Protezione spoofing mittente
Lo spoofing del mittente dell’e-mail è una pratica comune utilizzata dall’autore di un attacco che falsifica il nome o l’indirizzo e-mail del mittente nel tentativo di ingannare il destinatario. Il destinatario dell’e-mail non è in grado di distinguere il messaggio oggetto di spoofing da quello autentico e tale situazione costituisce un rischio. Un tipo di spoofing del mittente è chiamato truffa del CEO (l’autore dell’attacco si spaccia per il CEO (direttore generale)).
I dipendenti non mettono in discussione l’autenticità delle e-mail, consentendo in tal modo agli autori degli attacchi di portare a termine la propria azione. Ciò non riguarda soltanto gli amministratori delegati delle aziende. Lo spoofing del mittente spesso rappresenta qualsiasi mittente reale, generalmente un utente presente nel sistema Active Directory aziendale. Un messaggio e-mail oggetto di spoofing appare quindi molto convincente agli occhi di un destinatario ignaro ed è pertanto in grado di guadagnarsi facilmente la sua fiducia.
ESET Mail Security fornisce protezione contro lo spoofing del mittente delle e-mail. La protezione spoofing del mittente verifica la validità delle informazioni del mittente attraverso l’utilizzo di vari metodi.
La protezione spoofing del mittente ricerca il dominio contenuto nel campo dell’intestazione dell’e-mail “Da:” e il mittente della busta del messaggio, quindi confronta il dominio trovato con gli elenchi di domini. Se il dominio è diverso, il messaggio è considerato valido (non oggetto di spoofing) ed è ulteriormente elaborato da altri livelli di protezione di ESET Mail Security. Tuttavia, se il dominio corrisponde a un dominio dell’elenco, potrebbe essere oggetto di spoofing e richiedere ulteriori verifiche.
A seconda delle impostazioni, vengono eseguite ulteriori verifiche: durante un controllo SPF, l’indirizzo IP della busta viene controllato in base agli elenchi di IP oppure il messaggio viene automaticamente considerato oggetto di spoofing. Se il controllo SPF viene superato o l’IP della busta del messaggio corrisponde a un IP dell’elenco, il messaggio è valido; in caso contrario, viene considerato oggetto di spoofing. Viene intrapresa un’azione con il messaggio oggetto di spoofing.
È possibile utilizzare la protezione spoofing del mittente in due modi:
•Abilitare la Protezione spoofing del mittente, configurarne le impostazioni e, facoltativamente, specificare i domini e gli elenchi di IP. L’azione predefinita con i messaggi e-mail oggetto di spoofing è Metti il messaggio in quarantena. Per modificare l’azione intrapresa, portarsi nelle impostazioni avanzate della Protezione trasporto posta.
•Utilizzare le regole di protezione trasporto posta: Il risultato SPF: intestazione From o condizione Risultato del confronto del mittente busta del messaggio e dell’intestazione From con un’azione scelta dal mittente. Le regole offrono all’utente più opzioni e combinazioni nel caso in cui desideri ottenere un comportamento specifico relativamente ai messaggi e-mail oggetto di spoofing.
In caso di utilizzo della protezione spoofing mittente o di indicazione di un tipo di azione della regola Registra in eventi, tutti i messaggi che sono stati valutati dalla protezione spoofing mittente vengono registrati nei File di rapporto. Allo stesso modo, è possibile trovare messaggi e-mail oggetto di spoofing in Quarantena e-mail quando un’azione è impostata su Metti messaggio in quarantena nella Protezione trasporto posta o definita nelle regole.
Abilita protezione spoofing mittente
Attivare la protezione spoofing del mittente per impedire attacchi e-mail che tentano di ingannare i destinatari sull’origine del messaggio (mittente oggetto di spoofing).
Abilita e-mail in entrata con il mio dominio nell’indirizzo del mittente
Consentire un’ulteriore verifica dei messaggi che contengono il proprio dominio nell’intestazione dell’e-mail "From:" o nel mittente della busta del messaggio (che si sospetta essere oggetto di spoofing):
•Solo quando supera il controllo SPF: si basa sull’abilitazione dell’SPF. Se il controllo dell’SPF viene superato, il messaggio viene considerato valido ed elaborato per l’invio. Se il controllo dell’SPF non viene superato, il messaggio è oggetto di spoofing (viene eseguita un’azione). Facoltativamente, è possibile abilitare Rifiuta automaticamente i messaggi se il controllo SPF non viene superato.
•Solo se l’indirizzo IP si trova nell’elenco di IP dell’infrastruttura: consente di confrontare l’indirizzo IP della busta con gli elenchi di IP (elenco dei propri indirizzi IP ed elenco di IP ignorati contrassegnati come Fa parte dell’infrastruttura interna). Se l’IP corrisponde, il messaggio è valido e viene elaborato per l’invio. Se l’IP non corrisponde, il messaggio è oggetto di spoofing e viene eseguita un’azione.
•Mai: se un messaggio in arrivo contiene il proprio dominio nell’intestazione “Da:” dell’e-mail o nel mittente della busta del messaggio, viene automaticamente considerato oggetto di spoofing senza essere ulteriormente verificato. Viene intrapresa un’azione con il messaggio; consultare Protezione trasporto posta per le opzioni dell’azione.
Carica automaticamente i miei domini dall’elenco di domini accettati
Si consiglia vivamente di abilitare questa opzione per mantenere il livello più alto di protezione. In questo modo, i domini e gli indirizzi IP dell’infrastruttura vengono considerati durante la valutazione dalla protezione spoofing del mittente.
Elenco dei miei domini
Questi domini sono considerati di proprietà dell’utente. Aggiungere i domini che saranno utilizzati durante la valutazione, oltre ai domini caricati automaticamente da Active Directory. I domini del mittente saranno confrontati con i domini presenti in questi elenchi. Se il dominio non corrisponde, il messaggio è valido. Se il dominio corrisponde, viene eseguita un’ulteriore verifica in base all’impostazione Abilita e-mail in entrata con il proprio dominio nell’indirizzo del mittente.
Elenco dei miei indirizzi IP
Indirizzi IP considerati attendibili. Aggiungere gli indirizzi IP che saranno utilizzati durante la valutazione, oltre agli IP presenti nell’Elenco di IP ignorati contrassegnati come Fa parte dell’infrastruttura interna. L’indirizzo IP della busta del mittente viene confrontato con gli indirizzi IP presenti in questi elenchi. Se l’indirizzo IP della busta del messaggio corrisponde, il messaggio è valido. Se l’IP non corrisponde, il messaggio è oggetto di spoofing e viene eseguita un’azione.