本系列中的第一篇文章讨论了如何取消OWA用户创建自动转发地址的权限。这在阻止邮件在组织外部转发方面起到了很大作用,但OWA只是问题的一部分。我们还需要解决其他消息可以自动转发到外部地址的方式。
例如,Outlook规则可以转发消息。可以使用PowerShell扫描每个邮箱以查找转发规则,但这可能需要大量的处理,我们需要在持续地进行。让我们考虑一些更强大的方法来阻止邮件的自动转发。
按域名阻止
按域名阻止是阻止自动转发消息的有效方法。通过使用Set-RemoteDomain命令(或者在邮件流程下编辑远程域设置来自EAC),可以实施阻止。该命令阻止邮件自动转发到任何域,除非存在允许向某个域转发的显式设置。
Set-RemoteDomain -Identity Default -AutoForwardEnabled $False
要检查是否有任何域名允许自动转发,请运行此命令:
Get-RemoteDomain |?{$_.AutoForwardEnabled -eq $True}| Format-Table DomainName, AutoReplyEnabled
DomainName AutoReplyEnabled
---------- ----------------
Contoso.com True
查找被丢弃的消息
管理员可以通过使用PowerShell或合规中心中的消息跟踪GUI运行消息跟踪来查看是否有消息被阻止(图1)。
每天通过一个租户的消息数量很多,使用 PowerShell 更容易找到丢弃事件。由于Get-MessageTrace 命令可以处理大量数据,最好限制用于获取消息事件的时间跨度,尽可能缩短。此代码查找一个两小时时间段内丢弃的消息。
Get-MessageTrace -StartDate "11-Feb-2020 17:36" -EndDate "11-Feb-2020 19:37" | Get-MessageTraceDetail | ?{$_.Event -eq "Drop" -and $_.Data -Match "BlockAFToExternalUser"} | Select MessageID, Date, Event, Detail, Data
使用邮件流规则
拦截自动转发到远程域的功能简单直接,但它是一种粗糙的工具。另一种方法是创建邮件流规则来拦截发送给外部收件人的“自动转发”类型消息,并采取拒绝消息并返回适当原因的传递通知给发件人的操作。例如,“已阻止您的消息,以确保组织知识产权的保密性。”
或者,您可以将自动转发的消息发送到其预期的接收方,但只能在给消息应用了限制敏感标签之后再执行此操作,以便接收者没有权利阅读该消息。这样做的目的是向接收者表明,他们不应该尝试查看我们组织的内容。希望接收者会向发件人报怨,发件人可能会意识到他们正在做一些组织不赞同的事情。
小心Power Automate
在竖立了所有这些障碍以阻止用户在组织外转发内容之后,我们遇到了一个问题,即Power Automate欢快地忽视了邮件流规则、域阻止或从邮箱中删除自动转发地址所施加的任何限制。这个问题在一段时间前由Vasil Michev记录,但微软并未采取措施改进这一情况。
更新(2020年9月):Power Automate现在会将 x-headers 插入消息中,可以用于利用传输规则阻止此流量。
例如,您可以使用Microsoft提供的模板创建一个新流程,以便在文件夹中出现新项目时转发消息。我使用了一个标准模板,将其连接到我的邮箱,修改为监视存档文件夹,并选择将副本发送到外部地址(图2)。
结果是,每当Power Automate运行该流程时,放入存档文件夹的任何新消息都会转发到外部地址。消息会显示在消息跟踪日志中,但看起来像普通消息。
Power Automate捕获的审计事件集和导入到Office 365审计日志中的内容相当少,对于在那里进行调查并没有太多帮助。审计日志中唯一看到的是用户使用OpenApiConnection连接器创建了一个流程。
敏感标签可能是解决方案
共同的问题是,自动转发的邮件可以被收件人阅读。为了阻止这种情况,我们需要防止收件人能够打开和访问邮件内容,而唯一的方法就是使用受保护的邮件。
S/MIME is one approach, but sensitivity labels are a better long-term solution because Microsoft is investing heavily to increase the usefulness of these labels across Office 365. The simple fact is that only those authorized to open protected messages can access their content, so when the messages are forwarded by rules, autoforwarding addresses, or Power Automate, the external recipient won’t be able to read them.
组织呼叫
决定用户是否能够自动转发电子邮件是组织数据治理策略的一部分。如果您决定电子邮件应该保留在租户内部,那么很容易设置自动转发的障碍,但如果这样做,记得向用户传达政策。