Ensure mail transport rules do not whitelist specific domains
Perché è Importante
Le regole del flusso di posta che autorizzano domini specifici creano un pericoloso punto cieco nella sicurezza della tua posta elettronica. Queste regole bypassano la scansione standard di malware e phishing per i messaggi provenienti da tali domini, offrendo agli aggressori un percorso diretto per consegnare contenuti dannosi ai tuoi utenti. Senza questo controllo, un aggressore potrebbe compromettere un dominio autorizzato e usarlo come trampolino di lancio per attacchi mirati contro la tua organizzazione.
Cosa Controlla Aether365
Questo controllo verifica che nessuna regola di trasporto della posta di Exchange Online sia configurata per autorizzare domini specifici combinando il valore del parametro SetSCL di -1 con una condizione SenderDomainIs. Appare nella dashboard di Aether365 sotto la categoria dei controlli microsoft-365 come M365.2128.
Come Risolvere
Utilizzando il Microsoft 365 admin center:
- Apri Exchange admin center e naviga in Mail Flow quindi Rules.
- Esamina ogni regola e identifica quelle che autorizzano domini specifici (regole con azioni che bypassano il filtraggio dei contenuti per domini mittente particolari).
- Seleziona ogni regola offensiva e clicca sull'icona Delete per rimuoverla.
Utilizzando Exchange Online PowerShell:
- Connettiti a Exchange Online eseguendo
Connect-ExchangeOnline. - Esegui il comando seguente per rimuovere una regola di trasporto specifica:powershell
Remove-TransportRule {NomeRegola} - Verifica la modifica eseguendo questo comando di audit:powershell
Get-TransportRule | Where-Object {($_.setscl -eq -1 -and $null -ne $_.SenderDomainIs)} | ft Name, SenderDomainIs
Conformità
- CIS Microsoft 365 Foundations Benchmark 3.1.0 Sezione 6.2.2 (E3 Livello 1)
- Framework: CIS Microsoft 365 Foundations Benchmark
Risorse Correlate
- Condizioni ed eccezioni delle regole del flusso di posta in Exchange Online
- Creare elenchi di mittenti sicuri in Microsoft 365