Alle innkommende og utgående meldinger i Microsoft 365 går gjennom et beskytteslag som kalles Exchange Online Protection (EOP). Det skjermer virksomheter mot skadelig programvare, søppelpost og phishing. Regler for meldingsflyt bidrar til å hindre tilsiktet og utilsiktet datalekkasje. Microsoft Defender for Office 365 (Office 365 ATP) sørger for avansert trusselbeskyttelse og gir et effektivt forsvar mot nulldagers angrep og sofistikerte former for nettfisking.
E-post mellom Microsoft 365-organisasjoner overføres alltid over krypterte linjer. EOP forsøker å sette opp en sikker forbindelse til e-postsystemer utenfor Microsoft-skyen. Overfor partnere kan den tvinges frem med tvungen TLS. Office 365-Meldingskryptering sørger for trygg ende-til-ende-kommunikasjon. Tre autentiseringsprotokoller for e-post sikrer at avsender er den hun eller han utgir seg for. Microsoft jobber kontinuerlig med å forenkle konfigurasjonen av innstillingene.
Meldingsflyten for innkommende e-post
Avsendende e-postsystem foretar DNS-oppslag for å få tak i MX-posten og IP-adressen for mottakerens e-postdomene og sender meldingen til EOP. Her går den gjennom fire beskyttelseslag, eventuelt et femte.
Tilkoblingsfilteret sørger for perimeterbeskyttelse. Den avviser med det samme meldinger fra dynamiske IP-adresser, beryktede nettverk og kjente frynsete avsendere. Det kontrolleres om mottaker eksisterer. Du kan selv sperre og klarere nettverksadresser. Du kan aktivere Microsoft sikkerliste, som bygger på tredjeparter og Microsofts egen informasjon om trygge avsendere. Meldinger fra godkjente kilder kontrolleres ikke videre for søppelpost.
Filtret for skadelig programvare sender meldingen gjennom tre antivirus-skannemotorer som oppdateres flere ganger om dagen med virusdefinisjoner. Infisert e-post blir satt i karantene og kan kun slettes eller frigis av systemansvarlig. Du kan ikke slå av antivirus-funksjonen. Det er ingen opsjon for å skanne postbokser. Beskyttelsen tar seg bare av meldinger i transitt. Det eneste du kan konfigurere her, er meldinger til brukere og administratorer, pluss filteret for vanlige typer vedlegg som kan inneholde utførbar kode.
Transportregler kan hindre upassende innhold i å komme inn i eller forlate virksomheten. Den kan filtrere konfidensiell bedriftsinformasjon. Det er sånn hindring av datatap foregår i Exchange. Du kan bruke regler til å spore eller arkivere kopierte meldinger som blir sendt til eller mottatt fra bestemte personer. Meldinger kan omdirigeres for inspeksjon før levering.
Søppelpostfiltret luker ut det meste av spam, som ifølge Microsoft utgjør 90 prosent av all e-post. Her er det omfattende muligheter for å konfigurere filteret. Du kan stenge for språk og avsenderland. Microsoft opererer med forskjellige kategorier for søppelpost. Du bør plassere meldinger som høyst sannsynlig er uønsket, i karantene og gi brukere melding om det. Her er det også beskyttelse mot masseutsendelser og phishing-e-post. Relativt nytt er en policy for forfalskningsanalyse, som er hentet fra Microsoft Defender for Office 365 ATP (tidl. Office 365 ATP). Du kan involvere sluttbrukerne, så de er med på å bygge opp lister over sikre og blokkerte avsendere, samt rapportere spam direkte til Microsoft.
ATP-funksjoner skjermer deg mot farlige vedlegg og skadelige koblinger. Vedlegg som er sluppet gjennom antivirusbeskyttelsen, skannes for ukjente trusler i en isolert virtuell maskin. Her undersøkes det om det for eksempel er kode som skriver til filsystemet eller registeret. Koblinger analyseres i sanntid idet du klikker på dem. I tillegg får du en omfattende beskyttelse mot phishing basert på imiterte eller forfalskede avsenderadresser. Her benytter Microsoft i utstrakt grad maskinlæring.
Meldingsflyten for utgående e-post
Filtret for skadelig programvare oppfører seg som ved innkommende e-post. Mulig infiserte meldinger plasseres i karantene og slettes etter senest 14 dager.
Transportregler for utgående meldinger omfatter typisk at det legges til en bunntekst med ansvarsfraskrivelse, opplysninger om intendert bruk og at e-posten er skannet for virus. Reglene kan også benyttes til å sette opp Office 365-Meldingskryptering.
Søppelpostfiltret ved utgående trafikk hindrer at IP-adressene for EOP svartelistes. Ved mistanke om spam overføres forsendelsen til en høyrisiko-leveringspool med egne adresser. Meldingene kan også sperres fullstendig. I innstillinger for utgående søppelpost bør du konfigurere at det sendes en kopi av all mistenkelig utgående spam til systemansvarlig. Vedkommende bør varsles når en avsender blokkeres. Filtret benyttes også på sendekoblinger til partnere.
Forfalskningsvern i Microsoft 365
Microsoft krever at all e-post inn til Office 365 må autentisere seg for å beskytte mot forfalskede avsendere. Forfalskningsvernet tar hensyn til standard godkjenningsprotokoller for e-post og plusser på med flere andre metoder: avsenderens omdømme, historikken mellom avsender og mottaker, atferdsanalyse og andre ikke nærmere spesifiserte teknikker. En melding sendt fra et domene som ikke publiserer e-postgodkjenning, blir merket som forfalskning, med mindre den inneholder andre signaler for å indikere at den er legitim. Dette kalles implisitt e-postautentisering.
Microsoft Defender for Office 365
Microsoft Defender for Office 365 utvider beskyttelsen mot phishing. Den beskytter ikke bare mot avsendere fra forfalskede, men også fra imiterte domener, så som securityteam@côntoso.com i stedet for securityteam@contoso.com – noe det kan være vanskelig å få øye på. Du kan sette terskelverdier for hvor aggressiv den avanserte trusselbeskyttelsen skal være i håndteringen av meldinger som kan være phishing-angrep.
EOP sørger for en robust beskyttelse mot virus som gjenkjenner angrep på bakgrunn av signaturer. Defender for Office 365 skjermer deg også mot ukjent skadevare, såkalte nulldagers angrep. I tillegg skjermes du mot skadelige koblinger.
Vedlegg som ikke er fanget opp av antivirusfiltret, omdirigeres til og åpnes i et detonasjonskammer, en isolert container som kjører i Microsoft Azure. Der undersøkes det ved hjelp av maskinlærings- og analyseteknikker for å oppdage om det inneholder kode med ondsinnete hensikter. Hvis ingen mistenkelig aktivitet blir oppdaget, blir meldingen frigitt. Microsoft opererer med en stadig oppdatert liste over skadelige koblinger, men undersøker dem i tillegg i sanntid, idet du klikker på dem.
Bransjeledende beskyttelse. Microsoft Defender for Office 365 ATP utnytter flere milliarder signaler daglig fra e-post alene for raskt og nøyaktig å oppdage trusler og beskytte brukere mot sofistikerte angrep som phishing og ukjent skadelig programvare.
Gjennomførbare innsikter gis ved å samkjøre signaler fra et bredt spekter av data for å identifisere, prioritere og gi anbefalinger om hvordan du kan løse potensielle problemer. Anbefalingene omfatter utbedringstiltak som gir deg muligheten til å proaktivt sikre organisasjonen sin.
Automatisert respons. Undersøkelser og utbedringer etter sikkerhetsbrudd kan være vanskelige, dyre og tidkrevende. De fleste organisasjoner mangler nødvendig kompetanse og ressurser. Defender for Office 365 tilbyr avanserte automatiserte responsalternativer.
Trening og bevissthet. Angrep basert på sosial manipulering som phishing, ser ofte legitime ut og kan være vanskelig å oppdage for travle brukere. Det er viktig å lære dem opp for å øke bevisstheten, så de forstår risikoen ved for eksempel å klikke på en mistenkelig kobling. En angrepssimulator hjelper deg med å sette opp realistiske scenarioer. Rapporteringsfunksjoner for brukere gir dem anledning til å varsle Microsoft om mistenkelig innhold.
Office 365-Meldingskryptering
Outlook og Exchange samarbeider med Azure Rights Management (RMS) og bruker to RMS-maler for sikker ende-til-ende-kommunikasjon. Under fanen Alternativer kan vi klikke på Tillatelse og velge opsjonen Bare krypter. Den sier: Krypter melding og vedlegg. Gi mottaker retten til å dekryptere e-posten. Her kunne vi også ha valgt Ikke videresend, noe som også hadde kodet e-postmeldingen, men samtidig pålagt mottaker restriksjoner.
E-posten mottas. Outlook er en såkalt «opplyst» klient. Det betyr at appen inneholder programkode som automatisk dekrypterer meldingen. All videre kommunikasjon i denne meldingstråden foregår kryptert. Andre opplyste klienter er skrivebordsversjonene av Word, Excel og PowerPoint, foruten Outlook på nett (OWA) og Outlook for iOS og Android.
Transportregel for meldingskryptering
En transportregel – eller regel for meldingsflyt – er satt sammen av fire deler: Betingelsen er: Hvis e-postdomene er lit.no, utfør handlingen Bruk Office 365-meldingskryptering. Det er ingen unntak. Egenskapen er Håndhev. Sånn kan du sette opp regler for innkommende og utgående meldinger. Her benyttes de samme malene som i Outlook. Hindring av datatap ved hjelp av transportregel er gjenstand for neste blogginnlegg.
Konfigurere EOP og avansert trusselbeskyttelse
Opprinnelig uttalte Microsoft at standardinnstillingene for EOP ville dekke behovet for 90 prosent av brukerne. Nå anbefaler de to typer konfigurasjoner for standard og streng beskyttelse. Dessuten må Defender for Office 365 uansett konfigureres. Til gjengjeld har Microsoft forenklet arbeidet kraftig ved å sette opp beskyttelsen. Og innstillingene holdes kontinuerlig oppdatert.
Gå inn i Sikkerhets- og samsvarssentret. Velg Trusselhåndtering, Policy. Øverst under malbaserte policyer ser du to relativt nye bokser: Tilbakestill sikkerhetspolicyer og Konfigurasjonsanalyse. Sikkerhetspolicyene bygger på Microsofts anbefalinger og nåværende angrepstrender. Etter hvert som trusselbildet endres, oppdateres policyene automatisk. Du kan umiddelbart sette dem opp, men ikke redigerer dem. De vil alltid forholde seg til Microsofts nyeste vurderinger.
Forhåndsdefinerte sikkerhetspolicyer
En forhåndsdefinert sikkerhetspolicy er en samling av innstillinger for samtlige policyer: søppelpost, beskyttelse mot skadelig programvare, beskyttelse mot phishing, ATP-svindel og ATP-vedlegg. Når flere regelsett benyttes på en bruker, overstyrer den strengeste standard-policyen og eventuelle egendefinerte policyer. Standardpolicyen overstyrer tilpassede policyer.
Det du må gjøre er å velge hva slags beskyttelse du ønsker – standard eller streng – og hvem den skal gjelde for. Klikk først på Rediger for Standard beskyttelse. Denne policyen gjelder for Exchange Online Protection (EOP). Den gjelder for søppelpost, utgående søppelpostfilter, beskyttelse mot skadelig programvare og generell beskyttelse mot phishing.
Du må legge til minst en betingelse for når den skal brukes. Du kan du føye til individuelle personer og sikkerhetsgrupper. Velger du Mottakernes domene er, bør du legge til alle domener, også *.onmicrosoft.com og *.mail.onmicrosoft.com.
Følgende policyer regnes som ATP-beskyttelse: ATP-anti-phishing, Klarerte ATP-vedlegg og ATP-klarerte koblinger. Gjenta samme prosedyre for Streng beskyttelse.
Konfigurasjonsanalyse
Organisasjoner som allerede har brukt EOP og Defender for Office 365 (Office 365 ATP) en tid, vil ha satt opp policyer. Nye virksomheter kan ha behov for å sette opp tilpassede retningslinjer i tillegg. Konfigurasjonsanalyse kan hjelpe deg med å identifisere problemer i gjeldende oppsett og bidra til å forbedre policyene for å øke sikkerheten. Konfigurasjonsanalyse undersøker innstillingene og gir anbefalinger. Klikk på Innfør ytterst til høyre for å endre konfigurasjonen og følge Microsofts råd.
SPF, DKIM og DMARC
Hvert e-postsystem bør settes opp med de tre autentiseringsprotokollene SPF, DKIM og DMARC. Det bekrefter at avsender er den de utgir seg for. Protokollene er ikke spesifikke for EOP. Men EOP benytter dem for å godkjenne avsendere og legger opp til at du setter dem opp selv. Sender Policy Framework (SPF) – eller rammeverk for avsenderpolicy – angir hvem som har lov til å sende på vegne av ditt eller dine domener, basert på IP-adresser. DomainKeys Identified Mail (DKIM) – eller e-post identifisert ved domenenøkler – signerer meldingshodet med din private nøkkel og mottaker verifiserer den med den offentlige nøkkel som er publisert i DNS.
Domain-based Message Authentication, Reporting and Conformance (DMARC) – eller domene-basert meldingsautentisering, rapportering overensstemmelse – forutsetter SPF og DKIM. Forvirrende nok har en melding to avsenderadresser. MailFrom angir returbanen og er bare synlig i meldingshodet. From vises som avsender i e-postklienten. DMARC krever at de to adressene er på linje med hverandre.
Vanligvis foretas SPF- og DKIM-kontrollen mot MailFrom. Konfigurasjonen her kan være gyldig, selv om avsender er forfalsket. Først DMARC kan gi en endelig og sikker autentisering. SPF er utbredt, DKIM og DMARC i mye mindre grad. Derfor har Microsoft innført sine egne metoder for å godkjenne avsendere i Office 365 for å beskytte mot nettfisking.
Overvåking og rapportering
Microsoft 365 kommer generelt med omfattende funksjoner for overvåking og rapportering. I instrumentbord for e-postflyt får du en kjapp oversikt over hvor mange meldinger som er sendt og mottatt med TLS. Her er en rapport om manglende levering og et sammendrag over meldinger som automatisk er videresendt.
Fra det overordnede instrumentbord for sikkerhet kan du klikke på de enkelte rutene og få mer detaljerte opplysninger. Her ser vi også at det har noe for seg med beskyttelse mot nulldagstrusler, avanserte former for phishing og skadelige koblinger.
Bruksområder for e-postbeskyttelsen
- Med et abonnement som inkluderer Exchange Online med aktive postbokser i skyen, bruker du automatisk EOP.
- Du kan benytte tjenesten frittstående som sikker e-post-gateway for å beskytte lokale meldingssystemer, med eller uten Defender for Office 365. For e-post inn i organisasjonen må du sette opp en MX-post som peker på EOP, for e-post ut en kobling som sender via EOP.
- I en hybrid Exchange-konfigurasjon inspiserer EOP meldingene mellom miljøene, uten å skanne for søppelpost, og kontrollerer meldingsrutingen.
Avsluttende ord
Exchange Online Protection legger lag på lag i et effektivt dybdeforsvar mot trusler via e-post. Microsoft Defender for Office 365 er godt integrert i EOP. Tjenesten tilhører kategorien uunnværlig og følger med i Microsoft 365 Business Premium og Enterprise E5. Du kan – og bør absolutt – tegne en frittstående lisens om komponenten ikke er del av abonnementet. Automatisert respons og Angrepssimulator krever en lisens på Azure AD Premium P2.
Om du følger anbefalingene her, kombinerer du det mest avanserte e-postsystem i markedet med de mest omfattende beskyttelsesmekanismene. Beskyttelsen er under kontinuerlig videreutvikling, basert på egenskaper ved meldingene, innholdsanalyse, maskinlæring og sky-intelligens. Vurderingen her er selvfølgelig ikke uhildet. Den kommer fra en mann som har administrert Exchange siden før årtusenskiftet. Til gjengjeld slutter jeg ikke å bli imponert.