Blokkeer het automatisch doorsturen van e-mail

Op 25 mei 2018 wordt de Algemene verordening gegevensbescherming (AVG) van kracht. Dat is de Nederlandse naam voor de Europese General Data Protection Regulation (GDPR) en vervangt vanaf dat moment de Nederlandse Wet Bescherming Persoonsgegevens (Wbp).

Eén van de maatregelen die je als organisatie kunt nemen is het voorkomen dat gebruikers e-mail automatisch doorsturen naar een  e-mailadres buiten de eigen organisatie. Standaard is het voor gebruikers van Office 365 mogelijk om e-mail automatisch door te sturen naar een ander e-mailadres. Dit artikel geldt voor mailboxen in zowel Exchange Online als Exchange 2013/2016 (on-premise).

Het voordeel voor een gebruiker is dat deze e-mail van meerdere mailboxen in één centrale mailbox kan beheren. Maar het is een datalek als hiermee persoonsgegevens geautomatiseerd naar een adres buiten de eigen organisatie worden gestuurd.

Een gebruiker kan op verschillende manieren instellen dat zijn of haar e-mail automatisch doorgestuurd wordt.

  • Via mailbox regels:
    In Outlook is deze te vinden onder:
    Bestand – Regels en waarschuwingen beheren
    In Outlook Web App is deze te vinden onder:
    Opties – Automatische verwerking – Regels voor Postvak in en opruimen
  • In Office 365 door een algemene doorstuur instelling:
    In Outlook Web App is deze te vinden onder:
    Opties – e-mail – Doorsturen

Er zijn een aantal verschillende manieren om te voorkomen dat e-mail geautomatiseerd doorgestuurd kan worden. Iedere manier heeft zijn voor- en nadelen.

Externe domeinen

Door middel van externe domeinen kan bepaald worden wat gebruikers wel of niet mogen naar deze domeinen, bijvoorbeeld het wel of niet automatisch doorsturen van e-mail. Dit moet per gedefinieerde externe domein ingesteld worden en / of integraal voor alle externe domeinen (*).

Voor Exchange 2013 / 2016 kan dit via de Exchange Management Shell ingesteld worden. Door het cmdlet get-remotedomain in te voeren kan een lijst opgevraagd worden met reeds bekende externe domeinen.

Met het cmdlet get-remotedomain | Select Name, AutoforwardEnabled kan gecontroleerd worden wat de huidige instelling is.

Nu kan per domein de eigenschap AutoForwardEnabled uitgezet worden:

Of voor alle overige externe domeinen kan dit ingesteld worden door de Default aan te passen:

In Exchange Online kan dit ingesteld worden door te gaan naar het Exchange-beheercentrum – e-mailstroom – externe domeinen.

Door nu de de eigenschappen te bewerken van het externe domein kan er gekozen worden om de optie Automatisch doorsturen toestaan uit te schakelen.

Het voordeel van deze methode is dat het snel in te stellen is en voor alle gebruikers geldt ongeacht de regels die een gebruiker zelf ingesteld heeft staan.

Het nadeel van deze methode is dat de gebruiker geen terugkoppeling krijgt dat de e-mail niet is doorgestuurd. Daarbij zal per gedefinieerde externe domein aangegeven moeten worden of het automatisch doorsturen van e-mail wel of niet is toegestaan.

Transportregels

Met een Exchange transportregel kunnen automatisch doorgestuurde mails geblokkeerd worden en kan er een terugkoppeling gegeven worden aan de gebruiker. Een transportregel kan ingesteld worden door in de Exchange Control Panel of Exchange Admin Center te gaan naar Mail Flow – Rules of e-mailstroom – regels.

De regel kan dan als volgt gedefinieerd worden:

In Exchange Online ziet dit er als volgt uit:

De melding die de gebruiker krijgt te zien ziet er als volgt uit:

Hiermee is ook meteen het eerste nadeel te zien. De terugkoppeling die de gebruiker krijgt is niet bepaald gebruikersvriendelijk. Daarnaast is het zo dat de regel niet van toepassing is als het een Office 365 gebruiker betreft die een algemene doorstuur optie heeft aanstaan.

Een voordeel is dat de gebruiker op zijn minst een terugkoppeling krijgt (hetzij niet zo’n mooie) en er kan op gerapporteerd worden hoe vaak deze regel van toepassing is geweest.

Gebruikersrollen

Via rol gebaseerde toegang kan de optie om e-mail automatisch door te sturen in zijn geheel worden weggehaald. Om dit voor elkaar te krijgen moeten de volgende acties worden uitgevoerd in de Exchange Management Shell of via een Remote Powershell Session op de Exchange Online omgeving:

  1. Maak een nieuwe rol op basis van “MyBaseOptions”

  2. Afhankelijk van de wens zijn er drie mogelijkheden:

    Verwijder de mogelijkheid om een nieuwe inbox regel aan te maken.

    Verwijder de mogelijkheid om een bestaande regel aan te passen.

    Verwijder de gehele pagina in de Outlook Web App Opties.

  3. Maak een nieuwe beleid en voeg daar alle rollen aan toe inclusief één van de bovenstaande opties:

  4. Wijs het nieuw gemaakte beleid toe aan de mailboxen. In dit voorbeeld is dat één mailbox, maar dit kan ook naar alle mailboxen zijn:

    Het voordeel van deze methode is dat gebruikers simpelweg de opties niet te zien krijgen en daarmee dus de mogelijkheid niet hebben om e-mail automatisch door te sturen.

Het nadeel is dat het de optie niet weghaalt in Outlook en al toegepaste regels blijven gehandhaafd. Deze methode is dan ook vooral handig als de organisatie primair gebruik maakt van Outlook Web App (OWA).

Tot slot

De huidige implementatie van Exchange Online of die van Exchange 2013 / 2016 is bepalend voor de juiste manier waarop het geautomatiseerd doorsturen van e-mail voorkomen kan worden.

Wanneer het een nieuwe implementatie betreft kan er het best gekozen worden om de opties in zijn geheel niet te laten zien. Wanneer er veel gebruik wordt gemaakt van het automatisch doorsturen van e-mail is het mogelijkerwijs gebruikersvriendelijker om eerst een periode terugkoppeling te geven aan gebruikers om aan te geven dat dit niet meer mogelijk is alvorens de opties integraal uit te zetten op de remote domeinen.

Daarnaast geeft dit in geen geval de garantie dat er geen persoonsgegevens gelekt kunnen worden via e-mail. Het is nog altijd mogelijk om e-mail met persoonsgegevens (handmatig) door te sturen naar externe adressen. Maatregelen zoals Data Loss Prevention en Information Rights Management kunnen acties uitvoeren op basis van de inhoud van een e-mailbericht en hebben als doel het (per ongeluk) lekken van persoonsgegevens te voorkomen.

Als inspiratie en bron van dit artikel is deze blog van Alana Wegfahrt gebruikt.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *