V dnešní době je elektronická pošta asi nejčastěji využívaný způsob předávání zpráv nejen uvnitř škol, ale i mezi školami a dalšími úřady. V dobách kdy vznikala první specifikace SMTP protokolu nikdo nemusel řešit jeho bezpečnost. Dnes je situace odlišná. Jaké možnosti zabezpečení nám přináší Office365? Většina těchto doporučení je platná i pro ostatní poštovní servery.
DNSSEC
Prvním krokem, který už je dnes snad standardem je nastavení DNSSEC pro celou doménu. DNSSEC nám garantuje, že stránka, která se nám zobrazí, je skutečně ta, jež jsme požadovali. Jak DNSSEC pracuje, můžete názorně vidět ve videu od společnosti NIC.CZ.
SPF – Sender policy framework
Pokud používáte Office365 máte sice v e-mailové adrese uvedenou vaši doménu, ale e-mailové adresy za vás odesílá jiný server, který nepatří do vaší domény. Je tedy potřeba sdělit, které servery mohou posílat e-mailové zprávy za vaši doménu.
A k tomu právě slouží SPF záznam uvedený v DNS záznamech vaší domény. Princip je velmi jednoduchý, po přijetí vašeho e-mailu příchozím serverem, si příchozí server ověří, zda doména z níž byl e-mail doručený, má oprávnění posílat e-maily za vaši doménu. V případě využívání Office365 vypadá SPF záznam takto: v=spf1 include:spf.protection.outlook.com -all. V SPF záznamu by měly být uvedeny všechny servery, které zasílají e-maily za vaši doménu. Ve školách se přidávají např. servery školního systému ŠkolaOnLine. Vše se zadává do jednoho TXT záznamu: v=spf1 include:spf.protection.outlook.com include:smtp.skolaonline.cz include:spf.skolaonline.cz -all
Kvalifikace SPF záznamu
Kvalifikace se uvádí na konci záznamu a určuje, jak se má s daným e-mailem pracovat. Může mít tří úrovně:
- ?all – žádná politika. Neurčuje příchozímu serveru, jak se má zachovat v případě doručení zprávy z neautorizovaného serveru. Je to na stejné úrovni, jakoby SPF záznam neexistoval.
- ~all – mírná politika. Nechává se na příjemci, jak by měl e-mail zpracovat. Doporučuje se označit jako podvodný e-mail, nebo přesunout do karantény.
- -all – striktní politika. E-maily doručené z neautorizovaného serveru nebudou doručeny.
Kontrolu vašeho SPF záznamu můžete provést na stránce mxtoolbox.com/spf.aspx.
DKIM – DomainKeys Identified Mail
DKIM nám garantuje, že zpráva nebyla cestou změněna a odesílatel je oprávněn posílat e-mailové zprávy z dané domény. Vše se děje pomocí podepsání zprávy na úrovni serveru a současně je veřejný klíč zveřejněný pomocí TXT záznamu v DNS záznamech.
U Office365 je potřeba potřeba DKIM zapnout. Na stránce https://security.microsoft.com/dkimv2 si zvolíme, pro kterou doménu chceme DKIM zapnout. Zvolíme doménu a vybereme vytvořit klíče DKIM. Systém nám vygeneruje dva CNAME záznamy, které je potřeba přidat do DNS záznamů pro naši doménu. CNAME záznamy mohou vypadat takto:
Host Name : selector1._domainkey
Points to address or value: selector1-domenaskoly-cz0e._domainkey.domenaskoly.onmicrosoft.com
Host Name : selector2._domainkey
Points to address or value: selector2-domenaskoly-cz0e._domainkey.domenaskoly.onmicrosoft.com
Poté, co se nám záznamy propíší napříč DNS servery se můžeme vrátit na stránku a DKIM zapnout. Od této chvíle budou podepisovány.
SPF a DKIM nám garantují, že e-mail přišel ze serveru, který je uvedený v obálce e-mailu, ale negarantují, že je to stejná adresa, kterou vidíte v poštovním klientu.
DMARC – Domain-based Message Authentication, Reporting and Conformance
Jde o další nastavení nad SPF a DKIM a je to třetí možnost, jak má příjemce pracovat s e-mailem, který od vás obdržel. DMARC určuje pravidla, jak pracovat se zprávou, která neprošla ověřením SPF a DKIM.
Pokud přijde zpráva, DKIM ověří, že e-mail, který přišel má shodnou doménu v DKIM podpisu s doménou uvedenou v hlavičce e-mailu.
SPF nám ověří, zda se shoduje doména v hlavičce e-mailu s odesílatelem, kterého vidíte v poštovním klientu. Současně ověří, že e-mail přišel z ověřené domény (IP adresy). Aby zpráva prošla, není bezpodmínečně nutné, aby splnila obě pravidla. Často to není ani možné.
U Office365 je potřeba přidat nový TXT záznam. Záznam má tvar:
_dmarc.domenaskoly.cz 3600 IN TXT „v=DMARC1; p=pravidlo; pct=100“
Pravidla můžeme nastavit na:
- none – politika není definována a využívá se hlavně pro testovací účely
- quarantine – e-mail, který neprojde danými pravidly se umístí do karantény
- reject – e-mail, který neprojde pravidly by měl být příjemcem zahozený
DMARC umožňuje i další možnosti, jako je zasílání reportů. Reporty se nastavují pomocí dvou parametrů v TXT záznamu. Parametr rua=mailto:adresaspravce@domenaskoly.cz určuje na jakou adresu bude report zaslaný a parametr ri=604800 určuje jak často jsou reporty zasílány. Hodnota je v sekundách. Tato hodnota určuje, že report chodí jednou týdně.
Výše uvedená nastavení by měla být součástí každé domény, která používá e-mailovou komunikaci. NUKIB tyto pravidla dokonce vyžaduje u povinných organizací. Opatření NUKIB. I když školy nepatří mezi tyto organizace, není nasazení těchto pravidel pro školy náročné a mělo by být standardem.
Školy, které používají Office365 mohou používat i další bezpečnostní nástroje. Pro všechny organizace včetně organizací, které využívají licenci O365 A1 mohou využívat licenci Exchange Online Protection.
Exchange Online Protection
Jde o cloudovou službu, která chrání vaši organizaci před spamem, malwarem, phishingem a dalšími e-mailovými hrozbami. Je součástí vaší licence a nemusí se přiřazovat jednotlivým uživatelům. V případě, že ji mezi licencemi v portálu administrace nemáte, stačí si ji „přikoupit“. Je ve verzi pro zaměstnance a studenty.
Službu je potřeba aktivovat na stránce https://security.microsoft.com/presetSecurityPolicies. Zde jsou dvě možnosti nastavení. Standartní a striktní ochrana.
Exchange Online Protection je pouze základní ochranou e-mailových schránek, která neposkytuje tolik možností jako pokročilé řešení typu Microsoft Defender for Office365. Tato služba je součástí licence Microsoft 365 A5, případně Microsoft 365 A3+Security A5. Porovnání funkcí Exchange Online Protection a Microsoft Defender for Office 365 najdete na tomto odkazu.