Freigeben über

Exchange Server nicht RFC-kompatible P2 FROM-Headererkennung

GILT FÜR:yes-img-162016 yes-img-192019 yes-img-seSubscription Edition

Übersicht

Microsoft ist sich einer Sicherheitslücke (CVE-2024-49040) bewusst, die es Angreifern ermöglicht, Spoofingangriffe auf Microsoft Exchange Server auszuführen. Die Sicherheitsanfälligkeit wird durch die aktuelle Implementierung der P2 FROM Headerüberprüfung verursacht, die beim Transport auftritt. Die aktuelle Implementierung ermöglicht das Übergeben einiger nicht RFC 5322 konformer P2 FROM-Header, was dazu führen kann, dass der E-Mail-Client (z. B. Microsoft Outlook) einen gefälschten Absender anzeigt, als wäre er legitim.

Ab dem Exchange Server Sicherheitsupdate vom November 2024 können Exchange Server E-Mail-Nachrichten erkennen und kennzeichnen, die potenziell schädliche Muster im P2 FROM-Header enthalten.

Wie es funktioniert

Falls Exchange Server eine verdächtige Nachricht erkennt, wird dem Text der E-Mail-Nachricht automatisch der folgende Haftungsausschluss vorangestellt:

Eine Warnung, die den folgenden Text anzeigt: Hinweis: Diese E-Mail scheint verdächtig zu sein. Vertrauen Sie den Informationen, Links oder Anlagen in dieser E-Mail nicht, ohne die Quelle durch eine vertrauenswürdige Methode zu überprüfen. Weitere Informationen finden Sie unter: https://aka.ms/ProtectYourselfFromPhishing.

Exchange Server fügt auch die X-MS-Exchange-P2FromRegexMatch Kopfzeile zu allen E-Mail-Nachrichten hinzu, die von diesem Feature erkannt werden. Wenn Sie aktionen für E-Mails ausführen möchten, die vom Feature erkannt wurden, können Sie eine Exchange-Transportregel (ETR) verwenden, um den Header zu erkennen und eine bestimmte Aktion auszuführen. In diesem Beispiel lehnt Exchange Server die E-Mail ab, wenn sie den Header enthält:

New-TransportRule -HeaderContainsMessageHeader "X-MS-Exchange-P2FromRegexMatch" -HeaderContainsWords @("True") -RejectMessageReasonText "Message not accepted due to a non-RFC compliant P2 FROM header" -Name "NonCompliantP2FromDetectionRule" -SenderAddressLocation "Header"

Weitere Informationen zu Nachrichtenflussregeln finden Sie in den Nachrichtenflussregeln in Exchange Server Dokumentation.

Konfiguration

Das neue Verhalten ist standardmäßig als Teil unseres Sicherheitsansatzes aktiviert. Es ist zwar möglich, das Feature mit New-SettingOverride zu steuern. In diesem Abschnitt wird erläutert, wie das Feature gesteuert werden kann. Stellen Sie sicher, dass Sie die folgenden Befehle über eine Exchange Management Shell (EMS) mit erhöhten Rechten ausführen.

Wenn Exchange nachrichten, die vom Feature erkannt wurden, nicht automatisch einen Haftungsausschluss voranstellen soll, können Sie die Haftungsausschlussaktion deaktivieren, während die benutzerdefinierte Headeraktion aktiviert bleibt. Auf diese Weise können Sie diese E-Mails mithilfe einer ETR erkennen und anders behandeln, z. B. indem Sie einen Haftungsausschluss Ihrer Wahl vorschreiben. Die folgenden Befehle deaktivieren die Haftungsausschlussaktion:

New-SettingOverride -Name "DisableP2FromRegexMatchDisclaimer" -Component "Transport" -Section "NonCompliantSenderSettings" -Parameters @("AddDisclaimerforRegexMatch=false") -Reason "Disabled For Troubleshooting"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name MSExchangeTransport

Wenn Sie den Header von Exchange nicht automatisch zu E-Mails hinzufügen möchten, die X-MS-Exchange-P2FromRegexMatch von diesem Feature erkannt werden, können Sie die Headeraktion deaktivieren, während die Haftungsausschlussaktion aktiviert bleibt. Diese Einstellungsüberschreibung wurde mit dem Exchange Server SUv2-Update vom November 2024 eingeführt. Verwenden Sie die folgenden Befehle, um die benutzerdefinierte Headeraktion zu deaktivieren:

New-SettingOverride -Name "DisableP2FromRegexMatchHeader" -Component "Transport" -Section "NonCompliantSenderSettings" -Parameters @("AddP2FromRegexMatchHeader=false") -Reason "Disabled For Troubleshooting"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name MSExchangeTransport

Es wird dringend empfohlen, das Feature aktiviert zu lassen, da die Deaktivierung des Features es für böskräftige Akteure einfacher macht, Phishingangriffe auf Ihre organization auszuführen. Wenn Sie das Feature überhaupt deaktivieren möchten, verwenden Sie die folgenden Befehle, um den Haftungsausschluss und die benutzerdefinierte Headeraktion zu deaktivieren:

New-SettingOverride -Name "DisableP2FromRegexMatchDisclaimer" -Component "Transport" -Section "NonCompliantSenderSettings" -Parameters @("AddDisclaimerforRegexMatch=false") -Reason "Disabled For Troubleshooting"
New-SettingOverride -Name "DisableP2FromRegexMatchHeader" -Component "Transport" -Section "NonCompliantSenderSettings" -Parameters @("AddP2FromRegexMatchHeader=false") -Reason "Disabled For Troubleshooting"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name MSExchangeTransport