Exchange Online Protection er Microsofts skybaserte tjeneste for å filtrere e-post. Den sørger for flere lag med beskyttelsesmekanismer som skjermer organisasjonen din mot skadelig programvare, søppelpost og phishing. Det er funksjoner for å kryptere meldingsoverføring og forhindre datatap. Tjenesten er tett integrert i Exchange Online og krever ingen ekstra lisens for postbokser i Office 365. Det er lettvint å komme i gang og krever lite administrasjon. Standardinnstillingene dekker ifølge Microsoft behovet for 90 prosent av brukerne. Men her bør du foreta enkelte tilpasninger.
E-post er fortsatt det mest utsatte angrepsmålet for nettkriminelle. Exchange Online Protection oppdager bare kjent skadevare og kommer med begrenset beskyttelse mot e-post-phishing. Derfor er det anbefalt at du plusser på med Office 365 Advanced Threat Protection (ATP), som gir et effektivt forsvar mot nulldagstrusler og sofistikerte former for nettfisking. ATP blokkerer usikre vedlegg, isolerer farlige koblinger og inkluderer rapporter i sanntid som raskt kan gjøre deg oppmerksom på angrep og økt mistenksom aktivitet. Sånn får du et godt sikret e-postmiljø.
Bruksområder for e-postbeskyttelsen
Hvis du har et abonnement som inkluderer Exchange Online med aktive postbokser i skyen, bruker du automatisk Exchange Online Protection (EOP).
- Du kan benytte tjenesten frittstående som sikker e-post-gateway for å beskytte lokale meldingssystemer, med eller uten Office 365 ATP. For e-post inn i organisasjonen må du sette opp en MX-post som peker på EOP, for e-post ut en kobling som sender via EOP.
I en hybrid Exchange-konfigurasjon inspiserer EOP meldingene mellom miljøene, uten å skanne for søppelpost, og kontrollerer meldingsrutingen.
Oversikt over Exchange Online Protection
For postbokser i Office 365 går alle innkommende og utgående meldinger gjennom Exchange Online Protection. Den benytter tre antivirus-motorer som oppdaterer virusdefinisjoner flere ganger om dagen. Beskyttelsen mot søppelpost er under kontinuerlig videreutvikling, basert på egenskaper ved meldingen, innholdsanalyse, maskinlæring og sky-intelligens. Du skjermes mot flere former for e-post-phishing, men ikke godt nok mot målrettede angrep som spydfiske og hvalfangst. Her kommer Office 365 ATP inn.
Følsomme data sikres med funksjoner som hindrer datalekkasje. Det er støtte for trygg ende-til-ende-kommunikasjon med Office 365-meldingskryptering. Du kan sette opp tvungen TLS mot partnere. Transportregler lar deg styre meldingsflyten. Administrasjonen er integrert i portalen for Exchange Online og Sikkerhets- og samsvarsenteret. Det er detaljert rapportering, med mekanismer for meldingssporing. Tjenesten er alltid tilgjengelig, fordelt på geografisk lastbalanserte datasentre. EOP køer opp sendte meldinger i opptil 48 timer for å avverge at e-post går tapt.
Meldingsflyten for innkommende e-post
Avsendende e-postsystem foretar DNS-oppslag for å få tak i MX-posten og IP-adressen for mottakerens e-postdomene og sender meldingen til Exchange Online Protection. Her går den gjennom fire beskyttelseslag, eventuelt et femte. Tilkoblings- og søppelpostfiltrene er detaljert behandlet i Office 365 – Avansert beskyttelse mot søppelpost. En gjennomgang av filtret for skadelig programvare og ATP-funksjoner finner du i Skadevare og avanserte trusler i Office 365.
Tilkoblingsfilteret sørger for perimeterbeskyttelse. Den avviser med det samme meldinger fra dynamiske IP-adresser, beryktede nettverk og kjente frynsete avsendere. Det kontrolleres om mottaker eksisterer. Du kan selv sperre og klarere nettverksadresser. Du kan aktivere Microsoft sikkerliste, som bygger på tredjeparter og Microsofts egen informasjon om trygge avsendere. Meldinger fra disse godkjente kildene kontrolleres ikke videre for søppelpost.
Filtret for skadelig programvare sender meldingen gjennom antivirus-skannemotorene. Infisert e-post blir satt i karantene og kan kun slettes eller frigis av systemansvarlig. Du kan ikke slå av antivirus-funksjonen. Det er ingen opsjon for å skanne postbokser. Beskyttelsen tar seg bare av meldinger i transitt. Det eneste du kan konfigurere her, er meldinger til brukere og administratorer, pluss filteret for vanlige typer vedlegg, som kan inneholde utførbar kode.
Transportregler kan hindre upassende innhold i å komme inn i eller forlate virksomheten. Den kan filtrere konfidensiell bedriftsinformasjon. Du kan kruke dem til å spore eller arkivere kopierte meldinger som blir sendt til eller mottatt fra bestemte personer. Meldinger kan omdirigeres for inspeksjon før levering.
Søppelpostfiltret luker ut det meste av spam, som ifølge Microsoft utgjør 90 prosent av all e-post. Her er det omfattende muligheter for å konfigurere filteret. Du kan stenge for språk og avsenderland. Du kan blokkere potensielt farlig kode, som JavaScript og VBScript i HTML. Microsoft opererer med forskjellige kategorier for søppelpost. Du bør plassere meldinger som høyst sannsynlig er uønsket, i karantene og gi brukere melding om det. Her er det også beskyttelse mot masseutsendelser og phishing-e-post. Relativt nytt er en policy for forfalskningsanalyse, som er hentet fra Office 365 ATP. Du kan involvere sluttbrukerne, så de er med på å bygge opp lister over sikre og blokkerte avsendere, samt rapportere spam direkte til Microsoft.
Office 365 ATP skjermer deg mot farlige vedlegg og skadelige koblinger. Vedlegg som er sluppet gjennom antivirusbeskyttelsen, skannes for ukjente trusler i en isolert virtuell maskin. Her undersøkes det om det for eksempel er kode som skriver til filsystemet eller registeret. Koblinger analyseres idet du klikker på dem. I tillegg får du en omfattende beskyttelse mot phishing-angrep basert på imiterte eller forfalskede avsenderadresser.
Meldingsflyten for utgående e-post
Meldinger ut går gjennom filtrene for skadelig programvare (virus scanning), transportregler (policy enforcement) og søppelpost (spam protection).
Filtret for skadelig programvare oppfører seg som ved innkommende e-post. Symbolet for en papirkurv er noe uheldig. Mulig infiserte meldinger plasseres i karantene.
Transportregler for utgående meldinger omfatter typisk at det legges til en bunntekst med ansvarsfraskrivelse, opplysninger om intendert bruk og at e-posten er skannet for virus.
Søppelpostfiltret ved utgående trafikk hindrer at IP-adressene for EOP svartelistes. Ved mistanke om spam overføres forsendelsen til en høyrisiko-leveringspool med egne adresser. Meldingene kan også sperres fullstendig. I innstillinger for utgående søppelpost bør du sette opp at det sendes en kopi av all mistenkelig utgående spam til systemansvarlig. Vedkommende bør varsles når en avsender blokkeres. Filtret benyttes også på sendekoblinger til partnere (customer delivery pool).
Transportregel for Office 365-meldingskryptering
En transportregel – eller regel for meldingsflyt – er satt sammen av fire deler: Betingelsen er: Hvis e-postdomene er lit.no, utfør handlingen Bruk Office 365-meldingskryptering. Det er ingen unntak. Egenskapen er Håndhev. På samme måte kan du sette opp et hav av regler, både for innkommende og utgående meldinger. Den integrerte tjenesten er Azure Rights Management, som tar seg av kryptering for Azure Information Protection.
SPF, DKIM og DMARC
Ethvert e-postsystem bør settes opp med de tre autentiseringsprotokollene SPF, DKIM og DMARC. Det bekrefter at avsender er den hun utgir seg for. Protokollene er ikke spesifikke for Exchange Online Protection. Men EOP benytter dem for å godkjenne avsendere og legger opp til at du setter dem opp selv. Sender Policy Framework (SPF) – eller rammeverk for avsenderpolicy – angir hvem som har lov til å sende på vegne av ditt eller dine domener, basert på IP-adresser. DomainKeys Identified Mail (DKIM) – eller e-post identifisert ved domenenøkler – signerer meldingshodet med din private nøkkel og mottaker verifiserer den med den offentlige nøkkel som er publisert i DNS.
Domain-based Message Authentication, Reporting and Conformance (DMARC) – eller domene-basert meldingsautentisering, rapportering overensstemmelse – forutsetter SPF og DKIM. Forvirrende nok har en melding to avsenderadresser. MailFrom angir returbanen og er bare synlig i meldingshodet. From vises som avsender i e-postklienten. DMARC krever at de to adressene er på linje med hverandre.
Vanligvis foretas SPF- og DKIM-kontrollen mot MailFrom. Konfigurasjonen her kan være gyldig, selv om avsender er forfalsket. Først DMARC kan gi en endelig og sikker autentisering. SPF er utbredt, DKIM og DMARC i mye mindre grad. Derfor har Microsoft innført sine egne metoder for å godkjenne avsendere i Office 365 for å beskytte mot nettfisking.
Forfalskningsvern i Office 365
Microsoft krever nå at all e-post inn til Office 365 må autentisere seg for å beskytte mot forfalskede avsendere. Forfalskningsvernet tar hensyn til standard godkjenningsprotokollene for e-post ovenfor og plusser på med flere andre metoder: avsenderens omdømme, historikken mellom avsender og mottaker, atferdsanalyse og andre ikke nærmere spesifiserte tekniker. En melding sendt fra et domene som ikke publiserer e-postgodkjenning, blir merket som forfalskning, med mindre den inneholder andre signaler for å indikere at den er legitim. Dette kalles implisitt e-postautentisering.
I Sikkerhets- og samsvarsentret har du noen få alternativer for å konfigurere beskyttelsen mot phishing. Du kan slå den av og på. Du kan velge om meldingene skal flyttes til mottakernes søppelpostmapper eller settes i karantene. Legg for øvrig merke til ruten for DKIM.
Oversikt over Office 365 ATP
Med Office 365 Advanced Threat Protection får du utvidet beskyttelsen mot phishing. Her er det ikke bare mot forfalskning, men også mot etterlikning, for eksempel securityteam@côntoso.com i stedet for securityteam@contoso.com – noe det kan være vanskelig å få øye på. Du kan sette terskelverdier for hvor aggressiv Office 365 skal være i håndteringen av meldinger som kan være phishing-angrep. Du kan lese mer om funksjonene i Utvidet beskyttelse mot phishing i Office 365.
Exchange Online Protection gir en robust og lagdelt løsning for antivirusbeskyttelse som gjenkjenner angrep på bakgrunn av virussignaturer. Office 365 ATP utvider beskyttelsen til å omfatte ukjent skadevare, såkalte nulldagstrusler. I tillegg skjermes du mot skadelige koblinger. Office 365 ATP er godt integrert i Exchange Online Protection, men krever en tilleggslisens.
Vedlegg som ikke er fanget opp av antivirusfiltret, omdirigeres til og åpnes i et detonasjonskammer, en isolert container som kjører i Microsoft Azure. Der undersøkes det ved hjelp av maskinlærings- og analyseteknikker for å oppdage om det inneholder kode med ondsinnete hensikter. Hvis ingen mistenkelig aktivitet blir oppdaget, blir meldingen frigitt. Microsoft opererer med en stadig oppdatert liste over skadelige koblinger, men undersøker dem i tillegg i sanntid, idet du klikker på dem.
Overvåking og rapportering
I Office 365 er det generelt omfattende funksjoner for overvåking og rapportering. I instrumentbord for e-postflyt får du en kjapp oversikt over hvor mange meldinger som er sendt og mottatt med TLS. Her er en rapport om manglende levering og et sammendrag over meldinger som automatisk er videresendt.
Fra det overordnede instrumentbord for sikkerhet kan du klikke på de enkelte rutene og få mer detaljerte opplysninger. Her ser vi også at det har noe for seg med beskyttelse mot nulldagstrusler, avanserte former for phishing og skadelige koblinger.
Konklusjon
Exchange Online Protection legger lag på lag i et effektivt forsvar mot trusler via e-post. Tilkoblingsfilteret avviser allerede flere typer meldinger før de kommer inn, samtidig som du kan godkjenne IP-adresser og trygge avsendere. Neste trinn er antivirusbeskyttelse, basert på tre motorer og kontinuerlig oppdaterte virusdefinisjoner. Transportregler kan sammen med andre mekanismer bidra til å hindre lekkasje av følsom bedriftsinformasjon. Filtret for søppelpost er såpass omfattende at det burde klare å holde virksomheten din fri for spam.
Like viktig er det at du ikke er med på å spre skadevare i utgående e-post eller får et frynsete rykte ved å spamme. Sammenkoblingen av EOP og Azure Rights Management gir deg kryptert meldinger, uten sertifikater eller programtillegg. Du bør absolutt plusse på med Office 365 Advanced Threat Protection for å skjerme deg mot ukjent skadelig programvare, såkalte nulldagstrusler, og farlige koblinger. Her får du også et mye bedre vern mot phishing. Sammen danner Exchange Online Protection og Office 365 ATP en massiv beskyttelsesmur mot e-postangrep.