December 1, 2020
  • 11:10 pm Microsoft 365 – Salasanan resetointi itsepalveluna (SSPR)
  • 9:12 pm Exchange Online – Roskapostin estäminen top-level domainin (TLD) perusteella
  • 11:26 pm Windows 10 – Fiddler Web Debugger Proxyn asennus ja käyttöönotto
  • 3:00 am Microsoft 365 -käyttäjätilin kaappaamiseen reagointi – Tilanteen normalisointi
  • 12:40 am Microsoft 365 -käyttäjätilin kaappaamiseen reagointi – Tilin turvaaminen

Ongelma:

Exchange Onlinen roskapostisuodatin mahdollistaa suodattamisen lähettäjän sähköpostiosoitteen tai toimialuenimen perusteella. Lisäksi voidaan suodattaa roskapostia niiden sisältämän kielen tai maakohtaisuuden perusteella.

On kuitenkin tilanteita, joissa tyypilliset tavat suodattaa roskapostia eivät ole riittäviä, jos Exchange Online Protection (EOP) ei automaattisesti tunnista viestejä massalähetetyksi roskapostiksi. Jos käyttäjä on päätynyt jollekin julkiselle roskapostituslistalle, voi hän saada yhden päivän aikana useita kymmeniä roskapostiviestejä eri lähteistä. Lähettäjien sähköpostiosoitteiden ja toimialuenimien suodattaminen onkin siksi sekä työlästä että tehotonta, sillä osoitteet ja toimialueet vaihtuvat koko ajan.

Roskapostittajat suosivat toimialuenimiä halvoilta ylätason toimialuenimiltä (TLD), kuten xyz, icu, biz, best, club jne. Roskapostin estäminen niiden perusteella voikin olla hyvin tehokas tapa. Luonnollisesti fi, com, net, org ja vastaavia yleisesti käytettyjä ylätason toimialuenimiä ei missään nimessä kannata estää. Haitat jonkun example.xyz -kaltaisen toimialuenimen osalta taas ovat melko pienet.

Exchange Onlinen roskapostisuodatin ei kuitenkaan anna lisätä TLD:tä estettyjen luotteloon. Jos navigoidaan https://outlook.office365.com/ecp/ > Suojaus > Roskapostisuodatin > luodaan uusi tai muokataan jotain olemassa olevaa sääntöä, havaitaan, että EOP antaa alustavasti lisätä TLD:n ja jopa varoittaa sen riskeistä.

Kuitenkin tallennettaessa saadaan syntaksivirhe:


Ratkaisu:

Top-level domain voidaan estää siirtosäännöllä Exchange Onlinessa: https://outlook.office365.com/ > Postin kulku > Säännöt

Luodaan uusi sääntö, jolle annetaan kuvaava nimi. Kannattaa aina heti aluksi painaa “Lisää valintoja…“, sillä muuten kaikkia mahdollisia ehtoja ja toimenpiteitä ei tarjota valittavaksi.

Säännön ehdoksi valitaan “Käytä sääntöä, jos…

  • Lähettäjä…
  • osoite vastaa mitä tahansa näistä tekstimalleista

Ylempi vaihtoehto “osoite sisältää minkä tahansa näistä sanoista” ei tule toimimaan käyttämämme säännöllisen lausekkeen (regular expression) kanssa. Määritetään estettävät ylätason toimialuenimet seuraavassa formaatissa:

.<TLD>$

Eli esimerkiksi:

.xyz$

Dollari-merkki ($) tekee siitä säännöllisen lausekkeen ja tarkoittaa, että sitä edeltävän merkkijonon tulee sijaita testattavan merkkijonon lopussa. Testattava merkkijono olisi tässä yhteydessä siis lähettäjän osoite. Jos esimerkiksi määrittämäni merkkijono .xyz sijaitsee testattavan lähettäjäosoitteen “spammer@example.xyz” lopussa, johtaa siirtosääntö haluamamme toimenpiteen suorittamiseen.

Lisätään kaikki halutut TLD:t ja painetaan OK. Määritetään “Toimi seuraavasti…

  • Muokkaa viestin ominaisuuksia…
  • määritä roskapostiluokitus (SCL)

Annetaan roskapostiluokitukseksi arvo, joka on tarpeeksi korkea viestin käsittelemiseksi halutulla tavalla. Arvot ovat väliltä 0-9, ja -1 tarkoittaa roskapostisuodatuksen ohitusta. Office 365 -tenanteissa on oletuksena SCLJunkThresholdarvona 4, eli kaikki neljää suuremmat SCL-arvot ovat roskapostia. Tämä voidaan todentaa yhdistämällä Exchange Onlineen PowerShellissä ja ajamalla komento:

PS C:\Users\Markus> Get-OrganizationConfig | Select SCLJunkThresHold

SCLJunkThreshold
----------------
4

Suuremmilla arvoilla on omat merkityksensä:

  • 5-6 = Viesti on tunnistettu roskapostiksi
  • 7-9 = Viesti on luotettavasti tunnistettu roskapostiksi

Eroa tunnistetussa roskapostissa ja luotettavasti tunnistetussa roskapostissa ei oletuksena ole. Exchange Online määrittelee molempien toimeksi viestin siirtämisen roskapostikansioon. Tämä on kuitenkin muutettavissa, jos esimerkiksi halutaan, että luotettavasti tunnistetut roskapostit menevät karanteeniin roskapostikansion sijaan. Siksi kannattaa tarkistaa asetus organisaatiokohtaisesti omista roskapostisuodatus-säännöistä: https://outlook.office365.com/ecp/ > Suojaus > Roskapostisuodatin

Itse määritän arvoksi tässä tapauksessa 6, jolloin se on vain roskapostia. Arvolla ei omassa tenantissani ole merkitystä, kunhan se on neljää suurempi.

Lisäksi kannattaa vielä määrittää “Kohdista lähettäjän osoite viestissä:” > “Header or envelope“. Tällöin vastaanottajaosoitetta testataan sekä viestin otsaketietojen From-otsakkeen että SMTP-yhteyden MAIL FROM -osoitteen osalta.

Lopulta säännön tulisi näyttää esimerkiksi tällaiselta:

Tallennetaan sääntö. Sähköpostilokeja kannattaa seurailla ainakin parin päivän ajan, jotta nähdään, että sääntö toimii halutulla tavalla: https://outlook.office365.com/ecp/ > Postin kulku > Viestin seuranta.


TÄTÄ DOKUMENTTIA SAA KOPIOIDA JA MUOKATA GNU GENERAL PUBLIC LICENSE (VERSIO 3 TAI UUDEMPI) MUKAISESTI. HTTP://WWW.GNU.ORG/LICENSES/GPL.HTML
MARKUS PYHÄRANTA
Markus Pyhäranta

RELATED ARTICLES
LEAVE A COMMENT