Overslaan naar inhoud
Nederlands
Neem contact met ons op
  • Er zijn geen suggesties want het zoekveld is leeg.

Automatisch Doorsturen van E-mails in Office365 Beheren [CHK-1036]

Deze controle is de eerste van een tweeluik waarmee automatisch doorsturen van e-mails wordt beperkt tot een specifieke lijst van gebruikers. CHK-1036 richt zich op de Remote Domain-laag in Exchange Online, CHK-1049 regelt daarna de fijnmazige uitzonderingen via de Hosted Outbound Spam Filter.

De Default remote domain is een tenant-brede aan/uit-schakelaar voor automatisch doorsturen. Staat AutoForwardEnabled daar op $false, dan blokkeert Exchange Online het doorsturen voor alle gebruikers — ook voor mensen die dat van de organisatie wél zouden mogen. Om met CHK-1049 per gebruiker uitzonderingen te kunnen maken, moet deze laag dus juist open staan. CHK-1036 controleert en forceert daarom dat AutoForwardEnabled = $true op het Default remote domain. Het daadwerkelijke blokkeren voor iedereen-behalve-de-whitelist gebeurt vervolgens in CHK-1049.

Reden

Aanvallers die Business E-mail Compromise (BEC) of CEO-fraude toepassen, zijn beruchte misbruikers van automatische doorstuurregels. Ze krijgen toegang tot de e-mailbox van een medewerker, en sturen dan alle e-mail van die medewerker naar zichzelf door. Dit kan leiden tot financiële fraude en datalekken. Het automatisch doorsturen van e-mails naar buiten de organisatie moet daarom aan banden worden gelegd, en hooguit bij uitzondering worden toegelaten.

Fix

Een geautomatiseerde fix is beschikbaar via Attic. Zorg ervoor dat u CHK-1036 én CHK-1049 samen inschakelt — alleen 1036 aanzetten betekent dat het doorsturen op remote-domain niveau juist wordt toegestaan, zonder dat de begrenzing uit 1049 er al overheen ligt.

Handmatige stappen:

  1. Verbind met Exchange Online via Connect-ExchangeOnline.
  2. Voer de volgende opdracht uit om de Remote Domain-laag open te zetten:
Set-RemoteDomain -Identity "Default" -AutoForwardEnabled $true
  1. Pas vervolgens CHK-1049 toe om via de Hosted Outbound Spam Filter de Default policy te blokkeren en alleen een specifieke groep gebruikers toe te staan.

Impact

CHK-1036 op zichzelf zet automatisch doorsturen tenant-breed op "toegestaan" op remote-domain niveau. Pas in combinatie met CHK-1049 ontstaat de gewenste situatie: alleen de gebruikers in autoforwardwhitelist mogen daadwerkelijk automatisch e-mails doorsturen, alle overige gebruikers worden geblokkeerd door de Default Hosted Outbound Spam Filter policy. Dit vermindert het risico op BEC en CEO-fraude zonder legitieme doorstuurscenario's onmogelijk te maken.

Meer Informatie

Gebruikers voor wie autoforwarding toegestaan moet zijn, kunnen met hun e-mailadres worden gespecificeerd in de configuratie optie autoforwardwhitelist in Attic. Filteren gebeurt per mailbox (afzender), niet per domein. Zie ook CHK-1049 voor de tweede helft van deze configuratie.