這個系列中的第一篇文章討論了如何刪除OWA使用者創建自動轉發地址的能力。這對阻止郵件在組織外部轉發做出了很大的貢獻,但OWA只是問題的一部分。我們還需要處理郵件可以自動轉發到外部地址的其他方式。
例如,Outlook 規則可以轉發郵件。可以使用 PowerShell 掃描每個郵箱以查找轉發規則,但這可能需要大量處理,我們必須持續進行。讓我們考慮一些更強大的方法來阻止郵件的自動轉發。
按域名阻擋
按域名阻擋是一種有效的方法來阻止自動轉發的消息。可以使用Set-RemoteDomain cmdlet(或在 EAC 中編輯郵件流程下的遠程域設置)來實施阻擋。此命令會阻止電子郵件自動轉發到任何域,除非存在明確的設置來允許轉發到一個域。
Set-RemoteDomain -Identity Default -AutoForwardEnabled $False
要檢查是否有任何域名允許自動轉發,執行此命令:
Get-RemoteDomain |?{$_.AutoForwardEnabled -eq $True}| Format-Table DomainName, AutoReplyEnabled
DomainName AutoReplyEnabled
---------- ----------------
Contoso.com True
查找被拒絕的消息
管理員可以運行郵件追蹤以查看消息是否被封鎖,可以使用 PowerShell 或合規中心中的郵件追踪 GUI 來運行郵件追蹤(圖1)。
每天通過房客的消息數量較易使用 PowerShell 找到丟棄事件。由於Get-MessageTrace 命令可以處理大量數據,因此明智的做法是限制用於提取消息事件的時間跨度,盡可能縮短範圍。此代碼尋找一個兩小時的時段內被丟棄的消息。
Get-MessageTrace -StartDate "11-Feb-2020 17:36" -EndDate "11-Feb-2020 19:37" | Get-MessageTraceDetail | ?{$_.Event -eq "Drop" -and $_.Data -Match "BlockAFToExternalUser"} | Select MessageID, Date, Event, Detail, Data
使用郵件流規則
封鎖自動轉發到遠程域的簡單直接性很有吸引力,但這是一種粗暴的手段。另一種方法是創建郵件流規則以攔截發送給外部收件人的“自動轉發”類型消息,並對消息進行拒收操作,並向發件人退回遞送通知,同時提供合適的理由。例如,“您的消息被阻止以確保組織知識產權的機密性。”
或者,您可以將自動轉發的消息交付至其預定目的地,但只有在對消息應用了受限敏感度標籤後,接收方才無權閱讀。這裡的意圖是讓接收方意識到他們不應試圖查看我們組織的內容。希望接收方將自己的煩惱舉報給寄件者,這樣寄件者可能會意識到他們正在做一些組織不贊成的事情。
注意Power Automate
在設置所有這些障礙來阻止用戶在組織外轉發內容之後,我們遇到一個問題,即Power Automate很樂意地忽略郵件流規則、域阻擋或從郵箱中刪除自動轉發地址所實施的任何限制。這個問題很久以前就被Vasil Michev記錄在案,但微軟卻未做出任何改善。
更新(2020年9月):Power Automate現在會在消息中插入可用於使用運輸規則停止這一流量的x-header。
例如,您可以使用Microsoft提供的模板创建一个新的流,以便在新项目到达文件夹时转发消息。我使用了标准模板,将其连接到我的邮箱,修改为监视存档文件夹,并选择将副本发送到外部地址(图2)。
结果是每次Power Automate运行流时,放置在存档文件夹中的新消息都会转发到外部地址。消息会显示在消息跟踪日志中,但看起来像普通消息。
由Power Automate捕获的审核事件集并纳入Office 365审核日志的情况相当糟糕,从中得不到太多帮助。审核日志中唯一看到的是用户使用了OpenApiConnection连接器创建了一个流。
敏感标签可能是解决方案
共同的问题是自动转发的消息可以被接收者阅读。为了阻止这种情况发生,我们需要阻止接收者能够打开和访问消息内容,而唯一的方法就是使用受保护的消息。
S/MIME is one approach, but sensitivity labels are a better long-term solution because Microsoft is investing heavily to increase the usefulness of these labels across Office 365. The simple fact is that only those authorized to open protected messages can access their content, so when the messages are forwarded by rules, autoforwarding addresses, or Power Automate, the external recipient won’t be able to read them.
组织呼叫
决定用户是否可以自动转发电子邮件是组织数据治理策略的一部分。如果您决定电子邮件应该保留在租户内部,那么很容易设置自动转发的障碍,但如果这样做,记得向用户传达政策。