Вчера моя компания была поражена новым трояном, который использует старый социальный метод «это пришло от кого-то, кому я доверяю», чтобы приостановить подозрения (и рациональность) пользователя, и он был открыт и запущен.
В ходе поиска, содержания и устранения этого я использовал правила транспорта Exchange Online (Office365), чтобы заблокировать всю исходящую электронную почту от зараженных пользователей (и отправить мне заблокированное сообщение). Убедившись, что ошибка устранена, я снял отметку с правил транспорта, но обнаружил, что пользователи по-прежнему не могут отправлять сообщения. Затем я удалил правила транспорта и протестировал с одним пользователем, некоторые прошли, а некоторые были заблокированы.
Я использовал Powershell для входа в систему, а Get-TransportRule не показывает правила, которые все еще (иногда случайным образом) блокируют этих пользователей через полчаса.
Сколько времени это займет? Как скоро я начну процесс оформления заявки? Или я что-то упустил?
По моему опыту, изменения в правилах транспорта вступают в силу примерно через 15 минут.
В Azure AD процесс под названием Forward Sync используется для отправки обновлений объектам по всей инфраструктуре. Я не знаю, являются ли правила транспорта объектами, использующими этот механизм, или это отдельный процесс Exchange.
В O365 это действительно будет зависеть от размера вашей организации и ее распределения в центрах обработки данных Microsoft. У меня более 10 000 пользователей в O365 Shared, так что это займет некоторое время.
В частности, статьи Technet для Exchange Online и Exchange 2013 различаются. В справке Exchange 2013 объясняется, что время репликации для правил транспорта зависит от репликации Active Directory. Я могу только надеяться / предполагать, что Exchange Online использует решение Azure AD, но об этом вообще не упоминается в Справка по Exchange Online.
Я бы запустил быструю трассировку (так же быстро, как O365 позволит вам запустить подробную трассировку), чтобы убедиться, что проблема связана с правилом транспорта. По большей части я считаю, что они срабатывают и выходят довольно быстро. Думаю, больше всего я ждал, чтобы увидеть одну работу, - 10 минут. Я не уверен, что это за официальная версия. Я бы обязательно открыл билет - все равно они вернутся к вам через пару часов.
Если у вас были какие-то исходящие проблемы - возможно, Microsoft обнаружила это и заблокировала некоторых пользователей для вас. Если это так, вы должны открыть тикет, чтобы разблокировать их.