Ochrana proti podvržení odesílatele
Techniku podvržení identity odesílatele (známou jako spoofing) využívají útočníci k úmyslné změně jména nebo e-mailové adresy odesílatele za účelem oklamání příjemce e-mailu. Pro příjemce je podvržená zpráva nerozeznatelná od pravé, což představuje riziko. Jedním typem podvržení je tzv. CEO fraud (útočník se vydává za generálního ředitele).
Útočník bývá poměrně často úspěšný, protože zaměstnanci o validitě takových e-mailů běžně nepochybují. Generální ředitelé firem nejsou výjimkou. Podvržený odesílatel se často vydává za skutečného odesílatele, obvykle někoho z adresáře Active Directory vaší organizace. Podvržená zpráva působí na příjemce velmi přesvědčivě, díky čemuž si útočník snadno získá jeho důvěru.
ESET Mail Security poskytuje ochranu proti podvržení odesílatele e-mailu. Ochrana proti podvržení odesílatele pomocí několika metod ověřuje, zda je informace o odesílateli pravdivá.
Ochrana proti podvržení odesílatele vyhledává v hlavičce „From:“ nebo obálce odesílatele doménu a následně ji porovnává vůči seznamu vámi vlastněných domén. Pokud se doména liší, je zpráva považována za platnou (nepodvrženou) a je dále zpracovávána dalšími vrstvami ochrany ESET Mail Security. Pokud se však doména shoduje s doménou na seznamu, může být podvržená a vyžaduje další ověření.
V závislosti na nastavení se provede další ověření: Zkontroluje se SPF, IP adresa obálky se porovná se seznamy IP adres nebo se zpráva automaticky považuje za podvrženou. V případě, že je výsledek SPF kontroly úspěšný, případně se IP adresa odesílatele obálky nachází na seznamu vašich IP adres, je zpráva považována za legitimní; v opačném případě jako podvržená. Následně se s podvrženou zprávou provede definovaná akce.
Ochranu proti podvržení odesílatele můžete používat dvěma způsoby:
•V nastavení produktu zapněte a nakonfigurujte Ochranu proti podvržení odesílatele, kdy volitelně definujte seznam vámi vlastněných domén a IP adres. Ve výchozím nastavení se podezřelé zprávy přesouvají do karantény. Definovanou akci můžete změnit v nastavení ochrany transportu zpráv.
•Použijte pravidla ochrany transportu zpráv: Při definování pravidel na transportní vrstvě využijte podmínku Výsledek SPF – Hlavička From nebo Výsledek porovnání odesílatele obálky a hlavičky From a následně si vyberte akci dle svých představ. Pravidla poskytují robustní možnosti a množství kombinací k filtrování zpráv, proto s jejich pomocí dosáhnete požadovaného zacházení s podvrženými zprávami.
Pokud je zpráva zachycena ochranou proti podvržení odesílatele, případně jste při definování pravidla nastavili akci Zapsat do protokolu, informaci o podvržených zprávách naleznete v protokolech. Pokud v nastavení Ochrana transportu zpráv nebo vámi vytvořeném pravidle máte aktivní přesouvání zpráv do karantény, podvržené zprávy naleznete v Karanténě zpráv.
Zapnout ochranu proti podvržení odesílatele
Po aktivování této možnosti zabráníte útočníkům v oklamání příjemce zfalšováním údajů o původu zprávy (spoofed sender).
Přijímat příchozí zprávy obsahující mou doménu uvedenou v adrese odesílatele
Pomocí této možnosti se rozhodněte, jakým způsobem chcete klasifikovat zprávy, v jejichž hlavičkách "From:" nebo odesílateli obálky je uvedena vámi vlastněná doména:
•Pouze při úspěšné SPF kontrole – pro použití této možnosti musí být aktivována SPF kontrola. V případě, že je výsledek SPF kontroly úspěšný, zpráva je považována za legitimní a zpracována k dalšímu doručení. Při neúspěšné SPF kontrole je zpráva považována za podvrženou a provede se s ní definovaná akce. Volitelně můžete aktivovat možnost Automaticky zamítnout zprávu, pokud nebyla SPF kontrola úspěšná.
•Pouze v případě, že se IP adresa nachází na seznamu IP adres infrastruktury – Porovná IP adresu obálky se seznamy IP adres (seznam vámi vlastněných IP adres a seznam ignorovaných IP adres označených jako Jedná se o část interní infrastruktury). V případě, že se IP adresa shoduje, zpráva je považována za legitimní a zpracována k dalšímu doručení. Pokud se IP adresa na některém ze seznamů nenachází, zpráva je považována za podvrženou a provede se s ní definovaná akce.
•Nikdy – pokud bude v hlavičce nebo odesílateli obálky uvedena vaše doména, zpráva bude automaticky považována za podvrženou a nebude dále vyhodnocována. Se zprávou se provede definovaná akce dle nastavení ochrany transportu zpráv.
Automaticky načítat mé domény ze seznamu Akceptovaných domén
Pro zajištění nejvyšší úrovně ochrany doporučujeme ponechat tuto možnost zapnutou. Zajistíte tím, že při klasifikaci zpráv se vezmou v potaz domény a IP adresy z vaší infrastruktury.
Seznam mých domén
Tyto domény jsou považovány za vaše vlastní. Na tento seznam přidejte domény, které chcete zahrnout do vyhodnocování společně s doménami načtenými z Active Directory. Domény odesílatele je porovnávána vůči těmto seznamům. Pokud se doména neshoduje, zpráva je považována za legitimní. Pokud se doména nachází na některém ze seznamů, dále se v rámci klasifikace provede definovaná akce dle nastavení Přijímat příchozí zprávy obsahující mou doménu uvedenou v adrese odesílatele.
Seznam mých IP adres
Seznam IP adres považovaných za důvěryhodné. Na tento seznam přidejte IP adresy, které chcete zahrnout do vyhodnocování společně se seznamem ignorovaných IP adres označených jako Jedná se o část interní infrastruktury. IP adresa obálky odesílatele je porovnávána s IP adresami v těchto seznamech. V případě, že se IP adresa odesílatele obálky shoduje, zpráva je považována za legitimní. Pokud se IP adresa na některém ze seznamů nenachází, zpráva je považována za podvrženou a provede se s ní definovaná akce.