Microsoft 365 wel/niet mail geacccepteerd

Welkom in de wereld van spam en phishing. Nu je omgeving een tijdje actief is en jullie er vanaf mailen zal je met regelmaat dit soort dingen tegen komen en is het wachten op de eerste gebruiker die er intrapt en zijn MS365 credentials invult geeft.

Ik weet in welke hoek jullie actief zijn en adviseer ten trengste om MFA op jullie accounts te activeren als dit nog niet is gedaan i.c.m conditional access policy zoals GeoBlock voor het inloggen op de accounts, Beperkte device toegang etc.

Wat betreft het voorkomen van de spam zitten er in het MS365 security center een aantal features die je hierbij kunnen helpen om het te voorkomen en het inzichtelijk te maken. https://protection.office.com/threatpolicy Het is dan eigenlijk een combinatie van meerdere Microsoft 365 policy's die er voor kunnen zorgen dat je veiliger kan werken en minder druk hoeft te zijn met spam mails.

Denk aan onderstaande functies en policy's

- Anti-phishing
De Anti-phishing policy kan je helpen om mail sneller naar de spam folder te laten gaan, een safety tip te tonen in outlook (soort banner) First Contact banner, en kan helpen tegen spoofing. Hier is ook DKIM,DMARC,SPF van belang.

- Anti-spam
De anti-spam policy kan je zelf uitbreiden en staat als het goed is al aan! Zet deze bijvoorbeeld aan voor bulk mail, vreemte websites als .biz, info etc image links, IP adres in de URL en zijn best wat opties.

De connection filter valt daar ook onder hier kan je eventueel bepaalde IP adressen blokkeren van mailservers. (kijk hier wel mee uit)

- Anti-malware
De anti-mailware filter kan je instellen op attachements, als .ace,.app.vbs,.reg,zip,docm etc om bepaalde bestanden tegen te houden. Ook zero-hour auto purge for malware zou ik zeker aanzetten. Net als een notificatie naar de beheerder als er iets is tegengehouden.

- Safe Attachments
Dit vindt ik persoonlijk een hele fijne feature om alle bijlages die je per mail ontvangt worden eerst door een virus scanner gehaald om te kijken of ze veilig zijn!

- Safe Links
Safe links beschermt de gebruikers voor verdachte links in e-mails en op microsoft teams.
Deze links worden vergeleken met een database en de gebruiker krijgt als ze er op klikken een blokkade scherm (heel duidelijk) wat er aan de hand is en waarom de link niet werkt.

- Tenant Allow/Block Lists
Hier kan je spoofing e-mail adressen, URL's File hash's toevoegen welke vervolgens door MS365 geblokkeerd zullen worden en nooit je users zullen bereiken.

Licentie
Voor de Safe Attachments en Safe Links heb je mogelijk een exta licentie nodig! De andere opties kan je makkelijk configureren op domein niveau.

Quarantine
Via het https://protection.office.com/quarantine kan je kijken hoeveel / welke mail er in de Quarantine zit.

Security Dashboard
Het security dashboard kan je helpen om inzichtelijk te krijgen hoe de mailflow gaat in je organisatie en zie je eventuele URL report, Malware trends etc.

MFA
Ik weet dat je met wat oudere gebruikers zit maar het is echt van belang om dit anno 2021 te doen. Zonder MFA is je omgeving eigenlijk niet meer veilig te noemen. Via Azure AD is het zeer makkelijk om de MFA naar alle gebruikers uit te rollen. TIP Zet SMS authenticatie uit en gebruik de MS authenticatie app.

Conditional Access
Zoals eerder aangehaald stel Conditional Access regels in om een aantal zaken te beperken.
Bijvoorbeeld een geoblock dat er alleen vanuit Nederland ingelogd mag worden op de mail, Blokkeer tevens Block legacy authentication! Microsoft is dit ook aan het uitfaseren. Een Force MFA regel is ook handig zodat een gebruiker niet zelf de MFA uit kan zetten. Maar een regel als device platform (Alleen vanaf IOS,Android,Windows) en de rest niet is zeker aan te raden. Er is een hele boel mogelijk! Ook het blokkeren van oude OS versies zoals oude Android versies is zeker aan te bevelen!

Azure AD Identity Protection
Dan heb je als laatste nog Azure AD Identity Protection welke inzichtelijk kan maken wat er gebeurt met je MS365 accounts en hier automatisch actie op kan ondernemen zoals het account tijdelijk blokkeren bijvoorbeeld. Hiervoor heb je wel een Azure AD P2 nodig.

DKIM
Zo te zien hebben jullie DKIM ook nog niet ingericht dit zou ik zeker doen of laten doen!
Jullie SPF, en DMARC (kan stakker maar oke) zijn er wel je mist alleen nog dit steentje
https://docs.microsoft.co...email?view=o365-worldwide

Zoals je leest is er zeer veel mogelijk en om eerlijk te zijn zou ik alle bovenstaande punten als een vereiste in je MS365 inrichting zien De meeste punten is een kleine moeite om in te richten voor het gebruik van Azure AD Identity Protection, MFA en Conditional Access moet je je wel even heel goed inlezen. Maar nogmaals deze punten helpen je om de omgeving veiliger te maken maar zullen nooit 100% zorgen voor een spam loze omgeving of een omgeving waarbij account credentials gestolen worden. Dit zijn middelen die het kunnen voorkomen maar gebruikers awareness is net zo belangrijk (misschien nog wel belangrijker)

[ Voor 6% gewijzigd door HKLM_ op 19-10-2021 20:06 ]

Welkom in de wereld van spam en phishing. Nu je omgeving een tijdje actief is en jullie er vanaf mailen zal je met regelmaat dit soort dingen tegen komen en is het wachten op de eerste gebruiker die er intrapt en zijn MS365 credentials invult geeft.

Ik weet in welke hoek jullie actief zijn en adviseer ten trengste om MFA op jullie accounts te activeren als dit nog niet is gedaan i.c.m conditional access policy zoals GeoBlock voor het inloggen op de accounts, Beperkte device toegang etc.

Wat betreft het voorkomen van de spam zitten er in het MS365 security center een aantal features die je hierbij kunnen helpen om het te voorkomen en het inzichtelijk te maken. https://protection.office.com/threatpolicy Het is dan eigenlijk een combinatie van meerdere Microsoft 365 policy's die er voor kunnen zorgen dat je veiliger kan werken en minder druk hoeft te zijn met spam mails.

Denk aan onderstaande functies en policy's

- Anti-phishing
De Anti-phishing policy kan je helpen om mail sneller naar de spam folder te laten gaan, een safety tip te tonen in outlook (soort banner) First Contact banner, en kan helpen tegen spoofing. Hier is ook DKIM,DMARC,SPF van belang.

- Anti-spam
De anti-spam policy kan je zelf uitbreiden en staat als het goed is al aan! Zet deze bijvoorbeeld aan voor bulk mail, vreemte websites als .biz, info etc image links, IP adres in de URL en zijn best wat opties.

De connection filter valt daar ook onder hier kan je eventueel bepaalde IP adressen blokkeren van mailservers. (kijk hier wel mee uit)

- Anti-malware
De anti-mailware filter kan je instellen op attachements, als .ace,.app.vbs,.reg,zip,docm etc om bepaalde bestanden tegen te houden. Ook zero-hour auto purge for malware zou ik zeker aanzetten. Net als een notificatie naar de beheerder als er iets is tegengehouden.

- Safe Attachments
Dit vindt ik persoonlijk een hele fijne feature om alle bijlages die je per mail ontvangt worden eerst door een virus scanner gehaald om te kijken of ze veilig zijn!

- Safe Links
Safe links beschermt de gebruikers voor verdachte links in e-mails en op microsoft teams.
Deze links worden vergeleken met een database en de gebruiker krijgt als ze er op klikken een blokkade scherm (heel duidelijk) wat er aan de hand is en waarom de link niet werkt.

- Tenant Allow/Block Lists
Hier kan je spoofing e-mail adressen, URL's File hash's toevoegen welke vervolgens door MS365 geblokkeerd zullen worden en nooit je users zullen bereiken.

Licentie
Voor de Safe Attachments en Safe Links heb je mogelijk een exta licentie nodig! De andere opties kan je makkelijk configureren op domein niveau.

Quarantine
Via het https://protection.office.com/quarantine kan je kijken hoeveel / welke mail er in de Quarantine zit.

Security Dashboard
Het security dashboard kan je helpen om inzichtelijk te krijgen hoe de mailflow gaat in je organisatie en zie je eventuele URL report, Malware trends etc.

MFA
Ik weet dat je met wat oudere gebruikers zit maar het is echt van belang om dit anno 2021 te doen. Zonder MFA is je omgeving eigenlijk niet meer veilig te noemen. Via Azure AD is het zeer makkelijk om de MFA naar alle gebruikers uit te rollen. TIP Zet SMS authenticatie uit en gebruik de MS authenticatie app.

Conditional Access
Zoals eerder aangehaald stel Conditional Access regels in om een aantal zaken te beperken.
Bijvoorbeeld een geoblock dat er alleen vanuit Nederland ingelogd mag worden op de mail, Blokkeer tevens Block legacy authentication! Microsoft is dit ook aan het uitfaseren. Een Force MFA regel is ook handig zodat een gebruiker niet zelf de MFA uit kan zetten. Maar een regel als device platform (Alleen vanaf IOS,Android,Windows) en de rest niet is zeker aan te raden. Er is een hele boel mogelijk! Ook het blokkeren van oude OS versies zoals oude Android versies is zeker aan te bevelen!

Azure AD Identity Protection
Dan heb je als laatste nog Azure AD Identity Protection welke inzichtelijk kan maken wat er gebeurt met je MS365 accounts en hier automatisch actie op kan ondernemen zoals het account tijdelijk blokkeren bijvoorbeeld. Hiervoor heb je wel een Azure AD P2 nodig.

DKIM
Zo te zien hebben jullie DKIM ook nog niet ingericht dit zou ik zeker doen of laten doen!
Jullie SPF, en DMARC (kan stakker maar oke) zijn er wel je mist alleen nog dit steentje
https://docs.microsoft.co...email?view=o365-worldwide

Zoals je leest is er zeer veel mogelijk en om eerlijk te zijn zou ik alle bovenstaande punten als een vereiste in je MS365 inrichting zien De meeste punten is een kleine moeite om in te richten voor het gebruik van Azure AD Identity Protection, MFA en Conditional Access moet je je wel even heel goed inlezen. Maar nogmaals deze punten helpen je om de omgeving veiliger te maken maar zullen nooit 100% zorgen voor een spam loze omgeving of een omgeving waarbij account credentials gestolen worden. Dit zijn middelen die het kunnen voorkomen maar gebruikers awareness is net zo belangrijk (misschien nog wel belangrijker)

[ Voor 6% gewijzigd door HKLM_ op 19-10-2021 20:06 ]