Bescherming tegen vervalsing van afzenders
Vervalsing van een e-mailafzender vindt doorgaans plaats wanneer een aanvaller de naam of het e-mailadres van de afzender vervalst met de bedoeling om de ontvanger te misleiden. Voor de ontvanger van de e-mail is een vervalste e-mail niet te onderscheiden van een echte e-mail, waardoor er een risico bestaat. Een bepaald type adresvervalsing wordt CEO-fraude genoemd (waarbij de aanvaller zich voordoet als de CEO).
Werknemers hebben meestal geen twijfels bij de e-mails, waardoor de aanval kan slagen. Dit is niet exclusief voor de CEO. Bij vervalsing van afzenders wordt vaak een echte afzender geïmiteerd, meestal iemand in de Active Directory van uw organisatie. Een vervalst e-mailbericht ziet er dan erg overtuigend uit voor een nietsvermoedende ontvanger. Het vertrouwen is gemakkelijk gewonnen.
ESET Mail Security biedt u bescherming tegen vervalsing van e-mailafzenders. De functie Bescherming tegen vervalsing van afzenders controleert op verschillende manieren of de gegevens van de afzender geldig zijn.
Bescherming tegen vervalsing van afzenders zoekt naar het domein in het veld „From:” van de koptekst en envelop van de e-mail, en vergelijkt het gevonden domein vervolgens met de domeinlijsten. Als het domein anders is, wordt het bericht als geldig beschouwd (niet-vervalst) en wordt het door andere ESET Mail Security-beveiligingslagen verder verwerkt. Als het domein echter overeenkomt met een domein op de lijst, kan het vervalst zijn en moet het verder worden geverifieerd.
Afhankelijk van de instelling wordt een verdere verificatie uitgevoerd: er wordt een SPF-controle uitgevoerd, het IP-adres van de envelop wordt gecontroleerd aan de hand van IP-lijsten of het bericht wordt automatisch als vervalst beschouwd. Als het resultaat van de SPF-controle bevredigend is of als het IP-adres van de envelop overeenkomt met een IP-adres op de lijst, is het bericht geldig. Zo niet, dan is het vervalst. Er wordt actie ondernomen op het vervalste bericht.
U kunt Bescherming tegen vervalsing van afzenders op twee manieren gebruiken:
•Schakel Beveiliging van afzendervervalsing in, configureer de instellingen en geef optioneel domeinen- en IP-lijsten op. De standaardactie bij vervalste e-mailberichten is Bericht in quarantaine plaatsen. Als u wilt wijzigen welke actie wordt ondernomen, gaat u in de Geavanceerde instellingen naar Beveiliging van e-mailtransport.
•Gebruik de regels voor de beveiliging van e-mailverkeer: de voorwaarde van SPF-resultaat - Uit koptekst of de voorwaarde van Vergelijkingsresultaat van Afzender envelop en Van-koptekst, met een actie van uw keuze. Regels bieden u meer opties en combinaties als u specifiek gedrag wilt bereiken met betrekking tot vervalste e-mailberichten.
Wanneer u gebruikmaakt van Bescherming tegen vervalsing van afzenders of als de regelactietype Registreren in gebeurtenissenlogboek is opgegeven, worden alle berichten die zijn beoordeeld door Bescherming tegen vervalsing van afzenders vastgelegd in de logboekbestanden. Op dezelfde manier kunt u vervalste e-mailberichten vinden in E-mailquarantaine wanneer er een actie is ingesteld op Bericht in quarantaine plaatsen in Beveiliging van e-mailtransport of als er een actie is gedefinieerd in regels.
Beveiliging van afzendervervalsing inschakelen
Activeer Bescherming tegen vervalsing van afzenders om e-mailaanvallen te voorkomen waarbij wordt geprobeerd geadresseerden te misleiden over de herkomst van een bericht (vervalste afzender).
Inkomende e-mails inschakelen met mijn eigen domein in het adres van de afzender
Toestaan dat berichten waarin uw eigen domein wordt vermeld in de koptekst "From:" van de e-mail of de envelop van de afzender (waarvan wordt vermoed dat ze zijn vervalst) verder worden geverifieerd:
•Alleen als ze slagen voor de SPF-controle – afhankelijk van ingeschakelde SPF. Als het SPF-resultaat positief is, wordt het bericht als geldig beschouwd en verwerkt om te worden bezorgd. Als het SPF-resultaat negatief is, is het bericht vervalst (actie wordt uitgevoerd). Eventueel kunt u Automatisch berichten afwijzen als SPF-controle is mislukt inschakelen.
•Alleen wanneer het IP-adres voorkomt in de IP-lijst van de infrastructuur: vergelijkt het IP-adres van de envelop met de IP-lijsten (een lijst met uw eigen IP-adressen en de Lijst met genegeerde IP-adressen worden gemarkeerd als Is onderdeel van interne infrastructuur). Als het IP-adres overeenkomt, is het bericht geldig en wordt het verwerkt om te worden bezorgd. Als het IP-adres niet overeenkomt, is het bericht vervalst en wordt er een actie uitgevoerd.
•Nooit - als in een inkomend bericht uw eigen domein wordt vermeld in de koptekst „From:” of de envelop van de afzender, wordt het automatisch als vervalst beschouwd zonder verder te worden geverifieerd. Er wordt actie ondernomen op het bericht; zie Beveiliging van e-mailtransport voor actieopties.
Laad automatisch mijn eigen domeinen uit de lijst Geaccepteerde domeinen
We raden u ten zeerste aan om deze optie ingeschakeld te laten om het hoogste beveiligingsniveau te behouden. Op deze manier wordt er tijdens de beoordeling of afzenders vervalst zijn rekening gehouden met de domeinen en IP-adressen van uw infrastructuur.
Lijst van mijn eigen domeinen
Deze domeinen worden beschouwd als uw eigen domeinen. Voeg domeinen toe die tijdens de beoordeling worden gebruikt, naast de domeinen die automatisch vanuit uw Active Directory worden geladen. Het domein of de domeinen van de afzender wordt/worden vergeleken met de domeinen in deze lijsten. Als het domein niet overeenkomt, is het bericht geldig. Als het domein overeenkomst, wordt verdere verificatie uitgevoerd volgens de instelling Inkomende e-mails inschakelen met mijn eigen domein in het adres van de afzender.
Lijst met mijn eigen IP-adressen
IP-adressen die als geloofwaardig worden beschouwd. Voeg IP-adressen toe die tijdens de beoordeling worden gebruikt, naast de IP-adressen op de Lijst met genegeerde IP-adressen die is gemarkeerd als Is onderdeel van interne infrastructuur. Het IP-adres van de envelop van de afzender wordt vergeleken met de IP-adressen op deze lijsten. Als het IP-adres van de envelop overeenkomt, is het bericht geldig. Als het IP-adres niet overeenkomt, is het bericht vervalst en wordt er een actie uitgevoerd.