EOP - Exchange Online Protection

Ahoj,
potřeboval bych pomoc nějakého zkušeného admina pracujícího s Exchange Online Protection.
Mám problém s vysokým počtem false positive .. rád bych zkonzultoval nastavení.
PS: Microsoftí podpora je nějak v koncích ..
Příklad typické hlavičky
spf=neutral (sender IP is 109.72.0.116) smtp.mailfrom=seznam.cz; vzp.cz; dkim=none (message not signed) header.d=none;domain.cz; dmarc=fail action=none header.from=seznam.cz;compauth=fail reason=001
Odesílatel nemá nastaveno SPF, DKIM.. a EOP to vyhodnotí jako spam, phish .. ale jinak to jsou naprosto validní maily.. vůbec se nějak nehledí na samotný content obsahu a nebo se to vyhodnocuje naprosto strašně..
Pokud se antiphish kontrola úplně vypne tak zase proleze každej bordel ..
Zmena predmetu, pôvodne: EOP (moose)

Předmět	Autor	Datum
Ak odosielateľ nemá nastavené ani SPF a ani DKIM, tak si vyslovene koleduje o to, aby jeho maily pad… los 18.05.2020 22:30	los	18.05.2020 22:30
No jo.. ale jen kdyby byla možnost takovému (jinak validnímu) odesílateli alespoň poslat NDRko, že s… MKc 18.05.2020 23:06	MKc	18.05.2020 23:06
hrátky s NDR jsou IMHO prasárna jaksviňa. To mi snad ani neříkej, že tohle schvaluješ a ještě nasazu… touchwood 19.05.2020 07:00	touchwood	19.05.2020 07:00
Nie som skúsený admin, ale myslím, že by to malo ísť nastaviť tak, aby to pri chýbajúcom SPF už pri… moose 19.05.2020 04:24	moose	19.05.2020 04:24
Tady je každá rada drahá. Máš možnost přidat domény do whitelistu, máš možnost vypnout SFP/DKIM kont… touchwood 19.05.2020 05:46	touchwood	19.05.2020 05:46
Díky poslední MKc 19.05.2020 16:54	MKc	19.05.2020 16:54

Ak odosielateľ nemá nastavené ani SPF a ani DKIM, tak si vyslovene koleduje o to, aby jeho maily padali do spamu. A to nielen v Exchange-i, ale aj v Gmail-i a všade inde. Takže tam by som smeroval ďalšie kroky.

No jo.. ale jen kdyby byla možnost takovému (jinak validnímu) odesílateli alespoň poslat NDRko, že si má nastavit SPF DKIM .. pokud chodí maily od stovek/tisíců různých adres, tak to se prostě nedá jim to ručně vracet .. a NDRka spamerům vracet také nechcem ..

hrátky s NDR jsou IMHO prasárna jaksviňa. To mi snad ani neříkej, že tohle schvaluješ a ještě nasazuješ. Přitom stačí udělat poměrně triviální krok - vyblokovat už na úrovni obálky vše, co nemá validní PTR+MX záznam plus použít greylisting a nějaký spolehlivý DNSBL.

P.S.: vaše adresy už stejně dávno zpeněžil nějaký random indián z MS podpory, který má/měl přístup k EXO infrastruktuře (a možná jich bylo i víc.)

Nie som skúsený admin, ale myslím, že by to malo ísť nastaviť tak, aby to pri chýbajúcom SPF už pri prijímaní rejectlo správu (odpoveď typu 550 SPF check failed). Odosielateľ by mal tým pádom hneď vedieť, že to neprešlo a nemusíš posielať žiadny non-delivery report. Tým pádom budú vedieť, že to majú blbo nastavené.

Tady je každá rada drahá. Máš možnost přidat domény do whitelistu, máš možnost vypnout SFP/DKIM kontrolu.
EXO je samo o sobě poměrně exotická služba.

Osobně bych začal tím, že bych se zkusil "vrátit v čase", tj. vypnout všechny novější nástroje jako SFP/DKIM apod. a nasadit nějaký DNSBL systém + greylisting. Poměrně dobré kompendium postupů včetně návodu máš zde: https://www.undocumented-features.com/2019/08/13/exchange-online-protection-eop-best-practices-and-recommendations/

P.S.: že je podpora MS v koncích, to bych řekl, že je pro ně typické.

Díky

Zpět do poradny Odpovědět na původní otázku Nahoru