Laatst werkte ik op locatie bij een klant voor een testmigratie naar Exchange Online. Geen enkele e-mail mocht tijdens dat project de organisatie verlaten, dus bouwde ik een blokkade in. Elke mail die naar buiten ging, werd daardoor ofwel verwijderd, ofwel doorgestuurd naar een intern adres. Dacht ik tenminste. Want wat bleek: er waren tóch e-mails die de organisatie verlieten. Hoe dat kon? Door een onjuiste interpretatie van beveiliging in Office 365.
Office 365 voor plaats-onafhankelijk werken
Steeds meer bedrijven kiezen ervoor om te werken met Office 365, omdat de oplossing perfect aansluit op de eisen van deze tijd: altijd en overal willen werken. E-mailen kan dus vanaf kantoor, onderweg en zelfs op vakantie. Microsoft biedt daarbij ook de mogelijkheid om in plaats van de eigen e-mailserver Office 365 te gebruiken als verzendmethode voor onder andere printers en scanners, en order- en facturatiesystemen. Dat is handig voor organisaties die bijvoorbeeld automatisch orderbevestigingen naar klanten sturen. Dat moet je echter wel zelf toestaan in Office 365, wat een koud kunstje is met een zogenaamde connector. Bij het aanmaken van een dergelijke connector verschijnt de melding in beeld: “Office 365 will only accept messages through this connector if the sender domain is configured as an accepted domain for your Office 365 organization.” Vanzelfsprekend ga je hiermee akkoord, want dit is wat je van de beveiliging verwacht: dat je alleen namens je eigen organisatie of een gemachtigd account e-mails naar buiten kunt sturen.
Breek de blokkade
Helaas blijkt deze bewering van Microsoft voor verschillende interpretaties mogelijk. Dit hangt sterk samen met de aanwezige kennis van Office 365. In het geval van mijn klant verstuurde het facturatiesysteem e-mails via zo’n connector. De connector checkt de oorsprong aan de hand van het IP-adres en als blijkt dat het systeem een domein gebruikt dat het bedrijf toestaat, wordt de e-mail verstuurd. Het facturatiesysteem van mijn klant had een afzendadres dat niet voorkwam als domein in Office 365. Het adres eindigde op .local en niet zoals het bedrijfsdomein op .com. Office 365 had deze e-mails dus niet mogen verzenden en toch passeerden ze alle blokkades. Een ander voorbeeld is een printserver waarvan de domeinnaam eindigt op @[naam leverancier].nl. Dit is ook geen verzendadres dat voorkomt in het domein van jouw organisatie. Maar Office 365 laat e-mails verzonden via deze printserver wel toe.
Wat is nu precies het probleem? Het kan zijn dat je dénkt dat je inderdaad een blokkade hebt opgebouwd, terwijl er toch e-mails naar buiten sijpelen. En dat wil je natuurlijk niet met je financiële gegevens. Een ander mogelijk probleem is dat de controletechnieken die je zorgvuldig hebt ingebouwd – bijvoorbeeld om te voorkomen dat mails met een bepaald onderwerp de organisatie verlaten – niet worden toegepast op mails die verstuurd worden vanuit jouw organisatie. Ze gaan dan alsnog over je bedrijfsgrenzen heen, via een soort achterdeur.
Dit zijn twee gevallen die je onbewust laat gebeuren. Maar hackers maken bewust gebruik van gaten in beveiliging, waarvan dit in Office 365 er dus één kan zijn. De reputatieschade aan je bedrijf is niet te overzien wanneer er vanuit jouw bedrijf spam verstuurd wordt.
Controleer de controle
Dit vind ik een kwalijke zaak, maar het is zeker geen probleem als je de juiste technische kennis bezit om dit te voorkomen. Als organisatie wil je volledige controle over het verzenden van e-mails en je gaat ervan uit dat dat goed geregeld is. Office 365 geeft je zelfs het vertrouwen dat dat zo is. Maar navraag bij Microsoft leert dat het uitgangspunt is: als de ontvanger zijn spamfilter goed op orde heeft, is er niets aan de hand. Alleen, in de praktijk is dit nog niet bij elk bedrijf geregeld.
Mijn advies aan elk bedrijf is te controleren of er een Office 365-connector in de organisatie wordt gebruikt. Zo’n connector legt een verbinding tussen Office 365 (Exchange Online) en bijvoorbeeld een on-premise-facturatiesysteem of -scanner voor mailverzending. Controleer dus goed hoe dit bij jou geregeld is. Pas de domeinnamen van e-mailadressen van eventuele systemen aan, aan die van jouw eigen organisatie. En schakel een expert in om te garanderen dat je écht geen gevaar loopt.
Rogier Duurkoop, consultant bij Salves
