G DATA 365 | Mail Protection
Warum muss im Microsoft Exchange Online ein Connector und eine Regel angelegt werden?
Wie Angreifer die Umgehung von cloudbasierten Drittanbieter-Sicherheitslösungen durchführen
Sobald eine Domäne zu Ihrem Microsoft Exchange Online hinzugefügt und verifiziert wurde, wird jedem Mandanten eine Standarddomäne von Microsoft zugewiesen. Angreifer wissen, dass die normalen MX-Einträge für die onmicrosoft.com-Domänen normalerweise "Firmenname.onmicrosoft.com" lauten.
Durch die Ergebnisse von MX-Abfragen auf "Firmennamen.onmicrosoft.com" können Angreifer ganze Datenbanken damit füllen, wessen E-Mails bei Microsoft 365 gehostet werden und wer davon seinen MX-Eintrag auf eine Drittanbieter-Sicherheitssoftware geroutet hat.
Aufgrund dieser Erkenntnisse können dann direkt E-Mails an Microsoft Exchange Online verschickt werden, die Microsoft auch annehmen würde. Damit kann eine solche Gateway-Lösung umgangen werden.
Das Verwenden von Konnektoren und Regeln sichert den Microsoft Exchange Online gegen diese Umgehungen und kann das Ändern des MX-Records ersparen.
Das Ändern des MX-Eintrages auf ein Gateway ist, wie aus Kapitel "Wie Angreifer die Umgehung von cloudbasierten Drittanbieter-Sicherheitslösungen durchführen" ersichtlich, nicht ausreichend.
Hinzu kommt, dass das von Microsoft vereinfachte Einrichten des DNS für Microsoft Exchange Online bei individuellem DNS-Routing nicht genutzt werden kann. Für erfahrene Anwender, die Ihre DNS selbst verwalten, ist ein zusätzliches Ändern des MX-Eintrages problemlos möglich, für weniger erfahrene Anwender kann es komplizierte Mehrarbeit verursachen. Weitere Informationen zu diesem Thema finden Sie in unserem Kapitel MX-Eintrag Ihrer Domäne auf G DATA 365 | Mail Protection setzen
Der Inbound Connector
Für einen reibungslosen Mailverkehr ist es erforderlich einen speziellen Inbound-Connector anzulegen. Da Microsoft das Greylisting-Verfahren anwendet und die G DATA 365 | Mail Protection unterschiedliche Absender-Ips verwendet, kann es sonst zu unnötigen Verzögerungen beim Mailempfang kommen.
Fazit
Damit G DATA 365 | Mail Protection nicht umgangen werden kann und keine Empfangsprobleme durch Greylisting auftreten, ist das Anlegen der Partner-Connectors (In- und Outbound) sowie einer Regel unbedingt erforderlich.
Tragen Sie hierbei alle Domänen ein, die von der G DATA 365 | Mail Protection überwacht werden sollen. Das Ergebnis ist, dass alle E-Mails der in der Regel eingetragenen Domänen, die von außen ankommen, zuerst an die G DATA 365 | Mail Protection weitergeleitet werden. Microsoft Exchange Online nimmt nur E-Mails an, die ihm geprüft durch G DATA 365 | Mail Protection zugestellt werden.
Wenn einige Punkte beachtet werden, ist das Ändern des MX-Eintrages nicht mehr nötig, kann aber auf Wunsch vorgenommen werden.