Mail ist ein beliebtes und oft lohnendes Ziel für Angriffe, trotz aller modernen Schutzmaßnahmen. Sie sind meist so gut gestaltet, dass es fast unmöglich ist, zu erkennen, dass es sich um einen externen Angreifer handelt. Abhilfe schafft Microsoft nun über eine Integration für Exchange Online in Verbindung mit modernen Clients.

Externe Emails besser erkennen

Mail ist ein beliebtes und oft lohnendes Ziel für Angriffe, trotz aller modernen Schutzmaßnahmen. Sie sind meist so gut gestaltet, dass es fast unmöglich ist, zu erkennen, dass es sich um einen externen Angreifer handelt. Abhilfe schafft Microsoft nun über eine Integration für Exchange Online in Verbindung mit modernen Clients.

Mail bleibt trotz aller modernen Schutzmaßnahmen, wie sie beispielsweise die Microsoft 365 E5 Suite bietet, ein beliebtes und oft lohnendes Angriffsziel. Hat eine E-Mail erst einmal die technischen Hürden überwunden, ist sie oft so gut gestaltet, dass es für den Anwender schwierig, wenn nicht gar unmöglich ist, zu erkennen, dass sie nicht von einem Kollegen oder dem Vorgesetzten stammt, sondern von einem externen Angreifer gesendet wurde. Auch unsere Kollegen im Cloud Security Operations Center (CSOC) müssen sich oft mit solchen Fällen beschäftigen, nachdem der Schaden bereits entstanden ist. Beim sogenannten CEO-Fraud wird zum Beispiel der Anzeigename so präpariert, dass die eigentliche E-Mail-Adresse kaum auffällt, und auch die Antwortadresse wird geschickt verschleiert.

Christine Smith <c.smith@acme.com>" <attacker@fake.com>

Um ihren Benutzern zu helfen, sind einige Unternehmen dazu übergegangen, E-Mails von außerhalb des Unternehmens zu kennzeichnen, zum Beispiel in der Betreffzeile oder im Mailtext.

External Flag

Diese Methoden sind jedoch teilweise mit technischen Problemen behaftet und daher nicht uneingeschränkt zu empfehlen.

Inzwischen hat sich aber Microsoft dieses Themas angenommen und bietet nativ eine Integration für Exchange Online in Verbindung mit Outlook Mobile, Outlook für Mac und Outlook on the Web (OWA) an. Ein Update für Outlook für Windows wird im Juni erwartet, aktuell ist es im Beta Channel mit Version 2107 bereits integriert. Wir empfehlen, dass Exchange Online-Administratoren diese Kennzeichnung mit dem folgenden Befehl aktivieren:

Set-ExternalInOutlook -Enabled $true

Die Bespiele aus OWA und Outlook zeigen, dass das Extern-Flag sichtbar ist, ohne dass die Mails geändert werden müssen.

External Flag OWA

Derzeit scheint es so zu sein, dass diese Kennzeichnung nur aktiv wird, wenn Exchange Online die E-Mails aus dem Internet empfängt und nicht von Exchange On-Premises.

Referenz:
Exchange Team Blog: Native external sender callouts on email in Outlook