Protection contre l’usurpation d’identité de l’expéditeur
L'usurpation de l'identité de l'expéditeur d'un courriel est une pratique courante qui consiste pour un pirate à falsifier le nom ou l'adresse de courriel de l'expéditeur afin de tromper le destinataire. Pour le destinataire du courriel, il est impossible de distinguer un tel courriel mystifié d'un courriel authentique, ce qui constitue un risque. L'escroquerie au faux ordre de virement (le pirate usurpe l’identité du chef de la direction de l'entreprise) est un type de mystification de l’expéditeur courant.
Le fait que les employés ne remettraient pas en question ces courriels permet au pirate de réussir. L’identité du chef de la direction de l’entreprise n'est pas la seule visée. L'usurpation d'identité de l'expéditeur vise souvent n'importe quel expéditeur qui existe réellement, généralement une personne de l'Active Directory de votre organisation. Un courriel mystifié semble alors très convaincant pour un destinataire sans méfiance, gagnant facilement sa confiance.
ESET Mail Security vous protège contre l'usurpation de l'identité de l'expéditeur du courriel. La protection contre la mystification de l’expéditeur utilise plusieurs méthodes pour vérifier si les informations de l’expéditeur sont valides.
La protection contre la mystification de l’expéditeur examine le domaine contenu dans le champ « De : » d’en-tête de courriels et l’expéditeur de l’enveloppe, puis compare le domaine trouvé avec les listes de domaines. Si le domaine est différent, le message est considéré comme valide (non mystifié) et est traité par d’autres couches de protection de ESET Mail Security. Toutefois, si le domaine correspond à un domaine de la liste, il s'agit peut être d'un courriel mystifié et nécessite une vérification plus approfondie.
En fonction du réglage, une vérification supplémentaire est effectuée : la vérification SPF. L'adresse IP de l'enveloppe est vérifiée par rapport à des listes d'adresses IP, ou le message est automatiquement considéré comme usurpé. Si le résultat de la vérification SPF est réussi ou si l’adresse IP de l’enveloppe correspond à une adresse IP de la liste, le message est valide; sinon, il s'agit d'un message mystifié. Une mesure doit être prise lorsque le message est mystifié.
Vous pouvez utiliser la protection contre la mystification de l’expéditeur de deux façons :
•Activez la protection contre la mystification de l’expéditeur, configurez ses paramètres et spécifiez éventuellement des domaines et des listes IP. L'action par défaut appliqué aux courriels mystifiés est la mise en quarantaine du message. Pour modifier les mesures à prendre, accédez aux paramètres avancés de la protection du transport du courriel.
•Utilisez les règlesde protection du transport du courriel : résultat de SPF - champ FROM de l'entête ou résultat de la comparaison de l'expéditeur de l’enveloppe et le champ FROM de l'entête avec une action de votre choix. Les règles vous fournissent plus d’options et de combinaisons si vous souhaitez adopter un comportement précis lorsque des courriels mystifiés sont reçus.
Lorsque la Protection contre l’usurpation d’identité de l’expéditeur est utilisée, ou si une action de règle de type Inscrire au journal des événements est spécifié, tous les messages qui ont été évalués par la Protection contre l’usurpation d’identité de l’expéditeur sont enregistrés dans les fichiers journaux. De même, vous pouvez trouver des courriels mystifiés dans le dossier de quarantaine de messagerie lorsqu’une action est définie sur Mettre les messages en quarantaine dans la Protection du transport de messagerie ou définie dans les règles.
Activer la protection contre l’usurpation d’identité de l’expéditeur
Activez la protection contre la mystification de l’expéditeur pour empêcher les attaques par courriel qui tentent d’induire les destinataires en erreur quant à l’origine du message (mystification de l'expéditeur).
Activer les courriels entrants avec mon propre domaine dans l’adresse de l’expéditeur
Cette option permet d'effectuer une vérification supplémentaire sur les messages qui contiennent votre propre domaine dans le champ d’en-tête de courriel "From:" ou sur l’expéditeur de l’enveloppe (qui est soupçonné de mystification) :
•Uniquement en cas de réussite de la vérification SPF - suppose que SPF est activé. Si la vérification SPF réussie, le message est considéré comme valide et transmis. Si la vérification SPF échoue, le message est une mystification (l’action est entreprise). Vous pouvez également choisir de rejeter automatiquement les messages si la vérification SPF échoue.
•Uniquement lorsque l’adresse IP figure sur la liste des adresses IP de l’infrastructure : Compare l’adresse IP de l'enveloppe à celles des listes d'adresses IP (une liste de vos propres adresses IP et la liste des adresses IP ignorées marquée comme faisant partie de l’infrastructure interne). S'il y a une correspondance, le message est valide et est transmis. S'il n'existe aucun correspondance, le message est une mystification et une action est entreprise.
•Jamais – si un message entrant contient votre propre domaine dans le champ « De : » de l’en-tête de courriel ou de l'expéditeur de l’enveloppe, il est automatiquement considéré comme mystifié sans aucune vérification supplémentaire. Une action est prise avec le message « Consultez la protection du transport de messagerie pour connaitre les options d’action ».
Charger automatiquement mes propres domaines à partir de la liste des domaines acceptés
Nous vous recommandons fortement d’activer cette option pour maintenir le plus haut niveau de protection. De cette façon, les domaines et les adresses IP de votre infrastructure seront pris en compte lors de l’évaluation par la protection contre la mystification de l’expéditeur.
Liste de mes propres domaines
Ces domaines sont considérés comme les vôtres. Ajoutez des domaines qui seront utilisés pendant l’évaluation, en plus des domaines chargés automatiquement à partir de votre liste Active Directory. Les domaines de l’expéditeur seront comparés aux domaines de ces listes. S'il n'y a aucune correspondance, le message est valide. S'il y a une correspondance, une vérification plus approfondie est effectuée en fonction du paramètre Activer les courriels entrants avec mon propre domaine dans l’adresse de l’expéditeur.
Liste de mes propres adresses IP
Adresses IP jugées fiables. Ajoutez des adresses IP qui seront utilisées pendant l’évaluation, en plus des adresses IP de la liste des adresses IP ignorées marquée comme faisant partie de l’infrastructure interne. L’adresse IP de l’enveloppe de l’expéditeur est comparée aux adresses IP de ces listes. S'il existe une correspondance avec l’adresse IP de l’enveloppe, le message est valide. S'il n'existe aucun correspondance, le message est une mystification et une action est entreprise.