ESET 联机帮助

搜索 简体字
选择主题

发件人电子欺诈防护

电子邮件发件人电子欺诈常见于攻击者通过伪造发件人姓名或电子邮件地址欺骗收件人。对于电子邮件收件人来说,看起来与真实电子邮件并无二致的欺诈电子邮件会带来风险。一类发件人电子欺诈称为 CEO 欺骗(攻击者冒充 CEO)。

员工不会质疑此类电子邮件,从而使攻击者能够欺骗得手。这并非专门以 CEO 为冒充对象。发件人电子欺诈通常会冒充任何真实的发件人,通常是您组织的 Active Directory 中的某个人。然后,欺诈电子邮件对于毫无戒心的收件人看起来非常有说服力,很容易获得信任。

ESET Mail Security 会为您提供针对电子邮件发件人电子欺诈的保护。发件人电子欺诈防护会使用多种方法来验证发件人的信息是否有效。

发件人电子欺诈防护会查找 "从:" 电子邮件标头字段和信封发件人中包含的域,然后将找到的域与域列表进行比较。如果域不同,则邮件会被视为有效(非欺诈)邮件,然后由其他 ESET Mail Security 保护层进一步处理。但是,如果域与列表中的域相匹配,则它可能是欺诈域,需要进一步验证。

根据设置,将执行进一步验证:SPF 检查、根据 IP 列表检查信封 IP 地址,或者邮件被自动视为欺诈邮件。如果 SPF 检查结果为通过,或者信封 IP 与列表中的 IP 相匹配,则邮件有效;如果不是,它是欺诈邮件。将对欺诈邮件采取操作。

可以通过以下两种方式使用发件人电子欺诈防护:

启用发件人电子欺诈防护、配置其设置,以及(可选)指定域和 IP 列表。针对欺诈电子邮件的默认操作是隔离邮件。要更改将采取的操作,请转到邮件传输防护高级设置。

使用邮件传输防护规则SPF 结果 - From 标头信封发件人和 From 标头比较结果条件以及所选的操作。如果要就欺诈电子邮件实现特定行为,规则会为您提供更多选项和组合。

如果使用“发件人电子欺诈防护”,或指定规则操作类型记入事件,则“发件人电子欺诈防护”已评估的所有邮件都将记录到日志文件中。同样地,当操作设置为隔离邮件(在邮件传输防护中)或规则中所定义的“隔离邮件”时,可以在邮件隔离中找到欺诈电子邮件。

启用发件人电子欺诈防护

激活发件人电子欺诈防护,以防止试图就邮件来源误导收件人的电子邮件攻击(冒充发件人)。

在发件人地址中启用具有自己域的传入电子邮件

允许进一步验证在 "From:" 电子邮件标头或信封发件人中包含您自己的域的邮件(因此疑遭冒充):

仅当邮件通过 SPF 检查时 - 依赖于 SPF 已启用。如果 SPF 结果为通过,则邮件将视为有效,并进行处理以发送。如果 SPF 结果为失败,则邮件为欺诈邮件(将采取操作)。可以选择启用自动拒绝接收邮件(如果 SPF 检查失败)

仅当 IP 地址在基础架构 IP 列表中时 - 将信封 IP 地址与 IP 列表进行比较(您自己的 IP 地址列表和标记为属于内部基础架构一部分忽略的 IP 列表)。如果 IP 匹配,则邮件有效,并进行处理以发送。如果 IP 不匹配,则邮件为欺诈邮件,并将采取操作

从不 - 如果传入邮件在 电子邮件标头或信封发件人中包含您自己的域,则该邮件将自动视为欺诈邮件,而无需进一步验证。将对该邮件采取操作;请参阅邮件传输防护以查看操作选项。

从“接受的域”列表自动加载您自己的域

强烈建议您启用此选项,以持续提供最高级别的防护。这样一来,发件人电子欺诈防护在评估期间会考虑来自您基础架构的域和 IP 地址。

我自己的域列表

这些域会被视为您自己的域。添加将在评估期间所用的域,以及从您的 Active Directory 自动加载的域。发件人的域将与这些列表中的域进行比较。如果域不匹配,则邮件有效。如果域匹配,则根据在发件人地址中启用具有自己域的传入电子邮件设置执行进一步验证。

我自己的 IP 地址列表

视为受信任地址的 IP 地址。添加将在评估期间所用的 IP 地址,以及标记为属于内部基础架构一部分忽略的 IP 列表上的 IP。发件人的信封 IP 地址会与这些列表中的 IP 进行比较。如果信封 IP 地址匹配,则邮件有效。如果 IP 不匹配,则邮件为欺诈邮件,并将采取操作