Ochrona przed fałszywym nadawcą
Podszywanie się pod nadawcę wiadomości e-mail jest powszechną praktyką, w ramach której osoba atakująca fałszuje nazwisko lub adres e-mail nadawcy, aby oszukać odbiorcę. Dla odbiorcy wiadomości e-mail taka sfałszowana wiadomość jest nie do odróżnienia od prawdziwej, co stwarza ryzyko. Jednym z rodzajów ataku typu podszywanie się pod nadawcę jest tzw. oszustwo na prezesa (osoba atakująca podszywa się pod prezesa).
Pracownicy nie będą kwestionować takiej wiadomości e-mail, dzięki czemu osoba atakująca może odnieść sukces. Nie dotyczy to wyłącznie CEO. Podszywanie się pod nadawcę często dotyczy prawdziwego nadawcy, zwykle kogoś z Active Directory organizacji. Sfałszowana wiadomość e-mail wygląda wtedy bardzo przekonująco dla niczego nie podejrzewającego odbiorcy, łatwo zdobywając jego zaufanie.
ESET Mail Security zapewnia ochronę przed podszywaniem się pod nadawcę. Ochrona przed fałszywym nadawcą sprawdza przy użyciu kilku metod, czy informacje o nadawcy są prawidłowe.
Sprawdzana jest domena podana w polu „Od:” nagłówka wiadomości e-mail oraz dane nadawcy z koperty, a następnie są one porównywane z listami domen. Jeśli domeny nie ma na liście podejrzanych, wiadomość jest uznawana za prawidłową (niesfałszowaną) i jest dalej przetwarzana przez inne warstwy ochrony ESET Mail Security. Jeśli jednak domena figuruje na liście, wiadomość może być sfałszowana i wymaga dalszej weryfikacji.
W zależności od ustawień przeprowadzana jest dalsza weryfikacja: następuje sprawdzenie SPF, adres IP z koperty jest sprawdzany względem list adresów IP lub wiadomość jest automatycznie uznawana za sfałszowaną. Jeśli wynik sprawdzania SPF jest pomyślny lub adres IP z koperty pasuje do adresu IP z listy, wiadomość jest prawidłowa, a jeśli nie, to jest sfałszowana. W odniesieniu do sfałszowanej wiadomości podejmowana jest stosowna czynność.
Z ochrony przed fałszowaniem nadawców można skorzystać na dwa sposoby:
•Włącz ochronę przed fałszywymi nadawcami, skonfiguruj jej ustawienia i opcjonalnie określ domeny i listy adresów IP. Domyślnym działaniem w odniesieniu do wiadomości ze sfałszowanym nadawcą jest poddanie jej w kwarantannie. Aby zmienić to działanie na inne, przejdź do ustawień zaawansowanych ochrony transportu poczty.
•Użyj reguł ochrony przesyłania poczty: Wynik kontroli SPF — pole From z nagłówka lub warunek Wynik porównania nadawcy z koperty i nagłówka From z wybranym przez siebie działaniem. Reguły zapewniają więcej opcji i kombinacji, jeśli chcesz osiągnąć określone zachowanie dotyczące fałszywych wiadomości e-mail.
Gdy używana jest ochrona przed fałszywym nadawcą lub jeśli określono typ akcji Zapisz w dzienniku zdarzeń, wszystkie wiadomości, które zostały ocenione przez ochronę przed fałszywym nadawcą są rejestrowane w plikach dziennika. Podobnie, fałszywe wiadomości e-mail można znaleźć w kwarantannie poczty, gdy akcja jest ustawiona na Poddaj wiadomość kwarantannie w ochronie transportu poczty lub zdefiniowana w regułach.
Włącz ochronę przed fałszywymi nadawcami
Aktywuj ochronę przed fałszywym nadawcą, aby zapobiec atakom na pocztę e-mail, które próbują wprowadzić odbiorców w błąd co do pochodzenia wiadomości (poprzez podszywanie się pod nadawcę).
Odbieraj przychodzące wiadomości e-mail z własną domeną w adresie nadawcy
Zezwalaj na dalszą weryfikację wiadomości zawierających Twoją domenę w polu "From:" nagłówka wiadomości e-mail lub w nadawcy z koperty (czyli podejrzane o to, że są sfałszowane):
•Tylko wtedy, gdy przejdą kontrolę SPF — kontrola SPF musi być włączona. Jeśli wynik SPF jest pomyślny, wiadomość jest uznawana za prawidłową i przetworzona do dostarczenia. Jeśli wynik SPF zakończy się niepowodzeniem, wiadomość jest sfałszowana (ma miejsce działanie). Opcjonalnie możesz włączyć ustawienie Automatycznie odrzucaj wiadomości, gdy kontrola SPF zakończy się niepowodzeniem.
•Tylko wtedy, gdy adres IP znajduje się na liście IP infrastruktury — porównuje adres IP z koperty z listami adresów IP (lista moich własnych adresów IP i lista ignorowanych adresów IP oznaczone jako jest częścią infrastruktury wewnętrznej). Jeśli adres IP jest zgodny, wiadomość jest prawidłowa i przetworzona do dostarczenia. Jeśli adresu IP nie ma na liście, wiadomość jest sfałszowana i ma miejsce działanie.
•Nigdy — jeśli wiadomość przychodząca zawiera Twoją domenę w polu „Od:” nagłówka wiadomości e-mail lub nadawcy z koperty, jest automatycznie uważana za sfałszowaną bez dalszej weryfikacji. Podejmowane jest działanie z komunikatem. Zobacz Ochrona transportu poczty, aby poznać dostępne działania.
Automatycznie ładuj własne domeny z listy Zaakceptowane domeny
Zdecydowanie zalecamy, aby ta opcja była włączona, aby zachować najwyższy poziom ochrony. W ten sposób domeny i adresy IP z infrastruktury są uwzględniane podczas oceny wiadomości przez funkcję ochrony przed fałszywym nadawcą.
Lista własnych domen
Te domeny są uważane za Twoje. Dodaj domeny, które będą używane podczas oceny, oprócz domen wczytywanych automatycznie z usługi Active Directory. Domeny nadawcy będą porównywane z domenami na tych listach. Jeśli domeny nie ma na liście, wiadomość jest prawidłowa. Jeśli domena figuruje na liście, jest przeprowadzana dalsza weryfikacja, zgodnie z ustawieniem Odbieraj przychodzące wiadomości e-mail z własną domeną w adresie nadawcy.
Lista własnych adresów IP
Adresy IP, które są uważane za wiarygodne. Dodaj adresy IP, które będą używane podczas oceny, oprócz adresów IP na liście Ignorowane adres IP oznaczonych jako jest częścią infrastruktury wewnętrznej. Adres IP nadawcy z koperty jest porównywany z adresami IP na tych listach. Jeśli adres IP z koperty figuruje na liście, wiadomość jest prawidłowa. Jeśli adresu IP nie ma na liście, wiadomość jest sfałszowana i ma miejsce działanie.