Miért fontos használni a Junk Email foldert?

Az Outlookban megtalálható Junk Email folder mindig is nagy viták tárgya volt. A felhasználók nem szeretik, mert ők csak az Inboxot nézik, az üzemeltetőknek is nyűg, ha sorra érkeznek a ticketek “nem érkeznek meg a leveleim”, holott csak a Junkba került.

Erre a problémára sok helyen azt a megoldást adják, hogy a spam-levelek tárgyába betesznek egy előtagot (prepend subject) pl [SPAM] és így küldik be a felhasználók inboxába. A felhasználók pedig tudomásul veszik, hogy néha bejön valami spam, de fontos levél biztosan nem kerül máshova.

Mindenki elégedett a helyzettel mindaddig, amíg nem jönnek az újabb panaszok: a Junk Email folderbe került a levél. Hát ez megy hogy lehet? Hiszen a spamszűrő (esetünkben Exchange Online Protection) oldalán beállítottuk, hogy a levél tárgyába tegyen valamit és utána Inbox. De mégis…

A válasz az Exchange postafiókokhoz tartozó rejtett antispam-rule (“By default, the junk email rule – a hidden Inbox rule named Junk E-mail Rule – is enabled in every mailbox)

Röviden, ehhez a szabályhoz a Spam Confidence Level (SCL) érték 4-esre van állítva. Ha az EOP ennél magasabb értéket állított be SCL-nek (pl 5-ös) akkor hiába a prepend subject, ettől még a Junk Email folderbe fog kerülni a levél.

Ezt a szabályt ki lehet kapcsolni felhasználónként:

Set-MailboxJunkEmailConfiguration “felhasználónév” -Enabled $false

Vagy az összes postafiókra:

$All = Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize Unlimited; $All | foreach {Set-MailboxJunkEmailConfiguration $_.Name -Enabled $false}

Ezt azért jegyezzük meg, mert később lesz jelentősége: “When the junk email rule is disabled on the mailbox, Exchange can’t deliver messages to the Junk Email folder based on the SCL Junk Email folder threshold”, azaz az Exchange nem fog tudni Junkba mozgatni leveleket. Ezt is akartuk,nem? Feladat teljesítve 🙂

Nos, kikapcsoltuk a fenti hidden szabályt, most már tényleg nem kerülhet semmilyen levél a Junk Email folderbe (ez így nem igaz, hiszen a Blocked Senderektől érkező mailek akkor is itt landolnak majd)

Ezután jön a következő fejvakarás: a spoofed és impersonated-gyanús levelek simán az Inboxban landolnak (a címzett zoltan.istvanffy@qualysoft.com, a feladó pedig zoltan.istvanffy@istvanffy.eu, ráadásul a Display Name is megegyezik, ez elég erősen véleményes lehet, mint megtévesztő)

Belenézve az O365 ATP policykbe, amikkel kontrolláljuk a spoof-impersonated próbálkozásokat, a következő a beállítás:

Hát igen, sajnos az előbb lőttük ki az Exchange képességét, hogy leveleket tudjon mozgatni a Junk Email folderbe, így nem tudott mit tenni, betette az Inboxba.

Visszakapcsolva a Junk Email Rule-t, a következő spoofolt levél már szépen a Junkba kerül:

Sajnos a spoof/impersonate policynél nincs olyan opció, hogy prepend subject, így ezt nem tudjuk beállítani.

És akkor még ott van a ZAP…

A Zero-hour auto purge előnye, hogy a már kézbesített levelek közül is visszamenőleg ki tudja szedni a káros leveleket (ehhez a mailboxnak az Exchange Online-ban kell lennie). Tegyük fel, kapunk egy mailt, benne egy ártalmatlan linkkel. Pár óra múlva a link mögé elhelyeznek egy adathalász oldalt. Erről a Microsoft is hamar tudomást szerez (a Security Intelligence Graph-ba érkező szignálok alapján), és automatikusan elindít egy workflow-t, amivel ezeket a leveleket átteszi a Junk Folderbe. Nagyon szuper szolgáltatás. Igenám, de:

“ZAP moves the message to the Junk Email folder, as long as the junk email rule is enabled on the mailbox ” azaz a működéséhez kell a junk email rule….

pluszban szintén nem működik, ha prepend subject megoldást válaszottunk “Prepend subject line with text: ZAP takes no action on the messagePrepend subject line with text: ZAP takes no action on the message

Összegezve az eddigieket, bár megoldottuk a felhasználóink számára, hogy ne kerüljön semmi a Junk Email folderbe, viszont kilőttünk két fontos védelmi vonalat: spoof-impersonation protection és a ZAP.

Mi lehet a legjobb megoldás: a fentiekből világosan látszik, hogy technikai szempontból a Microsoft erősen támaszkodik a Junk Email folderre. Amennyiben szeretnénk maximalizálni a védelmünket, érdemes átgondoni a koncepciót és használni a beépített lehetőségeket. A felhasználók felé pedig egy alapos (és folyamatos!) kommunikációval meg kell értetni, hogy bár nehézkesebb lehet a Junk Email foldert is figyelni, de összeségében közös érdek a védekezés. Az IT pedig természetesen a finomhangolással biztosítsa, hogy a lehető legkevesebb legitim levél kerüljön a Junk mappába.

Ahogy a bevezetőben is említettem, ez a spam-nem spam-junk kérdés örök vita, de azt látni kell felhasználói-üzemeltetői oldalról, hogy csak közös párbeszéddel-kompromisszummal lehet kezelni a kérdést.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s