X-MS-Exchange-EnableFirstContactSafetyTip

Dieser besondere SMTP-Header wird von Exchange und Outlook besonders interpretiert, wenn Defender (vormals Advanced Threat Protection - ATP) den Wert setzt. Der Header ist aber auch für andere Produkte interessant.

Defender und Anwender

Microsoft kämpft genau wie andere Anbieter von AntispamLösungen gegen die veränderten Angriffe der bösen Seite und dazu gehört auch die Einbeziehung der Anwender. In fast allen Fällen, außer vielleicht einer DDoS-Attacke oder einer Lücke im Mailserver selbst, ist der Empfänger der Mail das schwache Glied. Er führt den Schadecode aus, klickt den Link oder folgt den Anweisungen.

Schon sehr früh haben wir bei NoSpamProxy mit einem "Vertrauenssystem" (Level-of-Trust) gearbeitet, um Kommunikationsbeziehungen zu lernen und in die Bewertung mit einzubeziehen. So können wir auch sehr einfach "Erstkontakte" ermitteln und entsprechend strenger behandeln. Microsoft hat mit "Defender for Office 365" eine Option eingebaut, über einen SMTP-Header dem Client einen Hinweis auf einen Erstkontakt zu geben.

Aus dem Header einer bestehende Mail habe ich die Information gewonnen, dass es hier ein besonderes Feld gibt, dessen Wert einfach nur "Enabled" lautet. 

Ich hatte gehofft, dass hier ein Freitext, eventuell mit HTML-Formatierung möglich sein würde. Aber der Text suggeriert ja schon, dass es ein "FirstContactSafetyTip" ist und keine generische Informationszeile ist.

Dennoch kann der Anwender entsprechend "vorsichtiger" agieren und ist durchaus eine interessante Option um z.B. "ähnlich geschriebene Namen" sichtbar zu machen. Gerade gezielte Angriffe machen sich die Mühe, eine ähnlich klingende Domains zu reservieren und vermeintlich die Identität zu übernehmen.

Technische Umsetzung

Wenn Sie nach "X-MS-Exchange-EnableFirstContactSafetyTip", gab es zumindest im Nov 2020 noch ganz wenige Treffer aber der damals einzige Treffer bei Microsoft hat es auf den Punkt gebracht:


Quelle Anti-phishing policies in Microsoft 365
(https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/set-up-anti-phishing-policies )

Es gibt also, vergleichbar zu X-Message-Flag mittlerweile mit "X-MS-Exchange-EnableFirstContactSafetyTip" einen weiteren Header, der vom Client ausgewertet und mit Hinweisen versehen werden kann. Microsoft beschreibt auch, dass der Administrator dies per Transport-Regel umsetzen kann. Microsoft verhindert, dass ich von extern anonym eine Mail sende, in der schon ein "X-MS-Exchange-EnableFirstContactSafetyTip"-Header enthalten ist. Das nennt Microsoft auch "Header Firewall" und gibt es seit mindestens Exchange 2013:

Ich kann den Wert also nur innerhalb meiner Exchange Umgebung setzen. Beim Einsatz eines anderen Mailservers ohne entsprechenden Schutz gibt es diese Funktion natürlich nicht. Insofern könnte es hilfreich sein, solche "X-Header" generell beim Empfang aus dem Internet zu entfernen oder zumindest umzuschreiben.

Transport Regel

Eine Transport-Regel, die einen SMTP-Header setzt, können Sie per Browser im Exchange Control Panel umsetzen.

Über diese Regel habe ich oben auch meine Testmail generiert, denn ich nutze aktuell lieber NoSpamProxy als Schutz vor meinem Postfach anstatt auf Windows Defender zu setzen. Mal sehen, wann die diversen Spamfilter eine Funktion nachrüsten, um solche "Erstkontakte" oder "seltene Kommunikationspartner" zu erkennen und einen eigenen Header zu setzen, der dann als Trigger für eine Exchange Transportregel genutzt werden kann.

Weitere Links