Absender-Spoofing-Schutz
E-Mail-Absender-Spoofing ist eine gängige Praxis, bei der ein Angreifer den Namen oder die E-Mail-Adresse des Absenders fälscht, um den Empfänger zu täuschen. Für den Empfänger der E-Mail unterscheidet sich eine solche gefälschte E-Mail nicht von einer echten E-Mail, was ein Risiko darstellt. Eine Art von Absender-Spoofing wird als CEO-Betrug bezeichnet (Angreifer gibt sich als CEO aus).
Mitarbeiter hinterfragen solche E-Mails oft nicht, was die Erfolgschancen des Angriffs erhöht. Dies gilt nicht nur für CEOs. Beim Absender-Spoofing wird häufig die Identität echter Absender vorgetäuscht, in der Regel von Personen im Active Directory der entsprechenden Organisation. Eine gefälschte E-Mail sieht dann für einen ahnungslosen Empfänger sehr überzeugend aus und erlangt leicht sein Vertrauen.
ESET Mail Security schützt Sie vor E-Mail-Absender-Spoofing. Der Absender-Spoofing-Schutz prüft mit mehreren Methoden, ob die Informationen des Absenders gültig sind.
Der Absender-Spoofing-Schutz sucht nach der Domäne, die in der „Von:“-Kopfzeile der E-Mail und im Absender enthalten ist, und vergleicht die gefundene Domäne mit den Domänenlisten. Wenn die Domäne nicht übereinstimmt, wird die Nachricht als gültig (nicht gefälscht) betrachtet und von anderen ESET Mail Security Schutzschichten weiterverarbeitet. Wenn die Domäne mit einer Domäne in der Liste überstimmt, kann sie jedoch als gefälscht eingestuft werden, und eine weitere Verifizierung ist nötig.
Je nach Einstellung werden weitere Verifizierungen durchgeführt: SPF-Prüfung, Abgleich der Umschlag-IP-Adresse mit IP-Listen oder automatische Einstufung der Nachricht als gefälscht. Wenn das SPF-Prüfergebnis negativ ist oder die Umschlag-IP mit einer IP aus der Liste übereinstimmt, ist die Nachricht gültig; andernfalls wird sie als gefälscht eingestuft. Die gefälschte Nachricht wird weiterverarbeitet.
Sie können den Absender-Spoofing-Schutz auf zwei verschiedene Weisen anwenden:
•Aktivieren Sie den Absender-Spoofing-Schutz, konfigurieren Sie dessen Einstellungen und geben Sie optional Domänen und IP-Listen an. Die Standardaktion bei gefälschten E-Mail-Nachrichten E-Mail in Quarantäne verschieben. Um die Aktion zu ändern, wechseln Sie zu den erweiterten Einstellungen für den E-Mail-Transportschutz.
•Verwenden Sie Regeln für den Mail-Transportschutz: Verwenden Sie die Regeln für den Mail-Transportschutz mithilfe von -Ergebnis – Von Kopfzeile oder Vergleichsergebnis zwischen Umschlag-Absender und From-Header mit einer Aktion Ihrer Wahl. Regeln bieten zusätzliche Optionen und Kombinationsmöglichkeiten, wenn Sie bestimmte Verhaltensmuster im Zusammenhang mit gefälschten E-Mails einrichten möchten.
Wenn Sie den Absender-Spoofing-Schutz verwenden oder einen Regelaktionstyp Logging in Ereignissen angeben, werden alle Nachrichten, die vom Absender-Spoofing-Schutz geprüft wurden, in den Log-Dateien aufgezeichnet. Außerdem finden Sie gefälschte E-Mail-Nachrichten in der Nachrichten-Quarantäne, wenn die Aktion Nachrichten-Quarantäne im E-Mail-Transportschutz oder in einer Regel definiert ist.
Absender-Spoofing-Schutz aktivieren
Aktivieren Sie den Absender-Spoofing-Schutz, um E-Mail-Angriffe zu verhindern, die versuchen, für den Empfänger die Herkunft der Nachricht zu verschleiern (gefälschter Absender).
Eingehende E-Mails mit meiner eigenen Domäne als Absenderadresse aktivieren
E-Mails, die Ihre eigene Domäne in der "From:"-Kopfzeile der E-Mail oder im Umschlagabsender enthalten (mit Verdacht auf Fälschung), können weiter geprüft werden:
•Nur nach bestandener SPF-Prüfung – dazu muss SPF aktiviert sein. Wenn das SPF-Ergebnis negativ ist, wird die Nachricht als gültig betrachtet und zur Zustellung verarbeitet. Wenn das SPF-Ergebnis positiv ist, wird die Nachricht als gefälscht eingestuft (Aktion findet statt). Optional können Sie auch Nachrichten bei positiver SPF-Prüfung automatisch ablehnen.
•Nur wenn IP-Adresse in der IP-Liste der Infrastruktur enthalten ist – Vergleicht die Umschlag-IP-Adresse mit den IP-Listen (eine Liste Ihrer eigenen IP-Adressen und die Liste ignorierter IP-Adressen werden als Teil der internen Infrastruktur markiert). Wenn die IP-Adresse übereinstimmt, ist die Nachricht gültig und wird zugestellt. Wenn die IP-Adresse nicht übereinstimmt, wird die Nachricht als gefälscht eingestuft und eine Aktion findet statt.
•Nie – Wenn eine eingehende Nachricht Ihre eigene Domäne in der „Von:“-Kopfzeile der E-Mail oder im Umschlag-Absender enthält, wird sie automatisch als gefälschte Nachricht eingestuft ohne weitere Prüfung. Die Nachricht löst eine Aktion aus, siehe E-Mail-Transportschutz für Aktionsoptionen.
Meine eigenen Domänen automatisch aus der Liste der akzeptierten Domänen laden
Wir empfehlen dringend, diese Option zu aktivieren, um den größtmöglichen Schutz zu gewährleisten. Auf diese Weise werden die Domänen und IP-Adressen Ihrer Infrastruktur bei der Prüfung durch den Absender-Spoofing-Schutz berücksichtigt.
Liste meiner eigenen Domänen
Diese Domänen werden als Ihnen gehörend betrachtet. Fügen Sie Domänen hinzu, die zusätzlich zu den automatisch geladenen Domänen aus Ihrem Active Directory bei der Auswertung verwendet werden sollen. Die Domäne(n) des Absenders werden mit den Domänen in diesen Listen verglichen. Wenn die Domäne nicht übereinstimmt, ist die Nachricht gültig. Wenn die Domäne übereinstimmt, wird eine weitere Verifizierung gemäß der Einstellung Eingehende E-Mails mit meiner eigenen Domäne als Absenderadresse aktivieren durchgeführt.
Liste meiner eigenen IP-Adressen
IP-Adressen, die als vertrauenswürdig gelten. Fügen Sie IP-Adressen hinzu, die bei der Auswertung verwendet werden zusätzlich zu den IP-Adressen in der Liste ignorierter IP-Adressen, die als Teil der internen Infrastruktur markiert sind. Die Umschlag-IP-Adresse des Absenders wird mit den IP-Adressen in diesen Listen verglichen. Wenn die IP-Adresse des Umschlags übereinstimmt, ist die Nachricht gültig. Wenn die IP-Adresse nicht übereinstimmt, wird die Nachricht als gefälscht eingestuft und eine Aktion findet statt.