Exchange Online Protection
4 września 2020
Ochrona przed spam oraz malware
Exchange Online – poczta e-mail klasy business
Chmurowa usługa Exchange Online oferowana przez Microsoft zapewnia bezpieczną i niezawodną pocztę e-mail o podwyższonych parametrach, dedykowaną dla firm lub wymagających użytkowników. Exchange Online jest oferowany w ramach wybranych planów Microsoft 365 (dawniej Office 365) lub jako osobna usługa, również dostępna w planach różniących się specyfikacją techniczną. Warto zwrócić uwagę na SLA gwarantujące bezawaryjne działanie na poziomie 99,9%.
Jedną z zalet rozwiązania Exchange Online dla firm jest Exchange Online Protection (EOP), czyli szereg usług dedykowanych bezpieczeństwu poczty e-mail w zakresie ochrony przed spamem, złośliwym oprogramowaniem (malware) oraz innymi znanymi zagrożeniami.
Exchange Online Protection (EOP)
Exchange Online Protection zapewnia filtrowanie poczty przychodzącej oraz wychodzącej w zakresie złośliwego oprogramowania (malware) oraz spam. Dzięki temu sieć firmowa chroniona jest przed zagrożeniami przenoszonymi za pomocą wiadomości e-mail.
Cenne jest to, że administrator IT w firmie nie musi poświęcać czasu na przygotowanie lub utrzymanie rozwiązań filtrujących pocztę, dzięki temu, że kompletne rozwiązanie jest dostępne i domyślnie włączone do użycia. Istnieje możliwość, by wprowadzać dostosowania filtrowania poczty zgodnie z przyjętymi politykami bezpieczeństwa w organizacji.
EOP może być stosowane z dowolnym agentem SMTP (np. Microsoft Exchange Server). Lista wspieranych przez EOP systemów operacyjnych, przeglądarek oraz języków dostępna jest na stronach technicznych Microsoft. W celu uzyskania jak najwyższego poziomu bezpieczeństwa oraz komfortu korzystania, rekomendowane jest korzystanie z najnowszych wersji dostępnego oprogramowania.
Ochrona anti-malware
EOP oferuje wielowarstwową ochronę wspieraną przez działanie kilku silników anti-malware, która pozwala na wyłapanie wszystkich znanych zagrożeń malware. Wiadomości, które przechodzą w ramach usługi e-mail są skanowane pod kątem wirusów oraz spyware. Jeśli wykryte zostanie złośliwe oprogramowanie, wówczas wiadomość jest usuwana. Ochrona anti-malware jest domyślnie włączona w Exchange Online i nie da się jej wyłączyć.
W sytuacji, gdy zainfekowana wiadomość jest usunięta i nie jest dostarczona do odbiorcy, może zostać przesłane powiadomienie. Konfiguracja umożliwia również zastępowanie zainfekowanych załączników wiadomości za pomocą domyślnych lub własnych dla organizacji wiadomości, które informują odbiorców e-mail o wykryciu malware.
Klienci, którzy korzystają z EOP dla niezależnych systemów poczty e-mail (Exchange Server lub inne rozwiązanie SMTP on-premises), uzyskują skanowanie poczty wychodzącej i przychodzącej przez serwer, z pominięciem skanowania wiadomości wysyłanych pomiędzy użytkownikami wewnątrz organizacji. W takiej sytuacji można wzmocnić ochronę wiadomości przesyłanych wewnątrz organizacji dzięki dodaniu do EOP wbudowanych możliwości ochrony anti-malware, jakie posiada Exchange Server.
Użytkownicy korzystający z licencji Exchange Online oraz użytkownicy korzystający z ochrony EOP zawartej w licencjach Exchange Enterprise CAL with Services dla usług on-premises (np. Exchange Server) otrzymują pełną ochronę w postaci skanowania poczty przychodzącej oraz wychodzącej, jak również wiadomości e-mail przesyłanych między użytkownikami w organizacji.
Możliwość dostosowania polityk anti-malware
Dostępna jest możliwość konfiguracji domyślnych polityk bezpieczeństwa dotyczących malware w odniesieniu do całej organizacji. Administrator może również wdrożyć własne polityki w odniesieniu do określonych użytkowników, grup, domen. Uzyskuje się dzięki temu większej granularność. Własne polityki przejmują wiodące znaczenie względem domyślnych polityk, ale jest możliwość, by zmienić priorytet (kolejność obowiązywania), jeśli zachodzi potrzeba.
Ochrona anti-spam
EOP korzysta z własnej technologii anti-spam, zapewniając silne filtrowanie spam dla wiadomości przychodzących. Filtrowanie wychodzących wiadomości w kontekście spam jest również włączone dla ochrony organizacji oraz odbiorców wiadomości e-mail.
Możliwość dostosowania polityk anti-spam
Filtrowanie spam jest automatycznie włączone dla przychodzących i wychodzących wiadomości email, które są przetwarzane przez EOP. Nie ma możliwości, by kompletnie wyłączyć filtrowanie spam, ale są dostępne opcje dostosowań ustawień dla całej organizacji, zgodnie z przyjętą polityką bezpieczeństwa w tym zakresie. Podobnie, jak w przypadku anti-malware, administrator może wdrożyć własne polityki anti-spam w odniesieniu do wybranych użytkowników, grup lub domen w organizacji. Własne polityki są obowiązujące względem domyślnych polityk, ale można zmienić priorytet (kolejność obowiązywania).
We wdrożeniach hybrydowych, w których Exchange Online Protection realizuje ochronę skrzynek email zlokalizowanych on premises, potrzebne jest skonfigurowanie dwóch reguł przesyłu email (“mail flow rules” – również określane jako “transport rules”) w rozwiązaniu Exchange utrzymywanym w lokalnej infrastrukturze organizacji, w celu wykrywania nagłówków filtrowania spam EOP, które są dołączane do wiadomości.
Ochrona anti-spoofing
Technologia anti-spoofing obecna w EOP dokładnie sprawdza nagłówek “From” wiadomości e-mail na wypadek fałszywego wpisu. Jeżeli stwierdzona zostanie nieprawdziwość wpisu w nagłówku “From”, wiadomość e-mail jest klasyfikowana jako próba podszycia się pod nadawcę.
Co ciekawe, od października 2018, ochrona anti-spoofing jest w pełni dostępna w Exchange Online Protection. Wcześniej ochronę przed spoofingiem e-mail oferowało jedynie Office 365 Advanced Threat Protection (ATP).
Kwarantanna
EOP przesyła wiadomości służące do ataków phishing lub zawierające malware bezpośrednio na kwarantannę. Wiadomości spam lub bulk wysyłane są do folderu “Wiadomości-śmieci” użytkownika, chyba, że administrator zdefiniuje własną politykę anti-spam, która będzie kierować wyżej wymienione rodzaje wiadomości na kwarantannę.
W zależności od powodów zastosowania kwarantanny wobec wiadomości, administratorzy lub użytkownicy mogą przeglądać i zarządzać wiadomościami znajdującymi się w kwarantannie.
Zgłoszenie wiadomości do analizy
Administrator lub użytkownik końcowy posiada możliwość zgłoszenia wiadomości, które zostały omyłkowo sklasyfikowane jako “Wiadomości-śmieci” (false positives). Dostępna jest również możliwość, by w łatwy sposób zgłosić wiadomości, które przedostały się przez filtry (false negatives). W zależności od rezultatu analizy w Microsoft, pojawia się możliwość dostosowania filtrów w celu zredukowania liczby wiadomości zatrzymanych lub przepuszczonych przez usługę.
Dostępne plany Exchange Online Protection
EOP standalone
Oparta na chmurze ochrona email zapewniana dla Exchange Online Protection może być wykorzystywana w autonomicznych systemach zlokalizowanych on-premises (np. Exchange Server lub inne rozwiązanie SMTP, rozwiązanie określane często jako “standalone”). W takim scenariuszu usługa chmurowa realizuje ochronę dla systemu pocztowego zlokalizowanego w infrastrukturze serwerowej firmy.
Warto zaznaczyć, że EOP jest również wykorzystywane we wdrożeniach hybrydowych (kombinacja skrzynek w chmurze oraz w środowisku on-premises) do ochrony systemu pocztowego oraz kontroli przesyłania wiadomości.
EOP jako integralna część Microsoft Exchange Online
Exchange Online Protection jest domyślnym rozwiązaniem realizującym ochronę dla skrzynek pocztowych hostowanych w chmurze. EOP jest więc wbudowaną, integralną częścią oferty Microsoft Exchange Online.
Exchange Enterprise CAL z funkcjonalnością usług
Licencje Microsoft Exchange Enterprise CAL with Services mogą zostać zakupione jako rozszerzenie do rozwiązania Exchange on-premises. Licencje zapewniają funkcjonalność ochrony email oferowaną przez EOP oraz dodatkowe, oparte na chmurze usługi:
- DLP (data loss prevention, ochrona przed utratą danych),
- raportowanie przy wykorzystaniu usług sieciowych (reporting using web services).