Externe E-Mail Kontakte mit MS Exchange entlarven

Beim Phishing fallen die Opfer meist auf gefälschte externe E-Mail Kontakte herein. Durch internationalisierte Domainnamen kann man so sehr schnell Opfer von Phishing werden - zum Glück gibt es einfache Bordmittel für Microsoft Exchange, um die Anwender vor solchen Angriffen zu warnen.

Für Anwender ist es häufig sehr schwierig die wahren Absender oder Empfänger einer E-Mail zu entlarven.
In verschiedenen aktiven Angriffsszenarien wie beispielsweise dem CEO-Fraud gehen
durch betrügerische E-Mails teils horrende Summen verloren.

Neben der Schulung der Anwender (User Awareness) können hier auch technische Kniffe
helfen. Hier beschrieben ist die Möglichkeiten Microsoft Exchange (Versionen 2010,
2013 und Exchange Online bzw. Office 365) so zu konfigurieren, dass alle Anwender
gewarnt werden, wenn eine E-Mail die eigene Organisation verlässt oder von außerhalb kommt.

Bei E-Mails an externe E-Mail Kontakte warnen

In der MS Exchange Verwaltungsshell (Powershell) wird lediglich folgendes Kommando ausgeführt:

Set-OrganizationConfig -MailTipsExternalRecipientsTipsEnabled $true

Das sieht dann in etwa so aus:

Und ist bei Microsoft für die verschiedenen aktuellen Exchange Server Varianten hier beschrieben:

MS Echange Server 2010

MS Office 365 for Enterprises

Exchange Online und Echange 2013

Exchange Server 2016

Die Auswirkung

An den Standard Microsoft Outlook Clients und MS Outlook Web Access wird ab sofort ein Hinweis eingeblendet, wenn es sich bei einem der E-Mail Empfänger um einen externen E-Mail Kontakt außerhalb der eigenen Organisation handelt.
In diesem Beispiel ist der korrekte Name der eigenen Organisation: <VORNAME.NAME>@demo.to.com.

In Microsoft Outlook 2013 sieht das Ergebnis dann so aus:

Der Empfänger dieser E-Mail ist intern. Bei externen Empfängern wird hingegen zusätzlich ein Hinweis eingeblendet:

Bei Outlook 2016 sieht das ganz ähnlich aus:

Hier wieder zuerst die Ansicht bei internen Empfängern. Hingegen bei externen Empfängern:

Und das ganze funktioniert auch für Outlook Web Access:

Wieder zunächst bei einem internen Empfänger. Und bei externem Empfänger mit Hinweis:

E-Mails von externen E-Mail Kontakten markieren

Leider sieht der Empfänger einer E-Mail so noch nicht, dass der Absender einer empfangenen E-Mail ein externer E-Mail Kontakt ist. Dies lässt sich unter Exchange mit Hilfe von Transportregeln lösen. Zwar wird dadurch kein so schicker Hinweis mit einem zusätzlichen Feld eingeblendet, aber die Ergänzung der Betreffzeile ist dadurch möglich und hat einen ähnlichen Effekt. Um so eine Regel einzurichten, muss in der Exchange Verwaltungsshell folgendes eingetragen werden:

New-TransportRule -Name "Rule1-External" -FromScope NotInOrganization -PrependSubject "EXTERN: "

Ab diesem Zeitpunkt wird die Betreffzeile ergänzt und die Anwender können schnell erkennen, ob es sich um interne oder externe E-Mail Kontakte handelt.

Auch hier wieder die Links zum Hersteller:

Exchange 2010

Exchange 2013

Exchange Online, Exchange Online Protection, Exchange Server 2016

UPDATE 06.07.2017:

Der Leser Markus Herrmann hat unten im Kommentar auf einige Probleme hingewiesen. Daher habe ich hier eine weitere Möglichkeit der Merkierung ergänzt. Diese hat auch Schwächen, scheint aber besser geeignet zu sein:

Markieren mit „Bedingter Formatierung“ in MS Outlook

In Outlook kann im Menü Ansicht – über den Punkt Ansichtseinstellungen – eine bedingte Formatierung angelegt werden.

In meinem Beispiel werden alle Mails von externen Absendern mit roter Schrift versehen:

E-Mails von internationalisierten Domains nicht als Unicode anzeigen

In diesem Artikel habe ich beschrieben wie mein Kollege mich reingelegt hat, indem er eine Domain mit „Unicode“-Zeichen registriert und verwendet hat (hier steht wie das geht).

Outlook bietet die Möglichkeit diese Absenderdomains in der entlarvenden Schreibweise anzuzeigen. Dazu muss ledigich folgender Registrierungseintrag gesetzt werden:

HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\options\general
Value Name: disableidn
Value Type: REGDWORD
Value: 1

Und schon sieht die E-Mail-Adresse viel entlarvender aus.

Nachteile

Der Hinweis auf externe E-Mail Kontakte in einer neu erstellten E-Mail wird nur in Microsoft Outlook und Web Access eingeblendet. Er fehlt bspw. bei mobilen Geräten oder auch alternativen E-Mail Clients wie Thunderbird. Somit wäre ein Angriff wie er hier technisch beschrieben und an dieser Stelle praktisch dargestellt ist wohl dennoch möglich gewesen! Im beschriebenen Szenario wurden E-Mails von extern nämlich nicht als solche markiert und das erste Endgerät mit dem die E-Mail geöffnet wurde, war ein Smartphone.

Es ist also nicht alles Gold was glänzt. Zwar können diese Features dabei helfen, dass wichtige Informationen nicht aus Versehen das Unternehmen verlassen, sie ersetzen aber keine angemessene Awareness Schulung.

12 Kommentare

      1. Hallo Götz,

        dank dir für die Antwort :). Die Einstellung unter Nachrichtenfluss / Regeln hab ich schon hinbekommen und funktioniert auch.

        Mir würde es aber hauptsächlich um die Funktion „Bei E-Mails an externe E-Mail Kontakte warnen“ wo ja über die MS Exchange Verwaltungsshell das eingefügt wird: Set-OrganizationConfig -MailTipsExternalRecipientsTipsEnabled $true
        und im Outlook dann ja folgende Warnung erfolgt: „Der folgenden Empfänger befindet sich außerhalb Ihrer Organisation“ -> wie kann man das in Office365 einstellen ?

        Vielen Dank

        1. Hallo Maximilian,

          wegen Urlaub erst jetzt und dann auch noch enttäuschend:
          Die gesuchte EInstellung gibt es inder Form nur bei onPrem Installationen.

          1. Hallo Götz,

            dank dir für die Antwort. Schade, aber da kann man nichts machen 🙂
            Grüße und Bleib gesund
            Maximilian

  1. Bezüglich einer Client unabhängigen Lösung, habe ich nun diese Software erfolgreich im Einsatz: https://www.codetwo.com/exchange-rules-pro/

    Hiermit habe ich Unternehmensweit Signaturen für alle Benutzer eingestellt (netter Nebeneffekt) und mit einer Regel eingehende externe Nachrichten im Betreff markiert sowie diese Markierung bei ausgehenden bzw. weitergeleiteten Internen Mails wieder entfernt.

    Es gibt somit keine Verwirrung mehr, da der Kunde dieses „[EXTERN]: “ gar nicht mehr sieht und auch beim internen Weiterleiten dies nicht mehr sichtbar ist. Trotzdem funktioniert es auf allen Clients, da diese Bearbeitung am Server passiert.

  2. Das Grundproblem ist, dass das Kommunikationsmedium „Mail“ den aktuell gestellten Anforderungen nicht mehr standhält. Die Technologie ist 30 Jahre alt und das merkt man einfach.

    Man könnte das Problem mit S/MIME Signaturen endgültig in den Griff bekommen, aber wer will schon für alle User im Unternehmen Zertifikate kaufen oder gar seine Enterprise-CA signieren lassen… Preislich total unattraktiv. Ganz zu schweigen vom Aufwand der Verteilung.

  3. Mich stört an der Variante mit den eingehenden Mails, dass in dem Moment, in dem ich am Betreff oder am Text der Mail rumpfusche, zweierlei Dinge passieren, die ich eigentlich auf keinen Fall haben will, weil sie am Ende kontraproduktiv sind:

    1. Wird die Mail mit dem „EXTERN“-Präfix intern weitergeleitet, löscht garantiert keiner meiner User den Hinweis weg und die Meldungen beim Servicedesk a la „Warum steht da „EXTERN“, der Kollege ist doch intern!!!“ explodieren.

    2. Wenn die Mail nach außen weitergeleitet wird, erweitert sich diese Konfusion auch noch auf Kunden/Lieferanten/etc., weil die Änderung am Betreff ohne das Wissen um die Regel erstmal nicht nachvollziehbar ist. Ganz abgesehen davon, dass, wenn die Mail mehrfach hin- und hergeht, das Präfix mit so einer Regel mehrfach eingefügt und der Betreff immer unleserlicher wird.

    Am Ende negiert sich der Sicherheitsgewinn, weil dieses Präfix einfach nur noch lästig und nicht eindeutig ist. Solange das Präfix beim weiterleiten oder antworten nicht verschwindet, ist die Lösung in meinen Augen nicht brauchbar.

    Für sinnvoller würde ich es halten, würde sich mal wer hinsetzen und ein entsprechendes Addon für Outlook und OWA programmieren – es sollte eigentlich kein Problem sein, notfalls über den Header, auszuwerten, ob das jetzt von intern oder extern kommt und in Outlook einen Hinweis anzuzeigen…

    1. Hallo Markus Herrmann,
      das ist richtig. Sowas kann je nach Organisation auch schlecht sein. Aus dem Grund habe ich es bei mir über Regeln gelöst (https://www.extendoffice.com/documents/outlook/2181-outlook-filter-external-emails.html). Was aber auch nicht ideal ist, weil es eine sog. Client-Side Rule ist (Sie greift also nur wenn auch Outlook verwendet wird – nicht mit OWA oder gar Smartphone).
      Und noch schwieriger: Diese Regel ist Benutzerbasiert und kann nicht zentral eingestellt werden.

      Für Thunderbird gibt es entsprechende Plugins. Aber ich halte nicht sehr viel von Clientseitigen Plugins (wer macht die Updates, was passiert wenn sie nicht mehr funktionieren, Was passiert mit den „Anderen Clients“ wie MacOS Usern oder Mobilgeräten).

      Leider habe ich kein Patentrezept gefunden. Bin aber auch ehrlich gesagt kein Exchange Spezialist. Vielleicht findet sich unter den Lesern jemand mit einer besseren Idee!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *