보낸 사람 스푸핑 보호
이메일 보낸 사람 스푸핑은 공격자가 받는 사람을 속이려고 보낸 사람의 이름이나 이메일 주소를 위조하는 일반적인 행위입니다. 이메일 받는 사람은 스푸핑된 이메일을 진짜 이메일과 구별할 수 없어 위험이 초래됩니다. 보낸 사람 스푸핑 중 한 가지 유형을 CEO 사기라고 합니다(공격자가 CEO로 가장).
직원들은 이러한 이메일에 의문을 제기하지 않으므로 공격자가 성공할 수 있게 됩니다. 이는 CEO에만 국한된 것이 아닙니다. 보낸 사람 스푸핑은 실제 보낸 사람(일반적으로 조직의 Active Directory에 있는 사람)을 가장하는 경우가 많습니다. 스푸핑된 이메일 메시지는 의심하지 않는 받는 사람에게 매우 설득력 있어 보여 쉽게 신뢰를 얻습니다.
ESET Mail Security은(는) 이메일 보낸 사람 스푸핑에 대한 보호 기능을 제공합니다. 보낸 사람 스푸핑 보호는 다양한 방법으로 보낸 사람의 정보가 유효한지 여부를 확인합니다.
보낸 사람 스푸핑 보호에서는 "시작:" 이메일 헤더 필드 및 봉투 보낸 사람에 포함된 도메인을 찾은 후 발견된 도메인을 도메인 목록과 비교합니다. 도메인이 다른 경우, 메시지가 유효한 것(스푸핑되지 않음)으로 간주되며 다른 ESET Mail Security 보호 계층에서 추가 처리됩니다. 그러나 도메인이 목록에 있는 도메인과 일치하는 경우, 스푸핑될 수 있으며 추가 확인이 필요합니다.
설정에 따라 추가 확인이 수행됩니다. SPF 확인이 수행되거나, 봉투 IP 주소가 IP 목록을 기준으로 확인되거나, 메시지가 자동으로 스푸핑된 것으로 간주됩니다. SPF 확인 결과가 전달되거나 봉투 IP가 목록의 IP와 일치하는 경우, 메시지가 유효합니다. 그렇지 않은 경우에는 스푸핑됩니다. 스푸핑된 메시지로 작업이 수행됩니다.
다음의 두 가지 방법으로 보낸 사람 스푸핑 보호를 사용할 수 있습니다.
•보낸 사람 스푸핑 보호를 활성화하고, 해당 설정을 구성합니다. 필요한 경우 도메인과 IP 목록을 지정합니다. 스푸핑된 이메일 메시지에 대한 기본 동작은메시지 검역소로 보내기입니다. 수행되는 동작을 변경하려면 메일 전송 보호 고급 설정으로 이동하십시오.
•메일 전송 보호 규칙 사용: 선택한 동작과 함께 SPF 결과 - 시작 헤더 또는 봉투 보낸 사람 및 시작 헤더 비교 결과 조건을 사용하여 메일 전송 보호 규칙을 활용합니다. 스푸핑된 이메일 메시지와 관련된 특정 동작을 수행하려는 경우 규칙은 더 많은 옵션과 조합을 제공합니다.
보낸 사람 스푸핑 보호가 사용되거나 규칙 동작 유형 이벤트에 로깅이 지정된 경우, 보낸 사람 스푸핑 보호에 의해 평가된 모든 메시지가 로그 파일에 기록됩니다. 마찬가지로, 동작이 메일 전송 보호에서 메시지 검역소로 보내기로 설정되어 있거나 규칙에 정의되어 있는 경우 메일 검역소에서 스푸핑된 이메일 메시지를 찾을 수 있습니다.
보낸 사람 스푸핑 보호 활성화
받는 사람 스푸핑 보호를 활성화하여 메시지 출처(스푸핑 보낸 사람)와 관련해 받는 사람을 오도하려는 이메일 공격을 방지합니다.
보낸 사람의 주소에서 내 도메인으로 들어오는 이메일 활성화
"From:" 이메일 헤더 또는 봉투 보낸 사람에 고유 도메인이 포함된 메시지를 추가로 확인하도록 허용합니다.
•SPF 확인을 통과한 경우에만 – 활성화되어 있는 SPF를 사용합니다. SPF 결과가 통과인 경우 메시지는 유효한 것으로 간주되며 배달하도록 처리됩니다. SPF 결과가 실패인 경우 메시지는 스푸핑됩니다(동작이 수행됨). 필요시 SPF 확인에 실패한 경우 메시지 자동 거부를 활성화할 수 있습니다.
•IP 주소가 인프라 IP 목록에 있는 경우에만 – 봉투 IP 주소를 IP 목록(내 IP 주소 목록 및 무시된 IP 목록은 내부 인프라의 일부로 표시됨)과 비교합니다. IP가 일치하는 경우 메시지는 유효하며 배달하도록 처리됩니다. IP가 일치하지 않는 경우, 메시지는 스푸핑되고 동작이 수행됩니다.
•사용 안 함 – 들어오는 메시지가 "시작:" 이메일 헤더 또는 봉투 보낸 사람에 고유 도메인을 포함하는 경우, 추가 확인 없이 자동으로 스푸핑된 것으로 간주됩니다. 메시지에서 동작이 수행됩니다. 동작 옵션은 메일 전송 보호를 참조하십시오.
허용된 도메인 목록에서 내 도메인을 자동으로 로드
최고 수준의 보호를 유지하려면 이 옵션을 활성화하는 것이 좋습니다. 이렇게 하면 보낸 사람 스푸핑 보호에 의한 평가 중에 인프라의 도메인과 IP 주소가 고려됩니다.
내 도메인 목록
이러한 도메인은 사용자 자신의 도메인으로 간주됩니다. Active Directory에서 자동으로 로드된 도메인 외에도 평가 중에 사용할 도메인을 추가합니다. 보낸 사람의 도메인은 이러한 목록에 있는 도메인과 비교됩니다. 도메인이 일치하지 않는 경우, 메시지는 유효합니다. 도메인이 일치하는 경우, 보낸 사람 주소에서 내 도메인으로 들어오는 이메일 활성화에 따라 추가 확인이 수행됩니다.
내 IP 주소 목록
신뢰할 수 있는 것으로 간주되는 IP 주소입니다. 내부 인프라의 일부로 표시되는 무시된 IP 목록의 IP 외에도 평가 중에 사용할 IP 주소를 추가합니다. 보낸 사람의 봉투 IP 주소는 이러한 목록에 있는 IP와 비교됩니다. 봉투 IP 주소가 일치하는 경우, 메시지는 유효합니다. IP가 일치하지 않는 경우, 메시지는 스푸핑되고 동작이 수행됩니다.