Microsoft планирует добавить защиту массовых рассылок по электронной почте с включенной функцией «ответить всем» Reply-All в Office 365. Ее жертвами стали сами сотрудники корпорации в январе этого года.
Обычно такая рассылка (еще ее называют reply-allpocalypse) начинается с того, что один из членов большого списка рассылки электронной почты отвечает с помощью функции «Ответить всем». В результате может возникнуть непреднамеренная DDoS-атака, которая потенциально способна привести к сбою одного или нескольких серверов электронной почты.
«Когда в вашей организации происходит Reply-All, это может нарушить непрерывность бизнес-процессов и даже вызвать неожиданное ограничение деятельности организации», заявили в Microsoft.
В компании пояснили, что в Exchange Online уже есть несколько функций, разработанных для предотвращения reply-allpocalypse, например, разрешенные списки отправителей и списки получателей (DL), однако это не решает проблему до конца.
Новая же защита, которую планируется внедрить в третьем квартале 2020 года, определяет, когда происходят или могут потенциально произойти Reply-All, и автоматически блокирует возможность ответа для соответствующих пользователей в течение ограниченного периода времени. В этот период служба электронной почты будет доставлять сообщение о недоставке (NDR).
«Временный блок будет активен в течение нескольких часов, обычно этого достаточно, чтобы ослабить поток ответов, и, таким образом, сократить масштабы reply-allpocalypse», добавляет группа разработчиков.
Параллельно ведется работа над функцией, с помощью которой почтовые серверы увидят электронные письма, защищенные службой шифрования сообщений Office 365, благодаря чему они с меньшей вероятностью будут помечены как спам и отправлены в папку «Корзина». Функцию планируется ввести примерно в январе 2020 года.
Кроме того, Microsoft работает над созданием функции, получившей название «Неподтвержденный отправитель», которая должна помочь пользователям идентифицировать потенциально нежелательные или фишинговые сообщения, попадающие в почтовый ящик их клиента Outlook.
Более 11 тысяч сотрудников Microsoft 24 января этого года оказались втянуты в массовую рассылку, у участников которой была включена функция «ответить всем». Она началась с письма сотрудника, связанного с аккаунтом компании на GitHub, в нем содержались инструкции, как получать меньше уведомлений от GitHub.
Ответы с функцией «ответить всем» заново подписывали на тред всех, кто уже от него отписался. В итоге на борьбу с рассылкой потратили более 12 часов.
Ранее Microsoft рассказала о наиболее используемых видах фишинговых атак в 2019 году. Их выявили с помощью комплексного решения для защиты пользователей Office 365 Advanced Threat Protection (ATP), которое обрабатывает данные из системы безопасности Microsoft Intelligent Security Graph и анализирует миллиарды электронных писем ежедневно в автоматической режиме, блокируя компоненты с вредоносными URL-адресами и вложениями.
См. также: «Защита облачных сервисов Office 365: тестирование Check Point CloudGuard SaaS»В этом году фишинговые атаки достигли нового уровня креативности и сложности, а их методы оказались связаны со злоупотреблением различных легитимных алгоритмов в облачных сервисах, таких как Microsoft, Google и Amazon.
Комментарии (12)
artemlight
14.12.2019 13:42Я уже давным-давно успешно борюсь с этой проблемой при помощи обычного Exchange при помощи введения ограничения на количество получателей.
По умолчанию — 5, после краткого инструктажа — 10.
Рассылки большего объема внутри организации должны делаться только через группы рассылки, доступ к которым нужно ограничивать дополнительно.Naves
14.12.2019 14:39А если в организации заведена традиция регулярно создавать рабочие группы по всяким вопросам «прибить или приклеить», в которые может входить и выходить произвольное количество участников? Видимо тогда понадобится менеджер по группам рассылок.
Вспоминается одно из мест работы, в которой неоднократно безуспешно пытались внедрить мегаплан.artemlight
14.12.2019 14:41Тогда проще в чатике, чем почтой.
achekalin
14.12.2019 17:31-3Пора мелкософт переименовать из компании-со-скоростью-света просто в компанию-вжик! Не прошло и многих лет, а они решили решить проблему, которую сами и создали тупым UI почтового клиента.
Londoner
14.12.2019 22:39Притча, во времена когда почту читали через почтовые клиенты, которые её проверяли каждую минуту по POP3 была одна контора, очень корпоративная и международная. Случился у неё ребрендинг, наняли крутых дизайнеров, логотип сделали серьёзный, это важно. А потом почему-то почтовый сервер перестал почту отдавать. Оказалось, что секретарша самого главного босса получила задачу написать мейл всем-всем-всем сотрудникам, что ура, с сегодняшнего утра мы не компания Кактус Профитиринг Интернешнл, а Фикус Уери Корпорэйтив Анлимитед.
Секретарша справилась с задачей на отлично, не забыла даже у себя в почтовой подписи всё обновить, в том числе корпоративный логотипчик, на свежеполученный от главного крутого дизайнера. Уж не знаю, как так получилось, видимо был он в модном тогда формате BMP и примерно 10000x5000 пикселей, но он точно весил газилион мегабайт. Ну, в общем, вы уже догадались, что почтовый сервер почему-то до вечера отказывался отдать важную новость десятку тысяч корпоративных почтовых клиентов.
ky0
15.12.2019 19:13почтовый сервер почему-то до вечера отказывался отдать важную новость десятку тысяч корпоративных почтовых клиентов
Потому что постмастер — не очень и не ограничил максимальный размер писем?Londoner
15.12.2019 19:20Я думаю что дело не в этом. Ну пусть максимальная длина 10 мб, если меньше, то многие документы не пролезут. Тогда почтовому серверу придётся отдать около 100 GB, 15 лет назад это был приличный объём.
ky0
15.12.2019 20:2515 лет назад и 10 мегабайт было приличным объёмом (особенно с учётом скорости диалапного интернета, хе-хе). Гугл, если не ошибаюсь, и сегодня ограничивает до 20-ти, предлагая всё, что больше — загрузить в облако.
Londoner
15.12.2019 20:32Спорим про константы. Возьмите 1 мегабайт, тогда в сумме получаем 10 GB трафика, 15 лет назад тоже достаточно, чтоб уложить почтовый сервер.
A-Stahl
Т.е. им указывали на проблему в течении скольких-то лет.
Потом они столкнулись с проблемой сами.
И только через год они сделали патч. Ах нет, не сделали, но уже запланировали его сделать.
Ок. Всё ок. Так и должно быть, так ведь?