Bạn đã bao giờ thắc mắc điều gì thực sự xảy ra phía sau một giao dịch chuyển tiền? Khi bạn nhấn nút “gửi”, số tiền đó có thể phải đi qua nhiều ngân hàng trung gian, công ty cổng thanh toán trước khi đến đích, khiến thời gian chậm trễ và phát sinh thêm chi phí. Direct Send chính là giải pháp tối ưu cho vấn đề này. Đây là công nghệ cho phép thiết lập một “đường ống” chuyển tiền trực tiếp, an toàn và tức thì giữa hai tổ chức, loại bỏ các bước trung gian không cần thiết, mang lại trải nghiệm nhanh chóng và tiết kiệm hơn cho người dùng. Trong bài viết này, Tri Thức Software sẽ cùng bạn tìm hiểu Direct Send là gì, cách kẻ tấn công có thể lợi dụng nó và cách ngăn chặn việc sử dụng nó.
Direct Send là gì?
Gửi trực tiếp (Direct Send) là phương pháp được sử dụng để gửi email trực tiếp đến các hộp thư được lưu trữ trên Exchange Online từ các thiết bị, ứng dụng tại chỗ hoặc dịch vụ đám mây của bên thứ ba, sử dụng điểm cuối bản ghi MX của miền được chấp nhận của bạn trong Exchange Online.
Phương pháp này giả định rằng SPF, DKIM và DMARC đã được cấu hình đúng cách cho tên miền được chấp nhận của bạn. Bất kỳ người gửi nào sử dụng Gửi trực tiếp mà không được thêm vào bản ghi SPF của tên miền được chấp nhận sẽ gặp khó khăn trong việc gửi tin nhắn thành công đến hộp thư nội bộ của bạn.
Tuy nhiên, vẫn có những trường hợp email có khả năng độc hại có thể được gửi thành công đến các hộp thư nội bộ ngay cả khi tính năng Gửi trực tiếp được bật. Ví dụ:
- Khi quá trình xác thực SPF thất bại, email vẫn có thể được chấp nhận nếu quá trình xác thực email ngầm định thành công. Cơ chế này vượt trội hơn các phương pháp xác thực truyền thống bằng cách sử dụng các tín hiệu bổ sung để xác định phán quyết cuối cùng cho các tin nhắn đến.
- Nếu các biện pháp bảo vệ bổ sung, chẳng hạn như Spoof Intelligence và cài đặt chính sách Honor DMARC (nếu tin nhắn bị Spoof Intelligence phát hiện là giả mạo) không được bật trong chính sách chống lừa đảo của bạn.
Vì hầu hết người dùng không sử dụng tính năng Gửi Trực Tiếp (Direct Send), Microsoft đã giới thiệu một tùy chọn (in Public Preview) để vô hiệu hóa tính năng này. Việc tắt tính năng này giúp ngăn chặn những kẻ xấu giả mạo các tên miền được chấp nhận trong Exchange Online và gửi email đến các hộp thư nội bộ của bạn.
Dịch vụ Direct Send và dịch vụ của bên thứ ba
Lưu lượng gửi trực tiếp có thể bao gồm các dịch vụ của bên thứ ba mà bạn đã cho phép sử dụng tên miền của mình, hoặc các ứng dụng email được lưu trữ tại chỗ. Để đảm bảo các tin nhắn này không bị từ chối khi tính năng gửi trực tiếp bị vô hiệu hóa, chúng phải được xác thực đúng cách.
Điều này có thể đạt được bằng cách sử dụng máy chủ chuyển tiếp SMTP, cùng với một trình kết nối luồng thư đối tác phù hợp với chứng chỉ được sử dụng để gửi tin nhắn (khuyến nghị) hoặc địa chỉ IP nguồn.
Để cấu hình chuyển tiếp SMTP, bạn có thể làm theo hướng dẫn trong các bài viết sau của Microsoft Learn:
- Cấu hình trình kết nối dựa trên chứng chỉ TLS cho việc chuyển tiếp SMTP (khuyến nghị)
- Cấu hình trình kết nối dựa trên địa chỉ IP cho việc chuyển tiếp SMTP
Từ chối DirectSend bằng Exchange Online PowerShell
- Kết nối với Exchange Online PowerShell:
Connect-ExchangeOnline - Chặn gửi trực tiếp:
Set-OrganizationConfig -RejectDirectSend $true - Xác nhận trạng thái:
Get-OrganizationConfig | Select-Object Identity, RejectDirectSend
Nếu cần, bạn có thể hoàn tác thay đổi để cho phép DirectSend trở lại:Set-OrganizationConfig -RejectDirectSend $false
Kẻ tấn công có thể lợi dụng DirectSend để thực hiện hành vi lừa đảo qua email như thế nào?
Để thực hiện thử nghiệm này, tôi đã thiết lập một tài khoản demo mới với cấu hình như sau:
- Chính sách chống lừa đảo trực tuyến :
- Trí tuệ giả mạo được kích hoạt
- Chính sách DMARC được bật (Nếu tin nhắn được phát hiện
SPOOFvà Chính sách DMARC được đặt làp=reject)
- Hành động đã thực hiện: Nếu hệ thống phát hiện tin nhắn giả mạo (Spoof Intelligence) nhận diện tin nhắn đó là giả mạo, hãy cách ly tin nhắn đó.
- Chính sách cách ly: Chính sách truy cập đầy đủ mặc định kèm thông báo
- RejectDirectSend:
$false - Miền của nạn nhân không tuân thủ DMARC (
p=none)
Cho phép DirectSend (mặc định cho các khách hàng hiện có)
Trong kịch bản này, kẻ tấn công cố gắng lừa đảo người dùng trong môi trường thử nghiệm bằng cách gửi email trực tiếp vào hộp thư đến từ một máy chủ độc hại, nơi cổng 25 được mở cho lưu lượng truy cập đi ra. Kẻ tấn công thực hiện các bước sau:
- Kẻ tấn công trước tiên lấy được bản ghi MX của tên miền mục tiêu. Chúng nhận thấy bản ghi MX trỏ đến Microsoft 365. Vì không thể biết DirectSend có được bật hay không, chúng quyết định thử gửi thư.
- Sử dụng lệnh cmdlet lỗi thời
Send-MailMessage, kẻ tấn công gửi tệp đính kèm độc hại đến mục tiêu. Việc này được thực hiện bằng đoạn mã PowerShell sau:
$PSEmailServer = "yourdomain-com.mail.protection.outlook.com"
$SMTPPort = 25
$MailTo = "[email protected]"
$MailFrom = "Shaggy Rogers <[email protected]>" #This email address does not require a mailbox, can be any value before the @ symbol
$MailSubject = "Test email"
$MailBody = "Hi Adele, please help me out with this test."
$Attachment = "C:/temp/test.docx"
Send-MailMessage -From $MailFrom -To $MailTo -Attachments $Attachment -Subject $MailSubject -Body $MailBody -Port $SMTPPort -WarningAction "SilentlyContinue"
- Máy chủ độc hại từ kẻ tấn công không được phép gửi email đến địa chỉ này
yourdomain.comvì địa chỉ IP công cộng của nó không có trong bản ghi SPF của tên miền nạn nhân. Tuy nhiên, email vẫn có thể được chấp nhận dựa trên xác thực email ngầm định. May mắn thay, người nhận đã bật tính năng Phát hiện giả mạo (Spoof Intelligence) và email đã được phát hiện làSPOOFgiả mạo. Do đó, thư được cách ly do hành động đã được cấu hình áp dụng.
- Tuy nhiên, người dùng này không bật request to release from quarantine hạn chế cách ly đối với hành động đã áp dụng. Điều này có nghĩa là người dùng có thể tự gỡ bỏ hạn chế cách ly và mở tệp đính kèm độc hại.
Từ chối DirectSend
Để thực hiện thử nghiệm này, tôi đã sử dụng cùng một tài khoản demo, nhưng lần này với RejectDirectSend được đặt thành $true. Kẻ tấn công đã thực hiện các bước tương tự, nhưng giờ đây gặp phải lỗi sau khi cố gắng gửi tin nhắn:
Kết luận
Vì Direct Send yêu cầu địa chỉ IP hoặc dải địa chỉ IP của người gửi phải được bao gồm trong bản ghi SPF của bạn, nên quản trị viên nên có thói quen ghi lại từng người gửi trong cấu hình SPF của họ. Nếu bạn tự tin rằng Direct Send không được sử dụng trong môi trường của mình, bạn có thể an toàn bật tính năng Từ chối gửi trực tiếp. Nếu gặp bất kỳ khó khăn nào trong quá trình thực hiện, bạn có thể liên hệ banquyenphanmem.com hoặc gọi số 028.22443013 để được trợ giúp. Với các hướng dẫn trên, chúng tôi hy vọng bạn đã giải quyết được nhu cầu của mình một cách nhanh chóng và hiệu quả.
