عودة للخلف

مقال

أمن سيبراني

09‏/08‏/2025

استغلال خاصية Direct Send في حملات التصيّد وكيفية تعطيلها

في الفترة الأخيرة، لاحظنا زيادة استغلال خاصية Direct Send في Microsoft 365 من قبل المخترقين في حملات تصيّد (phishing campaigns) يرسلون فيها رسائل تبدو كأنها جاية من داخل المنشأة، بدون ما يحتاجون يخترقون حسابات المستخدمين.

استغلال خاصية Direct Send وكيفية تعطيلها
استغلال خاصية Direct Send وكيفية تعطيلها
استغلال خاصية Direct Send وكيفية تعطيلها

وش هي خاصية Direct Send؟

خاصية Direct Send في Exchange Online تسمح للأجهزة والتطبيقات داخل المنشأة إنها ترسل إيميلات مباشرة لصناديق البريد عند الموظفين، بدون ما تحتاج أي تسجيل دخول (Authentication). غالبًا تستخدمها الطابعات أو الأنظمة الداخلية لإرسال تقارير أو تنبيهات.

كيف المخترقين يستغلون هالخاصية في حملات التصيّد؟

المشكلة الكبيرة في Direct Send إنها ما فيها أي متطلبات مصادقة.

المخترقين ما يحتاجون إلا شيئين سهل الحصول عليهم:

  • اسم دومين المنشأة المستهدفة (Domain Name)

  • عناوين إيميلات صحيحة داخل المنشأة (Valid Recipient Email Addresses)

وهالمعلومات غالبًا يحصلون عليها بسهولة عن طريق:

  • مواقع التواصل الاجتماعي

  • الموقع الرسمي للمنشأة

  • تسريبات بيانات سابقة (Data Breaches)

وبعدها يقدرون يرسلون إيميلات تصيّد شكلها وكأنها جاية من داخل المنشأة لأن الخاصية ما تطلب مصادقة. وغالبًا تحتوي هالإيميلات على مرفقات أو روابط خبيثة مثل PDF أو روابط QR لسرقة بيانات الدخول. وفي بعض الأحيان يستخدمون PowerShell لإرسال الرسائل من خلال خوادم Microsoft 365.

كيف تحمي المنشأة؟

1) تعطيل خاصية Direct Send

أول شي، لازم تثبت وحدة PowerShell الخاصة بـ Exchange Online:

افتح PowerShell كمسؤول (Run as Administrator) ونفّذ:

Set-ExecutionPolicy RemoteSigned -Force
Install-Module -Name PowerShellGet -Force
Install-Module -Name ExchangeOnlineManagement -Force

بعد التثبيت، شغّل الوحدة:

Import-Module ExchangeOnlineManagement

اتصل بـ Exchange Online:

Connect-ExchangeOnline -UserPrincipalName admin@domain.com

(بدّل admin@domain.com بإيميل المسؤول. إذا مفعّل MFA بيطلب منك تحقق إضافي.)

عطّل الخاصية:

Set-OrganizationConfig -RejectDirectSend $true

بعد التعطيل، راقب الأنظمة والأجهزة الداخلية عشان تتأكد إنها ما تعتمد على Direct Send حتى ما يتعطل إرسال الإيميلات.

تأكد من الإعداد:

Get-OrganizationConfig | Select-Object Identity, RejectDirectSend

(إذا ظهر لك RejectDirectSend : True فهذا يعني إنها انقفلت بنجاح.)

2) استخدام موصلات (Connectors) بمصادقة

إذا فيه أجهزة أو تطبيقات تحتاج ترسل إيميلات:

  • فعل SMTP AUTH على المنفذ 587 عشان الأجهزة تستخدم تسجيل دخول Microsoft 365.

  • أو استخدم Partner Connectors مع IP ثابت أو شهادة TLS لضمان أمان الاتصال.

3) مؤشرات الكشف الرئيسية (Key Detection Indicators)

فرق الأمان لازم تراقب:

  • إيميلات يرسلها المستخدم لنفسه

  • وجود PowerShell أو أدوات سطر الأوامر (Command-line User Agents) في رؤوس الرسائل

  • عناوين IP غير مألوفة، خاصة إذا كانت من VPN أو من خارج البلد

  • فشل التحقق في SPF أو DKIM أو DMARC للنطاقات الداخلية

  • اختلاف معرفات المستأجر (Tenant IDs) في رؤوس الرسائل

الخلاصة

خاصية Direct Send لازم تتعطل تمامًا. وإذا اضطررت تستخدمها، لازم يكون عن طريق موصلات (Connectors) آمنة وبمصادقة. تطبيق هالخطوات مع مراقبة حركة البريد بيحمي المنشأة من هجمات التصيّد والتلاعب.

جاهز تأمن وتطور الـIT في منشأتك؟

احجز استشارة مجانية معنا واكتشف كيف ممكن نطور ونأمن التقنية في منشأتك

احجز استشارة مجانية

احجز استشارة مجانية

استشارة مجانية

استشارة مجانية