Ochrana pred sfalšovaním identity odosielateľa
Falšovanie identity odosielateľa (v angličtine „spoofing“) je rozšírenou technikou, pri ktorej útočník úmyselne mení meno alebo e‑mailovú adresu odosielateľa v snahe oklamať príjemcu e‑mailu. Riziko spočíva v tom, že pre príjemcu nie je ľahké rozoznať takýto falošný e‑mail od pravého. Jedným z takýchto útokov je aj tzv. CEO podvod, pri ktorom sa útočník vydáva za generálneho riaditeľa spoločnosti.
E‑maily od riaditeľa zvyknú zamestnanci otvárať bez väčších pochybností, vďaka čomu je takýto útok častokrát úspešný. Nevyužíva sa však pri ňom len osoba generálneho riaditeľa. Útočník sa často vydáva za akéhokoľvek skutočného odosielateľa, zvyčajne niekoho zo služby Active Directory vašej organizácie. Sfalšovaná e‑mailová správa vyzerá veľmi presvedčivo a u príjemcu nevyvolá žiadne podozrenie.
ESET Mail Security vás chráni pred sfalšovaním identity odosielateľa e‑mailu. Ochrana pred sfalšovaním identity odosielateľa pomocou niekoľkých metód preveruje, či sú informácie o odosielateľovi pravdivé.
Ochrana pred sfalšovaním identity odosielateľa vyhľadá doménu uvedenú v poli „From:“ v hlavičke e‑mailu a v odosielateľovi obálky a následne porovná nájdenú doménu so zoznamami domén. Ak sa v zoznamoch nenájde zhodná doména, správa sa považuje za legitímnu (nesfalšovanú) a je ďalej spracovaná ďalšími vrstvami ochrany programu ESET Mail Security. Ak sa však doména zhoduje s niektorou z domén v zozname, môže ísť o e‑mail so sfalšovaným odosielateľom a bude potrebné ďalšie preverenie.
V závislosti od nastavenia sa vykoná ďalšie overovanie: prebehne kontrola SPF, IP adresa odosielateľa obálky sa porovná so zoznamom IP adries, prípadne sa správa automaticky vyhodnotí ako sfalšovaná. Ak e‑mail úspešne prejde kontrolou SPF alebo IP adresa odosielateľa obálky zodpovedá IP adrese zo zoznamu, správa je legitímna. V opačnom prípade ide o e‑mailovú správu so sfalšovaným odosielateľom. S takouto správou sa vykoná nastavená akcia.
Ochranu pred sfalšovaním identity odosielateľa je možné použiť dvoma spôsobmi:
•Zapnite Ochranu pred sfalšovaním identity odosielateľa, nakonfigurujte jej nastavenia a voliteľne upravte zoznamy domén a IP adries. S e‑mailovými správami so sfalšovaným odosielateľom sa predvolene vykoná akcia Presunúť správu do karantény. Ak chcete zvoliť inú akciu, prejdite do rozšírených nastavení Ochrany prenosu e‑mailov.
•Otvorte pravidlá Ochrany prenosu e‑mailov, nastavte pravidlo s podmienkou: Výsledok SPF – Hlavička From alebo Výsledok porovnania odosielateľa obálky a hlavičky From a následne vyberte preferovanú akciu. Prostredníctvom pravidiel je možné pri e‑mailoch so sfalšovaným odosielateľom dosiahnuť špecifické správanie, keďže pravidlá poskytujú viac rôznych možností a kombinácií.
Ak sa používa Ochrana pred sfalšovaním identity odosielateľa alebo ak je nastavené pravidlo s akciou Zapísať do protokolu udalostí, všetky správy, ktoré boli vyhodnotené Ochranou pred sfalšovaním identity odosielateľa, sa zaznamenajú do protokolov. Podobne, ak je v rámci Ochrany prenosu e-mailov alebo v pravidlách nastavená akcia Presunúť správu do karantény, e‑maily so sfalšovaným odosielateľom nájdete v E-mailovej karanténe.
Zapnúť ochranu pred sfalšovaním identity odosielateľa
Aktivujte ochranu pred sfalšovaním identity odosielateľa, aby ste zabránili e‑mailovým útokom, ktoré sa snažia oklamať príjemcu správy o pôvode správy tým, že falšujú informácie o odosielateľovi.
Povoliť prichádzajúce e‑maily s mojou doménou uvedenou v adrese odosielateľa
Povoľte ďalšie preverenie prichádzajúcich správ, ktoré obsahujú vašu vlastnú doménu v hlavičke "From:" alebo v odosielateľovi obálky:
•Iba ak úspešne prejdú cez kontrolu SPF – pri tejto možnosti sa vychádza z aktívnej kontroly SPF. Ak správa úspešne prejde kontrolou SPF, považuje sa za legitímnu a je spracovaná na doručenie. Ak je výsledok kontroly SPF neúspešný, ide o sfalšovanú správu a vykoná sa nastavená akcia. Voliteľne môžete zapnúť funkciu Automaticky odmietnuť správu, ak nebola SPF kontrola úspešná.
•Iba ak je IP adresa uvedená na zozname IP adries infraštruktúry – porovná IP adresu odosielateľa obálky so zoznamami IP adries (zoznam vašich IP adries a zoznam ignorovaných IP adries s označením Je súčasťou internej infraštruktúry). Ak sa nájde zhoda s IP adresou, správa sa považuje za legitímnu a je spracovaná na doručenie. Ak sa v zoznamoch nenájde zhodná IP adresa, ide o sfalšovanú správu a vykoná sa nastavená akcia.
•Nikdy – ak prichádzajúca správa obsahuje v hlavičke e‑mailu „From:“ alebo v odosielateľovi obálky vašu vlastnú doménu, automaticky sa považuje za sfalšovanú bez ďalšieho overovania. S takouto správou sa vykoná nastavená akcia; dostupné akcie nájdete v kapitole Ochrana prenosu e-mailov.
Automaticky načítať moje domény zo zoznamu Akceptovaných domén
Dôrazne odporúčame mať túto možnosť zapnutú, aby ste si zachovali najvyššiu úroveň ochrany. Zabezpečí sa tým, aby boli pri posudzovaní správ Ochranou pred sfalšovaním identity odosielateľa zohľadnené domény a IP adresy z vašej infraštruktúry.
Zoznam mojich domén
Tieto domény sa považujú za vaše vlastné. Pridajte domény, ktoré sa použijú pri posudzovaní správ spolu s automaticky načítanými doménami zo služby Active Directory. Doména odosielateľa sa porovná s doménami uvedenými v týchto zoznamoch. Ak sa nenájde zhoda, správa je legitímna. Ak sa v zoznamoch nájde zhodná doména, vykoná sa ďalšie overenie podľa nastavenia Povoliť prichádzajúce e‑maily s mojou doménou uvedenou v adrese odosielateľa.
Zoznam mojich IP adries
IP adresy, ktoré sa považujú za dôveryhodné. Pridajte IP adresy, ktoré sa použijú pri posudzovaní správ spolu s IP adresami v zozname ignorovaných IP adries s označením Je súčasťou internej infraštruktúry. IP adresa odosielateľa obálky sa porovná s IP adresami uvedenými v týchto zoznamoch. Ak sa nájde zhoda, správa je legitímna. Ak sa v zoznamoch nenájde zhodná IP adresa, ide o sfalšovanú správu a vykoná sa nastavená akcia.