Exchange: INTERNAL Mails an externe Empfänger blockieren

Als „INTERNAL“ markierte Mails sollten in den meisten Fällen die eigene Organisation nicht verlassen. Es kann aber durchaus vorkommen, dass ein unwissender Benutzer einen externen Empfänger hinzufügt und so womöglich sensible Daten nach außen dringen lässt. Als Administrator kann man dem allerdings einen Riegel vorschieben. So bringt Exchange selbst mehrere Funktionen, um Datenverlust zu vermeiden:

• Variante 1: Exchange bietet die Möglichkeit, Mails mit bestimmten Flags (z.b. Vertraulich) zu klassifizieren. Diese Klassifikationen kann man als Administrator selbstständig planen und erstellen. Der große Nachteil dabei ist allerdings, dass Outlook diese Nachrichtenklassen nicht automatisch vom Exchange abholt. Die Klassifikationen (in Form von XML Files) müssen vorab per GPO an alle Clients verteilt werden. Allerdings gibt es momentan noch keine Möglichkeit, solche Klassen auch auf anderen Clients (außer Outlook) zu verwenden. So stehen zum Beispiel Smartphones außen vor. Auch das Deployment auf Workgroup-PCs (ohne Domäne) gestaltet sich hier als durchaus herausfordernd. Die einzige Ausnahme bildet hierbei Outlook im Web (vormals OWA), welches nativen Support bietet. Wer sich trotzdem einmal diese Methode anschauen möchte, kann das direkt in den Microsoft Docs tun.
• Variante 2: Hierbei fügen Benutzer dem Betreff einfach ein „INTERNAL“ oder „INTERN“ als Prefix an. Mit entsprechenden Mailflow Regeln teilen wir dem Exchange mit, dass solche Nachrichten die eigene Organisation nicht verlassen dürfen. Der große Vorteil dabei ist, dass sie völlig plattformunabhängig ist. Egal auf welchem Client, solange der Benutzer den Prefix setzt, funktioniert das Blocken der Mail nach außen.

In diesem Post möchten wir die Variante 2 näher beleuchten und ich erkläre euch, wie man sie einfach umsetzen kann.

Mailflow Regel im ECP erstellen

Es reicht natürlich nicht nur aus, dass Benutzer ihre Mails mit dem entsprechenden Prefix im Betreff kennzeichnen. Dem Exchange muss über eine Mailflow Regel mitgeteilt werden, wie er mit diesem Prefix umzugehen hat. Das funktioniert übrigens sowohl ab Exchange 2013, als auch Office365 (Exchange Online). Wir wechseln in das ECP und rufen das „Nachrichtenfluss“ Menü auf. Von dort aus können wir eine neue Regel erstellen.

Folgende Parameter müssen dafür gesetzt werden:

• Name: Ein beliebiger Name um die Regel zu identifizieren. Bestenfalls ohne Leerzeichen, damit die Handhabung mit der Powershell im Anschluss einfacher ist.
• Diese Regel anwenden, wenn:
  • Der Absender befindet sich innerhalb der Organisation
  • Der Empfänger befindet sich außerhalb der Organisation
  • Der Betreff entspricht: „^([ A-Z]+: ){0,20}\s*\bINTERN(AL)?\b“
• Folgendermaßen vorgehen:
  • Nachricht mit Erklärung ablehnen: „This E-Mail is for internal use only. You are not allowed to send it to external recipients.“
• Diese Regel mit folgendem Schweregrad überwachen: Grundsätzlich empfehle ich, die Überwachung hier auf „Hoch“ zu stellen. Es ändert aber nichts an der Funktionsweise sondern nur am Protokollierungsgrad.

Der Betreff, auf den die Mails gefiltert werden, schaut im ersten Moment vielleicht kryptisch aus. Dabei handelt es sich nur um eine Regular Expression (kurz RegEx), die den Betreff genau so analysiert, wie wir es brauchen. So werden Mails geblockt, welche mit dem Prefix „INTERN“ oder „INTERNAL“ verschickt werden. Zusätzlich kann es aber passieren, dass Benutzer eine entsprechende Mail weiterleiten. Somit wird, je nach Sprache des Anwenders, ein „FW“ (Forwarded) oder „WG“ (Weitergeleitet) vorangestellt. Der Exchange muss solche Mails natürlich genauso nach außen blockieren. Daher umfasst die oben genannte RegEx soweit alle Fälle. Falls das trotzdem zu kompliziert ist, würde es natürlich auch ausreichen, einfach nur auf „INTERN“ zu filtern.

Versucht nun ein Benutzer innerhalb der Organisation eine Nachricht an einen externen Empfänger zu schicken, wird diese mit folgender Antwort abgelehnt.

Möchtest du auch noch erfahren, wie man externe Mails entsprechend markiert um den Erfolg von Phishing Versuchen zu minieren? Dann kann ich dir folgenden Artikel empfehlen: Exchange – Mails von Extern besonders hervorheben