Microsoft’un Exchange Online için, posta teslimatları için kimlik doğrulanmamış mesaj gönderimlerine izin veren bir e -posta özelliği, saldırganlar hedeflenen kimlik avı için kötüye kullandıkça devam eden müşteri endişesine ve karışıklığa neden oluyor.
Microsoft, doğrudan gönder – “herhangi bir kullanıcı veya şirket içi konektör kimlik doğrulaması olmadan sahip olduğunuz bir alandan posta kutularınıza doğrudan posta kutularınıza göndermek için kullanılır.”
Şirket, “Doğrudan Gönderme, diğer seçenekler geçerli olmadığında kendinize e -posta göndermenin bir yöntemidir.”
Özellik varsayılan olarak tüm Microsoft 365 kiracıları için açıktır ve bunları göndermek için e -posta sunucuları olan kaynaklardan dahili mesajlara izin vermeyi amaçlayan meşru bir özelliktir.
Bu, örneğin, aynı etki alanındaki kullanıcılara ulaşması gereken ağa bağlı yazıcılar ve iş uygulamaları olabilir.
Gösterişçiler, gönderen ilkesi çerçevesi (SPF), Etki Alanı Anahtarları Tanımlanan Posta (DKIM) ve Etki Alanı Tabanlı Mesaj Authententicaiton, Raporlama ve Uyum (DMARC) gibi doğru şekilde yapılandırılmış e -posta doğrulaması ve kimlik doğrulama yöntemlerine doğrudan gönderilebilmeleri için hızlı bir şekilde pamuk vermiştir.
DomainName.mail.mail.protection.outlook.com şeklinde bir kuruluşun Exchange Online genel uç noktasına doğrudan e-postalar göndererek ve kuruluşun kendi alanını “Alan, kötü amaçlı mesajlar, aslında dış kaynaklardan oldukları zaman dahili kullanıcılardan görünür.
Güvenlik satıcısı Arctic Wolf, bu yıl Temmuz ayından bu yana Microsoft 365’in doğrudan gönderme özelliğini kötüye kullanarak birden fazla kuruluşu hedefleyen yaygın bir kimlik avı kampanyası olduğunu izledi.
Arctic Wolf, saldırganların kimlik avı QR kodlarıyla gömülü PDF dosyaları içeren sesli posta bildirimleri gibi dahili iletişim gibi görünen sahte e -postalar gönderdiğini söyledi.
Benzer bir şekilde Barracuda, doğrudan gönderme konusunda yeni bir güvenlik danışmanlığı yayınladı ve kullanıcılara doğrudan gelen kutulara teslim edilmesini durdurmak için internet protokolü (IP) adres kısıtlamaları ve yönlendirme kontrolleri eklemelerini tavsiye etti.
Kullanıcı endişelerine ve karışıklığa yanıt olarak, Microsoft’un değişim ekibi doğrudan gönderme ve özelliğin nasıl güvence altına alınacağı konusunda bir açıklayıcı yayınladı.
Ancak geri bildirimden sonra, değişim ekibi başlangıçta yazdıklarını kaldırdı, çünkü “istediğimizden daha kafa karıştırıcı olduğunu kanıtladı”.
Exchange ekibi o zamandan beri güncellenmiş bir blog yazdı ve “gerçekten doğrudan gönderilmeyen senaryolar, gönderenlerin bir alan adının MX’ini görmezden gelebileceği gibi soruları cevaplamaya çalıştı [mail exchanger] Kayıt ve doğrudan bir Exchange Online Kiracı. “
Microsoft bloguna yanıt olarak yayınlanan bir dizi yorum, yöneticilerin doğrudan gönderim terminolojisi üzerinde karışık kaldıklarını ve özelliği varsayılan olarak açılan önemli bir güvenlik açığı olarak gördüklerini gösteriyor.
Bir kullanıcı, “her M365 kiracıyı akıştan saldırılara maruz bırakmak yerine varsayılan olarak yeteneğinin devre dışı bırakılmasını önerdiğini söyledi.
Doğrudan gönderme mesajlarını reddetmek mümkündür, ancak bunlar için belirli konektörler oluşturulmadığı sürece bu, meşru hizmetleri kırma riskiyle karşı karşıyadır.