寄件者詐騙防護
當攻擊者偽造寄件者的名稱或電子郵件地址以欺騙收件者時,電子郵件寄件者詐騙是很常見的。對於電子郵件收件者,詐騙電子郵件似乎難以與真實的電子郵件進行區分,這造成了風險。有一種寄件者詐騙稱為「執行長詐騙」(攻擊者冒充執行長)。
員工不會懷疑電子郵件,而讓攻擊者有機可乘。這並非執行長獨有。寄件者詐騙時常冒充真正的寄件者,通常是貴組織 Active Directory 中的某個人。然而對不知情的收件者來說,詐騙電子郵件看起來非常具說服力,很容易獲得信任。
ESET Mail Security 為您提供針對電子郵件寄件者詐騙的防護。寄件者詐騙防護使用幾種方法來驗證寄件者的資訊是否有效。
寄件者詐騙防護會尋找 "開始時間:" 電子郵件檔頭欄位和信封寄件者中包含的網域,然後比對所找到的網域與網域清單。如果網域不同,郵件會被視為有效 (不是詐騙),並由其他 ESET Mail Security 防護層進一步處理。但是,如果網域與清單上的網域相符,則可能是詐騙且需要進一步驗證。
根據設定,將執行進一步驗證:SPF 檢查,根據 IP 清單檢查信封 IP 位址,或自動將郵件視為詐騙。如果 SPF 檢查結果為通過,或者信封 IP 與清單中的 IP 相符,則為有效郵件;如果不相符,則為詐騙郵件。已對詐騙郵件採取處理方法。
您可透過兩種方式使用寄件者詐騙防護:
•啟用 [寄件者詐騙防護]、 配置其設定,以及選擇性地指定網域和 IP 清單。詐騙電子郵件的預設處理方法為 [隔離郵件]。若要變更所採取的處理方法,請移至郵件傳輸防護進階設定。
•使用郵件傳輸防護規則:SPF 結果 - From 檔頭或 [信封寄件者和 From 檔頭比較結果] 條件,並採取您所選擇的處理方法。如果想要達成有關詐騙電子郵件的特定行為,規則會為您提供更多選項和組合。
使用寄件者詐騙防護時,或者如果指定了規則處理方法類型 [事件記錄],則寄件者詐騙防護評估的所有郵件都會記錄在防護記錄檔案中。同樣地,當處理方法在郵件傳輸防護中設定為 [隔離郵件] 或已定義於規則中,您即可在郵件隔離區中尋找詐騙電子郵件。
啟用寄件者詐騙防護
啟動寄件者詐騙防護,以防止試圖誤導收件者有關郵件來源 (詐騙寄件者) 的電子郵件攻擊。
啟用寄件者地址中具有我自己網域的傳入電子郵件
允許進一步驗證 "From:" 電子郵件檔頭或信封寄件者中包含您自己網域的郵件 (因此懷疑是詐騙):
•只有當郵件通過 SPF 檢查時 – 仰賴所啟用的 SPF。如果 SPF 結果為通過,則會將郵件視為有效並加以處理以便傳遞。如果 SPF 結果為失敗,則為詐騙郵件 (採取處理方法)。或者,您可以啟用若 SPF 檢查失敗,則自動拒絕郵件。
•只有當 IP 位址位於基礎架構 IP 清單上時 – 比較信封 IP 位址與 IP 清單 (您自己 IP 位址的清單和標示為 [為內部基礎架構的一部分] 的略過的 IP 清單)。如果 IP 相符,則郵件有效並加以處理以便傳遞。如果 IP 不相符,則為詐騙郵件,而且會採取處理方法。
•從不 – 如果傳入的郵件在 電子郵件檔頭或信封寄件者中包含您自己的網域,則會自動將其視為詐騙郵件,而不需進一步驗證。已對郵件採取處理方法;請參閱郵件傳輸防護中的處理方法選項。
從已接受的網域清單自動載入您自己的網域
我們強烈建議您啟用此選項,以保持最高層級的防護。如此一來,寄件者詐騙防護會在評估期間考量來自您基礎架構的網域和 IP 位址。
我自己的網域清單
這些網域被視為您自己的網域。除了從 Active Directory 自動載入的網域,新增將在評估期間使用的網域。寄件者的網域會與這些清單中的網域進行比對。如果網域不相符,則為有效郵件。如果網域相符,則根據 [啟用寄件者地址中具有我自己網域的傳入電子郵件] 設定執行進一步驗證。
我自己的 IP 位址清單
視為可信的 IP 位址。除了標示為 [為內部基礎架構的一部分] 的略過的 IP 清單上的 IP,新增將在評估期間使用的 IP 位址。寄件者的信封 IP 位址與這些清單中的 IP 位址進行比對。如果信封 IP 位址相符,則為有效郵件。如果 IP 不相符,則為詐騙郵件,而且會採取處理方法。