Protection contre l'usurpation de l'expéditeur
L'usurpation d'identité de l'expéditeur d'un e-mail est courante dans laquelle un attaquant falsifie le nom ou l'adresse e-mail de l'expéditeur dans le but de tromper le destinataire. Pour le destinataire de l'e-mail, un e-mail usurpé semble être un e-mail authentique, ce qui constitue un risque. L'arnaque au PDG (CEO fraud) est un type d'usurpation d'identité de l'expéditeur (l'attaquant se fait passer pour le PDG).
Les employés ne remettent pas en question ces e-mails, ce qui permet à la personne malveillante de réussir son attaque. Ce n'est pas l'apanage du PDG. L'usurpation d'identité de l'expéditeur consiste souvent à se faire passer pour un véritable expéditeur, généralement une personne de l'annuaire Active Directory de votre entreprise. Le message e-mail usurpé semble alors très convaincant pour un destinataire peu méfiant, et peut facilement gagner sa confiance.
ESET Mail Security vous offre une protection contre l'usurpation de l'identité de l'expéditeur d'e-mail. La protection contre l’usurpation de l’expéditeur vérifie si les informations de l’expéditeur sont valides à l’aide de plusieurs méthodes.
La protection contre l'usurpation de l'expéditeur recherche le domaine contenu dans le champ d'en-tête de l'e-mail « De : » et l'expéditeur de l'enveloppe, puis compare le domaine trouvé aux listes de domaines. Si le domaine est différent, le message est considéré comme valide (et non usurpé) et est traité par d’autres couches de protection d'ESET Mail Security. Toutefois, si le domaine correspond à un domaine de la liste, il est peut-être usurpé et nécessite une vérification supplémentaire.
Selon le paramètre, une vérification supplémentaire est effectuée : une vérification SPF, l'adresse IP de l'enveloppe est vérifiée par rapport aux listes d'adresses IP, ou le message est considéré automatiquement comme usurpé. Si le résultat de la vérification SPF est positif, ou si l'adresse IP de l'enveloppe correspond à une adresse IP de la liste, le message est valide ; sinon, il s'agit d'une usurpation. Une action est exécutée sur le message usurpé.
Vous pouvez utiliser la protection contre l'usurpation de l’expéditeur de deux façons différentes :
•Activez Protection contre l'usurpation de l'expéditeur, configurez les paramètres et spécifiez éventuellement des domaines et des listes d'adresses IP. L’action par défaut sur les messages e-mail usurpés est Message en quarantaine. Pour modifier l’action exécutée, accédez aux configurations avancées de la protection du transport des messages.
•Utilisez les règles de la protection du transport des messages : Résultat SPF - En-tête De ou Résultat de la comparaison entre l’expéditeur de l’enveloppe et l’en-tête De avec une action de votre choix. Les règles vous offrent d’autres options et combinaisons si vous souhaitez obtenir un comportement spécifique en ce qui concerne les messages e-mail usurpés.
Lorsque la Protection contre l’usurpation d’identité de l’expéditeur est utilisée ou si un type d'action de règle Journaliser les événements est spécifié, tous les messages qui ont été évalués par la Protection contre l’usurpation d’identité de l’expéditeur sont consignés dans les fichiers journaux. De même, vous pouvez trouver des messages e-mail usurpés dans la Quarantaine de messages lorsqu'une action est définie sur Message en quarantaine dans la protection du transport des messages ou définie dans les règles.
Activer la protection contre l'usurpation de l'expéditeur
Activez la protection contre l'usurpation de l'expéditeur pour empêcher les attaques par e-mail qui tentent de tromper les destinataires sur l'origine du message (identité de l'expéditeur usurpée).
Activer les e-mails entrants avec mon propre domaine dans l’adresse de l’expéditeur
Permet aux messages qui contiennent votre propre domaine dans l'en-tête d'e-mail "From:" ou l'expéditeur de l'enveloppe (donc soupçonnés d'être usurpés) d'être vérifiés davantage :
•Uniquement en cas de vérification SPF réussie : Uniquement en cas de vérification SPF réussie : repose sur l'activation de SPF. Si le résultat SPF est positif, le message est considéré comme valide et traité pour sa remise. Si le résultat SPF est négatif, le message est usurpé (une action est exécutée). Vous pouvez éventuellement activer l'option Refuser automatiquement les messages en cas d'échec de la vérification SPF.
•Uniquement lorsque les adresses IP figurent dans la liste des adresses IP de l’infrastructure : compare l'adresse IP de l'enveloppe par rapport aux listes d'adresses IP (liste de vos propres adresses IP et liste des adresses IP ignorées marquées comme Fait partie de l'infrastructure interne). Si l’adresse IP a une correspondance, le message est valide et traité pour sa remise. Si l’adresse IP n'a pas de correspondance, le message est usurpé et une action est exécutée.
•Jamais : si un message entrant contient votre propre domaine dans l’en-tête d'e-mail « De : » ou l’expéditeur de l’enveloppe, il est automatiquement considéré comme étant usurpé sans autre vérification. Une action est exécutée sur le message. Pour plus d'informations sur les options d’action, consultez protection du transport des messages.
Charger automatiquement mes propres domaines à partir de la liste des domaines acceptés
Il est vivement recommandé d’activer cette option pour conserver le niveau de protection le plus élevé. De cette façon, les domaines et les adresses IP de votre infrastructure sont pris en compte lors de l'évaluation par la protection contre l'usurpation de l'expéditeur.
Liste de mes propres domaines
Ces domaines sont considérés comme les vôtres. Ajoutez les domaines qui seront utilisés pendant l’évaluation, en plus des domaines chargés automatiquement depuis Active Directory. Le ou les domaines de l’expéditeur seront comparés aux domaines de ces listes. Si le domaine n'a aucune correspondance, le message est valide. Si le domaine a une correspondance, une vérification supplémentaire est effectuée en fonction du paramètre Activer les e-mails entrants avec mon propre domaine dans l’adresse de l’expéditeur.
Liste de mes propres adresses IP
Adresses IP considérées comme non fiables. Ajoutez les adresses IP qui seront utilisées pendant l’évaluation, en plus des adresses IP de la liste des adresses IP ignorées marquées comme Fait partie de l’infrastructure interne. L’adresse IP de l’enveloppe de l’expéditeur est comparée aux adresses IP de ces listes. Si l’adresse IP de l’enveloppe a une correspondance, le message est valide. Si l’adresse IP n'a pas de correspondance, le message est usurpé et une action est exécutée.