Partager via


Exchange Server détection d’en-tête P2 FROM non conforme À RFC

Vue d’ensemble

Microsoft a connaissance d’une vulnérabilité (CVE-2024-49040) qui permet aux attaquants d’exécuter des attaques d’usurpation d’identité contre Microsoft Exchange Server. La vulnérabilité est due à l’implémentation actuelle de la vérification de l’en-tête P2 FROM , qui se produit dans le transport. L’implémentation actuelle permet à certains en-têtes P2 FROM non conformes À RFC 5322 de passer, ce qui peut conduire le client de messagerie (par exemple, Microsoft Outlook) à afficher un expéditeur falsifié comme s’il était légitime.

À compter de la mise à jour de sécurité Exchange Server novembre 2024, Exchange Server peut détecter et marquer les messages électroniques qui contiennent des modèles potentiellement malveillants dans l’en-tête P2 FROM.

Comment cela fonctionne-t-il ?

Si Exchange Server détecte un message suspect, il ajoute automatiquement la clause d’exclusion de responsabilité suivante au corps de l’e-mail :

Exchange Server ajoute également l’en-tête X-MS-Exchange-P2FromRegexMatch à tout message électronique détecté par cette fonctionnalité. Si vous souhaitez effectuer une action sur les e-mails détectés par la fonctionnalité, vous pouvez utiliser une règle de transport Exchange (ETR) pour détecter l’en-tête et exécuter une action spécifique. Dans cet exemple, Exchange Server rejette l’e-mail s’il contient l’en-tête :

New-TransportRule -HeaderContainsMessageHeader "X-MS-Exchange-P2FromRegexMatch" -HeaderContainsWords @("True") -RejectMessageReasonText "Message not accepted due to a non-RFC compliant P2 FROM header" -Name "NonCompliantP2FromDetectionRule" -SenderAddressLocation "Header"

Pour plus d’informations sur les règles de flux de messagerie, consultez la documentation Règles de flux de messagerie dans Exchange Server documentation.

Configuration

Le nouveau comportement est activé par défaut dans le cadre de notre approche sécurisée par défaut . Bien qu’il soit possible de contrôler la fonctionnalité à l’aide de New-SettingOverride. Cette section explique comment la fonctionnalité peut être contrôlée. Veillez à exécuter les commandes suivantes à partir d’un environnement de ligne de commande Exchange Management Shell (EMS) avec élévation de privilèges.

Si vous préférez ne pas qu’Exchange ajoute automatiquement une clause d’exclusion de responsabilité aux messages détectés par la fonctionnalité, vous pouvez désactiver l’action d’exclusion de responsabilité tout en conservant l’action d’en-tête personnalisée activée. Cela vous permet de détecter ces e-mails à l’aide d’un ETR et de les gérer différemment, par exemple en préparant une clause d’exclusion de responsabilité de votre choix. Les commandes suivantes désactivent l’action d’exclusion de responsabilité :

New-SettingOverride -Name "DisableP2FromRegexMatchDisclaimer" -Component "Transport" -Section "NonCompliantSenderSettings" -Parameters @("AddDisclaimerforRegexMatch=false") -Reason "Disabled For Troubleshooting"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name MSExchangeTransport

Si vous préférez qu’Exchange n’ajoute pas automatiquement l’en-tête X-MS-Exchange-P2FromRegexMatch aux e-mails détectés par cette fonctionnalité, vous pouvez désactiver l’action d’en-tête tout en conservant l’action d’exclusion de responsabilité activée. Ce remplacement de paramètre a été introduit avec la mise à jour SUv2 Exchange Server novembre 2024. Utilisez les commandes suivantes pour désactiver l’action d’en-tête personnalisé :

New-SettingOverride -Name "DisableP2FromRegexMatchHeader" -Component "Transport" -Section "NonCompliantSenderSettings" -Parameters @("AddP2FromRegexMatchHeader=false") -Reason "Disabled For Troubleshooting"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name MSExchangeTransport

Nous vous recommandons vivement de laisser la fonctionnalité activée, car la désactivation de la fonctionnalité permet aux acteurs malveillants d’exécuter plus facilement des attaques par hameçonnage contre votre organization. Si vous souhaitez désactiver la fonctionnalité, utilisez les commandes suivantes pour désactiver l’exclusion de responsabilité et l’action d’en-tête personnalisée :

New-SettingOverride -Name "DisableP2FromRegexMatchDisclaimer" -Component "Transport" -Section "NonCompliantSenderSettings" -Parameters @("AddDisclaimerforRegexMatch=false") -Reason "Disabled For Troubleshooting"
New-SettingOverride -Name "DisableP2FromRegexMatchHeader" -Component "Transport" -Section "NonCompliantSenderSettings" -Parameters @("AddP2FromRegexMatchHeader=false") -Reason "Disabled For Troubleshooting"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name MSExchangeTransport