente mensagens do Exchange Online (ou no local) está na seção de Correio das Configurações do OWA (Figura 1).

Depois que um endereço de encaminhamento automático é definido, o OWA informa o usuário no que agora é chamado de Gerenciador de Conta do OWA na barra de menu (Figura 2).

Controle de Acesso Baseado em Função e Exchange

O novo OWA apresenta uma interface aprimorada, e o Controle de Acesso Baseado em Função (RBAC) que existe desde o Exchange 2010 sustenta essa aparência novinha, assim como faz o Exchange Admin Center (EAC).

O RBAC funciona permitindo o acesso a cmdlets do PowerShell e seus parâmetros. Se você não pode executar um cmdlet ou passar um valor em um parâmetro, perde o acesso a um recurso. A política de atribuição de função aplicada a uma caixa postal é composta por um conjunto de funções, cada uma das quais controla o acesso a uma ou mais funcionalidades. Clientes como o OWA usam o RBAC para saber quando uma funcionalidade está disponível para um usuário. Se sua caixa postal estiver bloqueada de um recurso porque a política atribuída não inclui o acesso certo, o usuário não exibe o recurso. É um sistema simples e eficaz. Pelo menos, é no conceito.

É possível criar e atribuir políticas de atribuição de função de usuário através da seção Permissões do EAC. A interface do usuário funciona bem se você deseja excluir uma grande parte da funcionalidade, como a capacidade de selecionar tags de retenção pessoal. Não permite ajustar a funcionalidade de forma mais cirúrgica, como permitir que as pessoas gerenciem listas de distribuição que possuem, enquanto removem a capacidade de criar novas listas. O PowerShell deve ser usado para fazer esse tipo de alterações.

Criar uma nova função RBAC

O RBAC para o Exchange Online funciona baseado na restrição de usuários para poderem executar cmdlets até o nível do parâmetro. Administradores podem executar todos os cmdlets e todos os parâmetros por causa das funções que possuem. Usuários normais têm um conjunto mais restrito de atribuições de função, então podem fazer menos. Por exemplo, para configurar um endereço de autoforward no PowerShell, você executa o cmdlet Set-Mailbox usando um comando como:

Set-Mailbox -Identity Kim.Akers -ForwardingSmtpAddress [email protected] -DeliverToMailboxAndForward $True

Portanto, para impedir que os usuários possam criar um endereço de autoforward, precisamos remover a capacidade de executar o cmdlet Set-Mailbox com o parâmetro ForwardingSmtpAddress.

O primeiro passo para implementar um bloqueio com o RBAC é criar uma nova função de gerenciamento usando a função existente MyBaseOptions como modelo. Isso significa que todas as opções suportadas em MyBaseOptions, incluindo a capacidade de configurar um endereço de autoforward, são herdadas pela nova função.

New-ManagementRole MyBaseOptions-NoForward -Parent MyBaseOptions

Desabilitar Parâmetros de Cmdlet em uma Função

Não queremos remover todo o acesso ao Set-Mailbox porque esse cmdlet é usado para gerenciar outras configurações, como definir uma notificação de ausência, mas queremos desabilitar o acesso aos parâmetros usados na opção OWA. Veja como remover os dois parâmetros do cmdlet nas opções permitidas na nova função de gerenciamento.

Set-ManagementRoleEntry MyBaseOptions-NoForward\Set-Mailbox -RemoveParameter -Parameters DeliverToMailboxAndForward, ForwardingSmtpAddress

Criando uma Política de Atribuição de Função

Agora temos uma função personalizada e precisamos combiná-la com as outras funções que os usuários normalmente recebem em uma política de atribuição de função de usuário para criar uma nova política. Este comando cria uma nova política de atribuição de função de usuário que combina as funções base e nossa função personalizada.

New-RoleAssignmentPolicy -Name PolicyWithNoEmailForward -Roles MyContactInformation, MyRetentionPolicies, MyMailSubscriptions, MyTextMessaging, MyVoiceMail, MyDistributionGroupMembership, MyDistributionGroups, MyProfileInformation, MyBaseOptions-NoForward -Description "User role assignment policy that restricts the assignees from being able to autoforward email outside the organization"

Nota: Se as funções base foram atualizadas, essas alterações são incorporadas na nova política. Você pode verificar as atribuições abrindo a política no EAC (Figura 3).

A abordagem alternativa é atualizar a política de atribuição de função de usuário padrão por meio do EAC para que fique como na Figura 3. O inconveniente é que tal alteração afetará cada caixa de correio à qual a política é atribuída (geralmente todas as caixas de correio na organização). Você pode não querer fazer isso, o que é por que uma nova política pode ser a melhor opção.

Aplicando a Nova Política de Atribuição de Função de Usuário

As políticas de atribuição de função de usuário são aplicadas às caixas de correio executando o cmdlet Set-Mailbox. Aqui atribuímos a política a uma caixa de correio.

Set-Mailbox -Identity James.Ryan -RoleAssignmentPolicy PolicyWithNoEmailForward

Leva um pouco de tempo para que a nova política tenha efeito. Quando isso acontecer, o usuário não poderá definir um endereço de encaminhamento porque o OWA observará que a política não inclui os parâmetros necessários do cmdlet e suprimirá a interface do usuário (Figura 4).

O PowerShell facilita a atribuição de políticas a um grande número de caixas de correio de uma só vez. Aqui encontramos o conjunto de caixas de correio que possuem um endereço de encaminhamento automático e atribuímos a nova política a eles. Ao mesmo tempo, removemos o endereço de encaminhamento automático existente para evitar que outras mensagens fluam para fora da organização. Este é um passo importante porque a atribuição da política desabilita a capacidade de configurar novos encaminhamentos. Não faz nada para remover quaisquer endereços de encaminhamento existentes.

Get-Mailbox -RecipientTypeDetails UserMailbox -Filter {ForwardingSmtpAddress -ne $Null} |
Set-Mailbox -RoleAssignmentPolicy "PolicyWithNoEmailForward" -ForwardingSmtpAddress $Null -DeliverToMailboxAndForward $False

Neste ponto, provavelmente seria uma boa ideia enviar uma nota educada aos proprietários das caixas de correio afetadas para informá-los da boa notícia de que o e-mail permanecerá dentro da organização.

Como verificação final, para descobrir quais caixas de correio possuem nossa nova política, execute:

Get-mailbox -RecipientTypeDetails UserMailbox | ?{$_.RoleAssignmentPolicy -eq "PolicyWithNoEmailForward"} | Format-Table DisplayName, RoleAssignmentPolicy

DisplayName                   RoleAssignmentPolicy
-----------                   --------------------
Kim Akers                     PolicyWithNoEmailForward
Vasil Michev                  PolicyWithNoEmailForward
Ståle Hansen                  PolicyWithNoEmailForward
Eoin Redmond                  PolicyWithNoEmailForward

Se necessário, um administrador pode redefinir o encaminhamento automático na caixa de correio executando Set-Mailbox (exemplo abaixo) ou atualizando a caixa de correio através do EAC. O RBAC não se aplica nesses contextos administrativos.

Set-Mailbox -Identity Kim.Akers -ForwardingSmtpAddress [email protected] -DeliverToMailboxAndForward $True

Parte Um da Solução

Impedir que os usuários do OWA criem endereços de encaminhamento automático é um bom primeiro passo para evitar o encaminhamento automático de mensagens fora da organização. No entanto, é apenas o primeiro passo. Outros clientes e aplicativos têm suas próprias maneiras de automatizar encaminhamentos, portanto, é importante adotar uma abordagem coerente para o problema.

O próximo passo é considerar quais outras barreiras podem ser estabelecidas para impedir o redirecionamento automático. Isso está no artigo 2 desta série.