Ensure Direct Send is set to be rejected
Чому це важливо
Direct Send дозволяє неавтентифіковане надсилання електронних листів з будь-якої IP-адреси, що може використовуватися зловмисниками для підробки доменів і обходу автентифікації. Якщо цю функцію залишити увімкненою, це створює критичну "задню дверцяту" для фішингових кампаній і спаму, що може завдати шкоди репутації вашої організації. Блокування Direct Send гарантує, що лише автентифіковані клієнти зможуть надсилати пошту через ваше середовище Exchange Online.
Що перевіряє Aether365
Aether365 перевіряє, чи в конфігурації організації Exchange Online встановлено параметр RejectDirectSend у значення True. Ця перевірка відображається в інформаційній панелі Aether365 серед перевірок microsoft-365 з рівнем серйозності Medium.
Як виправити
Відкрийте Exchange Online PowerShell та підключіться до вашого клієнта:
Connect-ExchangeOnlineУвімкніть політику відхилення для Direct Send:
Set-OrganizationConfig -RejectDirectSend $trueПідтвердьте, що налаштування застосовано правильно:
(Get-OrganizationConfig).RejectDirectSendКоманда має повернути значення
True.Зауважте, що будь-які користувачі, які все ще намагатимуться використовувати Direct Send, отримають таку помилку:
550 5.7.68 TenantInboundAttribution; Direct Send not allowed for this organization from unauthorized sources
Відповідність стандартам
- CIS: Не має прямого зіставлення, але узгоджується з контролями CIS щодо вимкнення неавтентифікованої передачі пошти
- EIDSCA: Підтримує принципи конфігурації безпечного поштового шлюзу
- CISA: Рекомендований як базовий захід посилення безпеки для Exchange Online