通过

Exchange Server不符合 RFC 的 P2 FROM 标头检测

适用于:yes-img-162016 yes-img-192019 yes-img-se订阅版

概述

Microsoft知道 CVE-2024-49040) (漏洞,该漏洞允许攻击者对Microsoft Exchange Server运行欺骗攻击。 该漏洞是由当前标头验证实现 P2 FROM 引起的,该实现发生在传输中。 当前实现允许传递一些不符合 RFC 5322 的 P2 FROM 标头,这些标头可能导致电子邮件客户端 (例如,Microsoft Outlook) 显示伪造的发件人,就像它是合法的。

Exchange Server 2024 年 11 月安全更新 (SU) 开始,Exchange Server可以检测和标记 P2 FROM 标头中包含潜在恶意模式的电子邮件。

工作原理

如果Exchange Server检测到可疑邮件,它会自动在电子邮件正文前面附加以下免责声明:

显示以下文本的警告:注意:此电子邮件似乎可疑。如果不通过受信任的方法验证源,请不要信任此电子邮件中的信息、链接或附件。有关详细信息,请参阅: https://aka.ms/ProtectYourselfFromPhishing.

Exchange Server还会将 X-MS-Exchange-P2FromRegexMatch 标头添加到此功能检测到的任何电子邮件。 如果要对该功能检测到的电子邮件采取任何作,可以使用 Exchange 传输规则 (ETR) 来检测标头并执行特定作。 在此示例中,如果电子邮件包含 标头,Exchange Server将拒绝该电子邮件:

New-TransportRule -HeaderContainsMessageHeader "X-MS-Exchange-P2FromRegexMatch" -HeaderContainsWords @("True") -RejectMessageReasonText "Message not accepted due to a non-RFC compliant P2 FROM header" -Name "NonCompliantP2FromDetectionRule" -SenderAddressLocation "Header"

有关邮件流规则的详细信息,请参阅Exchange Server文档中的邮件流规则

配置

默认情况下,新行为是作为安全方法的一部分启用 。 尽管可以使用 New-SettingOverride 控制功能。 本部分介绍如何控制该功能。 请确保从提升的 Exchange 命令行管理程序 (EMS) 运行以下命令。

如果不希望 Exchange 在功能检测到的邮件前面自动添加免责声明,则可以禁用免责声明作,同时保持启用自定义标头作。 这允许你使用 ETR 检测这些电子邮件,并采用不同的方式处理它们,例如,在所选的免责声明前面附加。 以下命令禁用免责声明作:

New-SettingOverride -Name "DisableP2FromRegexMatchDisclaimer" -Component "Transport" -Section "NonCompliantSenderSettings" -Parameters @("AddDisclaimerforRegexMatch=false") -Reason "Disabled For Troubleshooting"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name MSExchangeTransport

如果不希望 Exchange 自动将 X-MS-Exchange-P2FromRegexMatch 标头添加到此功能检测到的电子邮件,则可以禁用标头作,同时保持启用免责声明作。 此设置替代是在 2024 年 11 月 SUv2 更新Exchange Server引入的。 使用以下命令禁用自定义标头作:

New-SettingOverride -Name "DisableP2FromRegexMatchHeader" -Component "Transport" -Section "NonCompliantSenderSettings" -Parameters @("AddP2FromRegexMatchHeader=false") -Reason "Disabled For Troubleshooting"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name MSExchangeTransport

我们强烈建议你保持启用该功能,因为禁用该功能会使恶意参与者更容易对组织运行网络钓鱼攻击。 如果要完全禁用该功能,请使用以下命令禁用免责声明和自定义标头作:

New-SettingOverride -Name "DisableP2FromRegexMatchDisclaimer" -Component "Transport" -Section "NonCompliantSenderSettings" -Parameters @("AddDisclaimerforRegexMatch=false") -Reason "Disabled For Troubleshooting"
New-SettingOverride -Name "DisableP2FromRegexMatchHeader" -Component "Transport" -Section "NonCompliantSenderSettings" -Parameters @("AddP2FromRegexMatchHeader=false") -Reason "Disabled For Troubleshooting"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name MSExchangeTransport