微软 Exchange 配置错误引发电子邮件新风险

来自安克诺斯威胁研究单元的一份新报告发现，微软 Exchange Online 的设置存在一个漏洞，此漏洞可能引发电子邮件欺骗攻击。

此问题主要对具有本地 Exchange 与 Exchange Online 混合配置的用户，以及使用第三方电子邮件安全解决方案的用户产生影响。

2023 年 7 月，微软在其 Microsoft Exchange 里，对处理 DMARC（基于域的消息身份验证、报告和一致性）的方式做出了重大改变。

此次更新的目的是通过增强电子邮件服务器对传入电子邮件合法性的验证方式来提高安全性。

不幸的是，尽管微软给出了明确的指导，但是仍有相当多数量的用户尚未落实这些安全措施，致使他们的系统容易遭受各种网络威胁，尤其是电子邮件欺骗。

微软 Exchange Online 能够作为邮件服务器使用，无需本地 Exchange 服务器，也无需第三方反垃圾邮件解决方案。

然而，当 Exchange Online 在混合环境中被使用（也就是本地 Exchange 服务器通过连接器与 Exchange Online 进行通信）或者涉及第三方 MX 服务器时，就会产生漏洞。

电子邮件仍然是网络犯罪分子的主要目标，这就是为什么强大的安全协议对于防止欺骗至关重要。为此目的已经开发了三个关键协议：发件人策略框架 (SPF) 借助 DNS 记录来检查邮件服务器是否有权代表某个域发送电子邮件；域名密钥识别邮件 (DKIM) 允许对电子邮件进行数字签名，验证它们是否来自授权服务器并确认发件人的域真实性；基于域的消息身份验证、报告和一致性 (DMARC) 确定怎样处理未通过 SPF 或 DKIM 检查的电子邮件，指定像拒绝或隔离之类的操作，以增强电子邮件的安全性。

要了解电子邮件安全协议如何协同工作，请考虑一个典型的电子邮件流程：服务器 A 发起一个 DNS 请求，以定位收件人所在域（比如，ourcompany.com）的邮件交换（MX）服务器，然后通过其中一个 MX 服务器（服务器 B）从“user@company.com”向“user2@ourcompany.com”发送电子邮件。服务器 B 接着通过检查电子邮件是否源自授权服务器（SPF 验证）来验证该邮件，确保存在有效的 DKIM 签名，并遵循该域的 DMARC 策略所规定的操作。如果服务器 A 未在 SPF 记录中列出、缺少有效的 DKIM 签名或者如果 DMARC 策略设置为“拒绝”，服务器 B 应该拒绝该电子邮件。然而，如果接收服务器配置错误，这些安全检查可能会被绕过，从而允许电子邮件被传递并造成重大安全风险。

在混合环境中，Exchange 混合设置向导通常会创建标准的入站和出站连接器，以促进 Exchange Online 和本地 Exchange 服务器之间的数据交换。不过，可能会出现配置错误的情况，尤其是如果管理员没有意识到潜在风险或者未能锁定其 Exchange Online 组织，使其仅接收来自可信来源的邮件。

入站连接器在确定 Exchange 服务器如何处理传入电子邮件方面起着极为关键的作用。在混合环境中，管理员必须确保正确的连接器已设置妥当并配置正确。这包括利用特定的 IP 地址或证书来创建合作伙伴连接器，以确保仅接受来自受信任来源的电子邮件。要是没有这些保障措施，配置错误的入站连接器可能会允许恶意电子邮件绕过安全检查，从而导致潜在的危害。

当使用第三方 MX 服务器时，根据 微软的建议 配置 Exchange Online 实例至关重要。如果不这样做，可能会让组织遭遇欺骗攻击，因为电子邮件可能会绕过像 DMARC、SPF 和 DKIM 这类关键的安全检查。

例如，如果租户的收件人域的 MX 记录指向第三方电子邮件安全解决方案而不是微软的，则 DMARC 策略将不会被应用。因此，来自未经验证来源的电子邮件可能会被传递，增加了网络钓鱼及欺骗性攻击的风险。

为了防范电子邮件欺骗及相关风险，管理员应通过采取以下关键步骤来强化其 Exchange 环境：