Мне нужна помощь, пожалуйста!
Я работаю в ГСЗ в одной из больниц в Великобритании, и у нас много фишинговых атак. Некоторые специально нацелены на пользователей нашего домена - у некоторых людей действительно нет никакой морали.
Я знаю, что сотрудники должны быть более бдительными, чтобы выявлять фишинговые электронные письма, но на данный момент у них слишком много других вещей, чтобы быть беспокоюсь о текущей пандемии COVID-19 c.
Я пытаюсь создать правило транспорта в Exchange Online (Office 365), чтобы предупредить получателя (внутреннего / внешнего) о любом письме (входящем / outbound / internal), которая содержит ссылку http / https, которая не входит в набор определенных доменов.
Я нашел работающее выражение регулярного выражения и привел несколько примеров по следующей ссылке: https://regex101.com/r/wkOV4W/3
Выражение:
https?:\/\/[\w\d\.]*(?<!(CorrectDomain1\.co\.uk))(?<!(CorrectDomain2\.com))(?<!(CorrectDomain3\.org))(\/|\"|\t|\r|\n|\s)
- http: // или https: //
- Ноль или более поддоменов (содержащих буквы, цифры, точки), если таковые существуют
- Просмотр не соответствует CorrectDomain1.co.uk или CorrectDomain2.com или CorrectDomain3.org
- Следующий символ - Forward- Sla sh, двойная кавычка, табуляция , CR, LF, White-Space
Список допустимых доменов:
- CorrectDomain1.co.uk
- CorrectDomain2.com
- CorrectDomain3.org
Любой другой домен или субдомен должны быть сопоставлены и добавить сообщение в начало письма:
ПРЕДУПРЕЖДЕНИЕ: НА ЭТОМ ЭЛЕКТРОННОМ ЭЛЕКТРОННОМ СЛУЖБЕ СОГЛАСНО, ЧТО УКАЗЫВАЕТ НАША ОРГАНИЗАЦИЯ - ПОЖАЛУЙСТА, БУДЬТЕ ОСТОРОЖНЫ, ЕСЛИ У ВАС ПРЕДЛАГАЕТСЯ ВВОДИТЬ ИМЯ ПОЛЬЗОВАТЕЛЯ ИЛИ ПАРОЛЬ
Когда я использую это на Exchange, все работает отлично, кроме одного .
Это не работает: <a href="http://www.WrongDomainA.co.uk">Link</a>
Это работает: <a href="http://www.WrongDomainA.co.uk/">Link</a>, это работает http://www.WrongDomainA.co.uk
Я знаю, что разница заключается в * sh в конце, но это не относится к тому, куда я отправил электронное письмо в виде обычного текста, и это сработало.
Буду очень признателен за любые мысли и помощь по поводу того, как я могу это улучшить. - Я не смог найти такую функциональность в 365 Security & Compliance.
[ Note1 : вероятно, мне нужно включить двоеточие в шаге 4 для обслуживания портов]
[ Note2 : я пытался объединить домены (?<!(CorrectDomain1\.co\.uk|CorrectDomain2\.com|CorrectDomain3\.org)), но он не работал в тесте regex101, потому что утверждение просмотра назад должно быть фиксированной ширины ]
[ Примечание 3 : я ограничен в Exchange, потому что: Вы не можете настроить шаблон с группами из нескольких условий совпадения, таких как (. *, . +,. {0 , n} или. {1, n}). Чтобы продолжить, удалите группу или условие множественного соответствия из шаблона. ]