SecOps Postfach und Spamreport

Exchange Online filtert standardmäßig ihre Mails auf Viren, Spam und Phishing und selbst mit einer Transportregel zum Setzen von „SCL=-1“ landen dennoch immer mal wieder Mail in der Serverquarantäne von Microsoft 365. Wenn Sie als IT-Security aber Muster dieser Mails für eine eigene Analyse benötigen oder Anwender fragliche Mails an ein SecOps-Postfach senden oder Sie die Funktion einer Phishing-Simulation überprüfen wollen, dann ist diese Seite passend.

Diese Funktionen gibt es nicht mit Exchange OnPremises sondern nur mit Exchange Online

Anwender sensibilisieren

Der beste Spam/Viren/Phishing-Filter kann nie 100% der bösen Mails erkennen und 0% der guten Mails unangetastet durchlassen. Das geht schon rein technisch nicht und was für den einen Anwender böse ist möchte ein anderer Empfänger gerade erhalten. Entwickler senden sich vielleicht schon einmal einen Code-Schnipsel und Poweruser arbeiten mit Office Dokumenten und Makros. Sicher könnten Sie dies auch per OneDrive, GIT o.ä. teilen aber zwischen Firmen ist Mail meist das einfachste Mittel. Wenn aber ein Angreifer sich auf genau eine Person oder Firma fokussiert, per Social Engineering die Nachrichten vertrauenswürdiger erscheinen lässt und die Malware individuell verändert wurde, dann rutscht so eine Mail schon einmal bis ins Postfach durch. Oft nutzen Angreifer ein gekapertes Postfach um mit dieser Adresse dann bestehende Kontakte diese Benutzers anzusprechen, indem sie eine vorhandene Konversation fortführen.

Daher ist es wichtig die Anwender zu sensibilisieren und zu schulen, dass Sie jeder externen Mail erst einmal skeptisch gegenüberstehen und hinterfragen und im Zweifel den Absender über einen anderen Kommunikationsweg, z.B. Telefon/Chat kontaktieren. Auf eine Mail könnte der Angreifer ja auch passend reagieren.

Viele Firmen wählen daher den Ansatz, dass Sie ein spezielles Postfach bereitstellen, an welches der eigene Anwender solche unklaren Mails zur weiteren Bewertung senden kann. So kann sich dann ein Mitarbeiter der IT-Security die Nachrichte zeitnah anschauen und seine Einschätzung dem Anwender mitteilen.

Das Problem dieser Lösung ist, dass dieses SecOps-Postfach vom Anwender per Mail erreicht werden muss und die Mail selbst von Exchange Online als Spam/Virus/Phishing eingestuft und damit erneut in eine Quarantäne verlagert wird. Das macht den Prozess natürlich deutlich aufwändiger

Outlook Report App

Microsoft hat für Outlook 365 mittlerweile eine App bereitgestellt, mit der Administratoren ihren Anwendern die Möglichkeit geben können, solche Mails mit einem Mausklick zu berichten.

Zuerst sollten Sie als Administrator in Exchange Online die entsprechende Einstellungen auf https://security.microsoft.com/securitysettings/userSubmission konfigurieren.


https://security.microsoft.com/securitysettings/userSubmission

Die Einstellung kann auch per PowerShell gesetzt und abgerufen werden:

PS C:\> Get-ReportSubmissionRule

ReportSubmissionPolicy    : DefaultReportSubmissionPolicy
State                     : Enabled
Priority                  : 0
Comments                  :
Description               : Wenn die Nachricht folgende Bedingungen erfüllt:
                                Wurde an „'secops@msxfaq.de'“ gesendet
                            Folgende Aktionen ausführen:
                                Berichtübermittlungsrichtlinie "DefaultReportSubmissionPolicy" anwenden.
RuleVersion               : 14.0.0.0
SentTo                    : {secops@msxfaq.de}
SentToMemberOf            :
RecipientDomainIs         :
ExceptIfSentTo            :
ExceptIfSentToMemberOf    :
ExceptIfRecipientDomainIs :
Conditions                : {Microsoft.Exchange.MessagingPolicies.Rules.Tasks.SentToPredicate}
Exceptions                :
Identity                  : DefaultReportSubmissionRule
Name                      : DefaultReportSubmissionRule
IsValid                   : True
WhenChanged               : 13.08.2023 02:05:39
ExchangeVersion           : 0.1 (8.0.535.0)

Und passend dazu gibt es dann auch eine ReportSubmissionPolicy

PS C:\> Get-ReportSubmissionPolicy

AdminDisplayName                                               : Default Report Submission Policy
ConfigurationType                                              : ReportSubmissionPolicy
DisableUserSubmissionOptions                                   : False
OnlyShowPhishingDisclaimer                                     : False
EnableReportToMicrosoft                                        : True
EnableCustomizedMsg                                            : False
ReportJunkToCustomizedAddress                                  : True
ReportNotJunkToCustomizedAddress                               : True
ReportPhishToCustomizedAddress                                 : True
EnableThirdPartyAddress                                        : False
CustomizedReportRecipients                                     : {3.secops@msxfaq.de, 2.secops@msxfaq.de,
                                                                 1.secops@msxfaq.de}
ReportJunkAddresses                                            : {secops@msxfaq.de}
ReportNotJunkAddresses                                         : {secops@msxfaq.de}
ReportPhishAddresses                                           : {secops@msxfaq.de}
ThirdPartyReportAddresses                                      : {}
CustomizedContents                                             : {RPU_NFM:, RPU_NRR:, RPU_PRR:, RPU_JRR:…}
PreSubmitMessage                                               :
PreSubmitMessageTitle                                          :
PostSubmitMessage                                              :
PostSubmitMessageTitle                                         :
PreSubmitMessageForJunk                                        :
PreSubmitMessageTitleForJunk                                   :
PostSubmitMessageForJunk                                       :
PostSubmitMessageTitleForJunk                                  :
PreSubmitMessageForPhishing                                    :
PreSubmitMessageTitleForPhishing                               :
PostSubmitMessageForPhishing                                   :
PostSubmitMessageTitleForPhishing                              :
PreSubmitMessageForNotJunk                                     :
PreSubmitMessageTitleForNotJunk                                :
PostSubmitMessageForNotJunk                                    :
PostSubmitMessageTitleForNotJunk                               :
NotificationSenderAddress                                      : {}
UserSubmissionOptions                                          : 0
UserSubmissionOptionsMessage                                   :
PhishingReviewResultMessage                                    :
JunkReviewResultMessage                                        :
NotJunkReviewResultMessage                                     :
NotificationFooterMessage                                      :
EnableUserEmailNotification                                    : True
DisableQuarantineReportingOption                               : False
EnableOrganizationBranding                                     : False
NotificationsForSubmissionAirInvestigationsEnabled             : False
NotificationsForCleanSubmissionAirInvestigationsEnabled        : False
NotificationsForPhishMalwareSubmissionAirInvestigationsEnabled : False
NotificationsForSpamSubmissionAirInvestigationsEnabled         : False
EnableCustomNotificationSender                                 : False
PreSubmitMessageEnabled                                        : True
PostSubmitMessageEnabled                                       : True
ConfirmationNotificationEnabled                                : True
ConfirmationNotificationForChatMessageEnabled                  : True
ConfirmationNotificationForEmailEnabled                        : False
ConfirmationNotificationTitle                                  :
ConfirmationNotificationMessage                                :
ReportChatMessageEnabled                                       : True
ReportChatMessageToCustomizedAddressEnabled                    : True
MultiLanguageSetting                                           : {}
MultiLanguagePreSubmitMessageForJunk                           : {}
MultiLanguagePreSubmitMessageTitleForJunk                      : {}
MultiLanguagePreSubmitMessageForPhishing                       : {}
MultiLanguagePreSubmitMessageTitleForPhishing                  : {}
MultiLanguagePreSubmitMessageForNotJunk                        : {}
MultiLanguagePreSubmitMessageTitleForNotJunk                   : {}
MultiLanguagePostSubmitMessageForJunk                          : {}
MultiLanguagePostSubmitMessageTitleForJunk                     : {}
MultiLanguagePostSubmitMessageForPhishing                      : {}
MultiLanguagePostSubmitMessageTitleForPhishing                 : {}
MultiLanguagePreSubmitMessageButtonTextForJunk                 : {}
MultiLanguagePreSubmitMessageButtonLinkForJunk                 : {}
MultiLanguagePreSubmitMessageButtonTextForPhishing             : {}
MultiLanguagePreSubmitMessageButtonLinkForPhishing             : {}
MultiLanguagePreSubmitMessageButtonTextForNotJunk              : {}
MultiLanguagePreSubmitMessageButtonLinkForNotJunk              : {}
MultiLanguagePostSubmitMessageButtonTextForJunk                : {}
MultiLanguagePostSubmitMessageButtonLinkForJunk                : {}
MultiLanguagePostSubmitMessageButtonTextForPhishing            : {}
MultiLanguagePostSubmitMessageButtonLinkForPhishing            : {}
ExchangeVersion                                                : 0.20 (15.0.0.0)
Name                                                           : DefaultReportSubmissionPolicy
WhenChanged                                                    : 13.08.2023 02:05:39
WhenCreated                                                    : 13.08.2023 01:58:57
OrganizationalUnitRoot                                         : carius.onmicrosoft.com
Id                                                             : DefaultReportSubmissionPolicy
IsValid                                                        : True

Sie sehen, dass hier noch deutlich mehr Dinge einstellbar sind, als das Security Admin Center im Browser anbietet.

App im Client

Damit der Anwender die fraglichen Nachrichten im Postfach auch melden kann, brauch er eine passende App, die normalerweise nicht in Outlook installiert ist. Eine "App" ist heute aber keine DLL oder ein COM-Objekt, sondern auch wieder eher JavaScript mit HTML, CSS, die in Outlook aber ebenso in OWA eingebunden wird. Manuell kann der Anwender einfach die AddOns in Outlook unter "Datei - Informationen  -AddOns" addieren.

Sie können als Administrator natürlich auch den allgemeinen Store blockieren und die Anwender nur von ihnen freigegebene Apps installieren lassen. Die App erscheint dann in Outlook.

Und natürlich auch in OWA

Routing per SMTP

Technisch lädt diese AddOn aber die fragliche Mail dann nicht per HTTPS oder einen anderen Weg an die Meldestelle, sondern sendet Sie einfach als Mail an eine hinterlegte Adressen. Damit wird diese „Nachricht“ aber über den ganz regulären Weg übermittelt und unterliegt damit auch den Filtern auf dem Weg. Das ist von Microsoft auch dokumentiert:

"Bypass spam filtering: The messages will skip spam filtering. High confidence phishing messages are still filtered. Other features in EOP are not affected (for example, messages are always scanned for malware)."
Quelle: https://learn.microsoft.com/en-us/exchange/security-and-compliance/mail-flow-rules/use-rules-to-set-scl

Aber da steht dann auch noch ein Hinweis:

"If you need to bypass spam filtering for SecOps mailboxes or phishing simulations, don't use mail flow rules. See Configure the delivery of third-party phishing simulations to users and unfiltered messages to SecOps mailboxes."
Quelle: https://learn.microsoft.com/en-us/exchange/security-and-compliance/mail-flow-rules/use-rules-to-set-scl

Der Link geht zu https://learn.microsoft.com/en-us/microsoft-365/security/office-365-security/skip-filtering-phishing-simulations-sec-ops-mailboxes?view=o365-worldwide

Entsprechend finden Sie diese Mails dann auch im Messagetracking ihres Tenant.

Diese Mail geht einmal an Microsoft (phish@office365.microsoft.com) und an den von mir hinterlegten Empfänger. Interessant ist, dass sich zum einen der Betreff der Mail an mein Secops-Postfach ändert. Aber auch die Größe der Mails sind unterschiedlich. Mein Postfach bekommt in dem Beispiel 139,52kB während Microsoft nur eine 36kB-Mail bekommt.

Ich würde sagen, dass Microsoft von der Mail nur so viele Informationen sich zusenden lässt, wie für den Lernprozess erforderlich sind, während das eigene SecOps-Postfach im Betreff die MessageID und SourceIP und weitere Details bekommt.

SecOps Postfächer

Über die reguläre Konfiguration mit Transport-Regeln kann ich zwar den SCL-Wert auf „-1“ setzen und damit den Spamfilter außer Kraft setzen aber der klassische „Malware“-Filter gegen bekannte Viren oder „HighConfidencePhish“-Filter, der eine Impersonation verhindern soll, bleiben aktiv. Diese beiden Filter sind sehr zuverlässig und haben minimale False-Positive-Raten. Allerdings stören Sie natürlich die Funktion von Postfächern, die genau diese Problem-Nachrichten zur Analyse erhalten sollen. Aber auch hier gibt es mit Exchange Online eine Lösung, indem solche speziellen Postfächer als „Security and Operation (SecOps)“-Postfach deklariert werden.

Dies kann per PowerShell aber auch per Browser erfolgen. Der direkte Einstieg ist auf https://security.microsoft.com/advanceddelivery.

Hier können Sie dann einfach Exchange Online Postfächer addieren, für die fast jegliche Filterfunktion deaktiviert werden soll. Die Liste ist nicht auf Benutzerpostfächer beschränkt. Allerdings konnte ich keine Kontakte auswählen.

Eine Weiterleitung an externe Dienste macht aber nicht viel Sinn, da auf dem Weg sicher der ein oder andere Spam/Phishing/Malware-Filter diese Mail auch wieder abfangen würde. Daher ist es ratsam ein SecOps-Postfach in ihrem Tenant zu betreiben. Exchange Online leitet die Mails auch nicht über den MX-Record an den Empfänger sondern stellt dies direkt lokal zu.

Machen Sie das bitte nur für Postfächer, bei denen die berechtigten Personen wissen, wie mit gefährlichen Mails umzugehen ist. Vertrauen Sie nie darauf, dass Outlook "sicher" ist. Am besten laden Sie die Mails automatisiert als Text-Datei herunter und betrachten diese auf gehärteten isolierten Systemen.

Die Konfiguration ist natürlich auch wieder per Exchange Online PowerShell auslesbar

PS C:\> Get-SecOpsOverrideRule

SentTo : {secops@msxfaq.net}
ReadOnly : False
Priority : 0
Workload : Exchange
Disabled : False
Mode : Enforce
CreatedBy : AdminFC
LastModifiedBy : AdminFC 
Identity : _Exe:SecOpsOverrid:<guid>
IsValid : True
ObjectClass : {top, msExchUnifiedRule}
WhenChanged : 8/02/2023 05:26:33 PM
WhenCreated : 8/02/2023 05:26:11 PM
Scenario : SecOps

Format der Mail

Die Mail an das SecOps-Postfach enthält die originale Nachricht als Anlage und listet den SMTP-Header im Body auf. (hier verkürzt dargestellt)

Einschätzung

Die Funktion in Exchange Online besondere SecOps-Postfächer zu definieren, sollten alle Administratoren kennen. Ansonsten laufen Sie immer wieder von Anwender berichtete "False Negative"-Mails hinterher, die vom Anwender nicht weitergeleitet werden können, in einer Quarantäne hängen bleiben oder sonst wie auf dem Weg verstümmelt werden.

Allerdings ist die Kennzeichnung eines Postfachs als "SecOps"-Postfach auch mit dem Risiko verbunden, das selbst Microsoft schon bekannte Schad-Mails bis zum Ziel zugestellt werden. Das Postfach und die Einstellung sind also nichts für "durchschnittliche Benutzer". Sie sollten schon kritisch die so empfangenen Mails betrachten und das Postfach konsequent von dem regulären Mailverkehr betrachten.

Die Funktion SecOps-Postfach harmoniert natürlich sehr gut mit der "Report Message" und "Report Phishing´"-App in Outlook und OWA und kann auch mit 3rd Party-Produkten verbunden werden, so dass Anwender sehr einfach nicht erkannte Schadmails an eine zentrale Stelle melden können. Wie schnell Sie dann aber diese Mails weiter verarbeiten und ggfls. ihre Filter und Regelwerke aktualisieren, steht auf einem anderen Blatt. Mittlerweile sind Spam/Phishing-Kampagnen nur sehr kurz aktiv und wer hier seine Regeln auch nur wenige Stunden aktualisiert, hat schon keinen Nutzen mehr.

Weitere Links