Office 365 – Atualização no EOP para prevenir o aumento dos ataques de Phishing

Imagem relacionada

 

Olá galera,

O post de hoje é sobre uma atualização que está para acontecer no EOP (Exchange Online Protection) e irá agregar uma camada extra de segurança e validação dos emails recebidos pela Nuvem Microsoft. Basicamente, o time de desenvolvimento e segurança de antispam criou novos mecanismos e formas de validação que contém mais passos em todo o processo de autenticidade dos emails, gerando assim uma maior confiabilidade dos remetentes e diminuindo drasticamente o recebimento de ameaças pelos destinatários finais.

Um dos maiores tipos de ameaças cobertas por esse novo procedimento a ser implantado é o famoso Phishing, aquele golpe enviado por email onde o atacante se passa por uma instituição famosa e de renome no mercado, ou até os próprios serviços que você já possui, como bancos, serviços de cartões, lojas e-commerce ou até órgãos do governo e solicitam seus dados pessoais, e principalmente seu usuário e senha. É nessa hora que o golpe entra em ação e se configura como “Phishing”, do termo em inglês “pescando”. Como a interface é muito similar, o email geralmente é bem escrito e os links parecem reais, você acabou de ser fisgado pelo anzol criminoso! Se quiser saber mais sobre esse tipo de ataque, a Microsoft escreveu um artigo bem legal neste link.

  • E como a Microsoft e o Office 365 irão prevenir esse tipo de ataque?

Umas das maneiras de aumentar a segurança no recebimento de emails é incluir novas formas de validação dos remetentes, forçando assim uma maior autenticidade de quem envia o email; ou seja, o FROM. Nessa validação, o remetente é validado de diversas maneiras e formatos, seguindo uma padronização contemplada na RFC 5322, a normatização da internet sobre os formatos de mensagens eletrônicas trocadas na World Web. E serão vários tipos de validações que serão feitas, e todas elas estão documentadas em um artigo bem completo que pode ser lido neste link. Já está sendo divulgado também nos Tenants de Office 365 sobre a mudança, que entrará em vigor a partir do dia 9 de novembro de 2017.

clip_image001

Basicamente, esses filtros serão usados afim de aprimorar a forma como a validação é feita, ou seja; se você já tem boas políticas de segurança e validação do seu domínio, não precisará se preocupar com o não-recebimento dos seus emails pelos seus clientes e parceiros. Mas sempre vale a pena revisar se suas políticas e configurações estão em acordo com as normatizações e atualizações de cada cenário envolvido.

Uma das grandes vantagens para segurança dos emails atualmente é a ativação conjunta do SPF + DKIM + DMARC. Esses três recursos disponibilizados em seu serviço de mensageria já adicionará um padrão de segurança bem alto, evitando de forma eficiente muitos dos possíveis ataques e emails indevidos que poderiam ser enviados e/ou recebidos. E sem onerar sua estrutura, uma vez que estes recursos são basicamente registros DNS e validações de criptografia baseada em certificados públicos que seus serviços já tem.

Por exemplo, o SPF tem a função de validar se os endereços dos servidores do remetente realmente são válidos, ou seja, se o remetente confirma que esses servidores são dele. Ele faz isso criando um registro DNS do tipo SPF ou TXT, dependendo da suportabilidade do seu serviço de DNS público. Neste registro, alguns atributos auxiliam na validação da autenticidade dos servidores, evitando assim que um servidor desconhecido na China dispare emails em nome de seu domínio, e qualquer um receba esses emails sem nenhum tipo de validação. Basta um simples NSLOOKUP, e a autenticidade já pode ser confirmada.

image

Já o DMARC passa por um outro processo adicional de validação, que utiliza de um campo de Remetente muitas vezes não exibidos pelas aplicações de email, conhecido como “5321.MailFrom address” ou “reverse-path address”. Como esse campo não é manipulável como o FROM, que pode ser editado pela aplicação que envia a mensagem, fica mais fácil fazer um comparativo e determinar se há algo indevido no cabeçalho desta mensagem, tornando essa forma de validação bem simples e bem atraente para qualquer sistema de segurança. Fora que o DMARC pode usar do DKIM e do SPF para aumentar o score de possíveis ameaças.

image

Por fim, o DKIM adiciona um processo de criptografia das mensagens usando os recursos de chave pública + chave privada, onde o destinatário precisa conhecer apenas a chave pública e adicionar a chave privada na somatória desse resultado, afim de descriptografar o cabeçalho da mensagem e tornar ela confiável. Porém, todo esse processo acontece do lado do servidor, diminuindo a complexidade para o usuário final. A chave pública é adicionada no DNS Público do domínio em questão, facilitando a consulta. Cada email autêntico deste domínio vai com a chave privada embutida, que só é fornecida pelo servidor autêntico. De posse da chave privada, basta consultar a chave pública e tornar a mensagem confiável e seu remetente legítimo para a organização em questão.

Diagram showing a forwarded message passing DKIM authentication where the SPF check fails

 

Cada um destes tem uma documentação bem completa abaixo, com maiores detalhes sobre e também alguns passos para ajudar na configuração.

 

Referências:

How to recognize phishing email messages, links, or phone calls

How Office 365 validates the From: address to prevent phishing

Use DMARC to validate email in Office 365

Use DKIM to validate outbound email sent from your custom domain in Office 365

Definindo Configurações e Registros de DNS, MX e SPF

 

Bruno Lopes – MVP Office Servers and Services

Anúncios

Sobre MVP Bruno Lopes

Profissional MBA em Redes de Computadores e Telecomunicações, MVP Microsoft e atualmente Technical Trainer e Engenheiro de Suporte na Microsoft/Wipro, especialista em Exchange/Office 365; sou mais um voluntário desta grande pátria de blogueiros a me dedicar em prol das informações compartilhadas à todos...Se já me salvou um dia, creio que ajudará a muitos mais...

Publicado em 24/10/2017, em Cloud Computing, Office 365, Office 365 e marcado como , , , , , , , , , , . Adicione o link aos favoritos. Deixe um comentário.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: