EchoSpoofing を監視して遮断するデータ保護ポリシーを作成する方法をご案内します。


EchoSpoofing とは、悪意のある攻撃者が Office 365 を経由してメッセージを送信することで、 ClientNet 上に登録されたドメインの発信元アドレスを偽装する手法です。これにより攻撃者はメッセージが中継される際にメール認証を回避できます。この手法は Office 365 が Office 365 ユーザーに任意のドメインからのメール送信を許可しているために実行可能となっています。

EchoSpoofing を検出するデータ保護ポリシーを作成する方法を説明します。

EchoSpoofing を検出するために、 Office 365 により付与される "X-OriginatorOrg" ヘッダーが登録ドメインと一致することを条件としたデータ保護ポリシーを作成します。
条件に合致しない場合は適切な処理を行うように設定します。

EchoSpoofing を検出するポリシーを作成する

1. ClientNet ポータルから [ダッシュボード] > [サービス] > [データ保護] を開きます。
2. [新規ポリシー] ボタンをクリックしてデータ保護ポリシーを作成し、以下のように設定します。

• • 名前: なりすまし防止
  • 適用先: アウトバウンド電子メールのみ
  • 次の場合に実行: すべてのルールを満たす
  • 処理: ログのみ / 他の処理を選択することも可能です。最初は「ログのみ」として、検証後に他の処理に変更することを推奨します。
  • 管理者電子メール: 本番環境で使用しない管理者メールアドレスを指定して下さい。データ保護ポリシーの管理者はすべてのデータ保護ポリシーから自動的に除外されます。
  • 通知: なし
    

3. [ルールの追加] をクリックしてルールを作成します。 2つのルールを作成してそれぞれ以下のように設定します。
   ルール 1: 

• • 名前: Echospoof Org
  • 次の場合に実行: すべての条件を満たす
  • [条件を追加] から [コンテンツキーワードのリスト] を追加する。
  • [新しいキーワードのリストを作成する] をクリックする。
  • 名前: Originator Orgs
  • カテゴリ: なし
  • コンテンツの種類: キーワード
  • [リスト項目の追加] に X-OriginatorOrg: を入力して、 [追加] をクリックする。
    
  • [保存] をクリックして保存する。
    
  • 条件:
    • 電子メールに含める: 選択したリストに含まれているキーワードといくつか一致します
      
    • 少なくとも: 1
    • 大文字と小文字を区別する: いいえ
    • 対象: ヘッダー
  • [保存] をクリックして保存する。
    

ルール 2: 

• • 名前: Echospoof Exception
  • [条件を追加] から [コンテンツの正規表現のリスト] を追加する。
  • [新しい正規表現のリストを作成する] をクリックする
  • 名前: Exceptions
  • カテゴリ: なし
  • コンテンツの種類: 正規表現
  • [リスト項目の追加] に X-OriginatorOrg: <自社のドメイン名> (例. X-OriginatorOrg: example\.com) を入力して、 [追加] をクリックする。 / アウトバウンドメールを送信する各ドメインの項目を追加します。
  • [リスト項目の追加] に <自社の MTA の IP アドレスの正規表現> (例. \b123\.123\.123\.123\b) / アウトバウンドメールを送信する各 IP アドレスを追加します。
  • [保存] をクリックして保存する。
    
  • 条件:
    • 電子メールに含める: 選択したリストに含まれている正規表現と一致しません
    • 大文字と小文字を区別する: いいえ
    • 対象: ヘッダー
  • [保存] をクリックして保存する。

ポリシー一覧画面で [アクティブ化] リンクをクリックするとポリシーが有効になります。