˄˅

寄件者詐騙防護

當攻擊者偽造寄件者的名稱或電子郵件地址以欺騙收件者時，電子郵件寄件者詐騙是很常見的。對於電子郵件收件者，詐騙電子郵件似乎難以與真實的電子郵件進行區分，這造成了風險。有一種寄件者詐騙稱為「執行長詐騙」(攻擊者冒充執行長)。

員工不會懷疑電子郵件，而讓攻擊者有機可乘。這並非執行長獨有。寄件者詐騙時常冒充真正的寄件者，通常是貴組織 Active Directory 中的某個人。然而對不知情的收件者來說，詐騙電子郵件看起來非常具說服力，很容易獲得信任。

ESET Mail Security 為您提供針對電子郵件寄件者詐騙的防護。寄件者詐騙防護使用幾種方法來驗證寄件者的資訊是否有效。

寄件者詐騙防護會尋找 "開始時間:" 電子郵件檔頭欄位和信封寄件者中包含的網域，然後比對所找到的網域與網域清單。如果網域不同，郵件會被視為有效 (不是詐騙)，並由其他 ESET Mail Security 防護層進一步處理。但是，如果網域與清單上的網域相符，則可能是詐騙且需要進一步驗證。

根據設定，將執行進一步驗證：SPF 檢查，根據 IP 清單檢查信封 IP 位址，或自動將郵件視為詐騙。如果 SPF 檢查結果為通過，或者信封 IP 與清單中的 IP 相符，則為有效郵件；如果不相符，則為詐騙郵件。已對詐騙郵件採取處理方法。

您可透過兩種方式使用寄件者詐騙防護：

•啟用 [寄件者詐騙防護]、配置其設定，以及選擇性地指定網域和 IP 清單。詐騙電子郵件的預設處理方法為 [隔離郵件]。若要變更所採取的處理方法，請移至郵件傳輸防護進階設定。

•使用郵件傳輸防護規則：SPF 結果 - From 檔頭或 [信封寄件者和 From 檔頭比較結果] 條件，並採取您所選擇的處理方法。如果想要達成有關詐騙電子郵件的特定行為，規則會為您提供更多選項和組合。

使用寄件者詐騙防護時，或者如果指定了規則處理方法類型 [事件記錄]，則寄件者詐騙防護評估的所有郵件都會記錄在防護記錄檔案中。同樣地，當處理方法在郵件傳輸防護中設定為 [隔離郵件] 或已定義於規則中，您即可在郵件隔離區中尋找詐騙電子郵件。

啟用寄件者詐騙防護

啟動寄件者詐騙防護，以防止試圖誤導收件者有關郵件來源 (詐騙寄件者) 的電子郵件攻擊。

啟用寄件者地址中具有我自己網域的傳入電子郵件

允許進一步驗證 "From:" 電子郵件檔頭或信封寄件者中包含您自己網域的郵件 (因此懷疑是詐騙)：

•只有當郵件通過 SPF 檢查時 – 仰賴所啟用的 SPF。如果 SPF 結果為通過，則會將郵件視為有效並加以處理以便傳遞。如果 SPF 結果為失敗，則為詐騙郵件 (採取處理方法)。或者，您可以啟用若 SPF 檢查失敗，則自動拒絕郵件。

•只有當 IP 位址位於基礎架構 IP 清單上時 – 比較信封 IP 位址與 IP 清單 (您自己 IP 位址的清單和標示為 [為內部基礎架構的一部分] 的略過的 IP 清單)。如果 IP 相符，則郵件有效並加以處理以便傳遞。如果 IP 不相符，則為詐騙郵件，而且會採取處理方法。

•從不 – 如果傳入的郵件在電子郵件檔頭或信封寄件者中包含您自己的網域，則會自動將其視為詐騙郵件，而不需進一步驗證。已對郵件採取處理方法；請參閱郵件傳輸防護中的處理方法選項。

從已接受的網域清單自動載入您自己的網域

我們強烈建議您啟用此選項，以保持最高層級的防護。如此一來，寄件者詐騙防護會在評估期間考量來自您基礎架構的網域和 IP 位址。

我自己的網域清單

這些網域被視為您自己的網域。除了從 Active Directory 自動載入的網域，新增將在評估期間使用的網域。寄件者的網域會與這些清單中的網域進行比對。如果網域不相符，則為有效郵件。如果網域相符，則根據 [啟用寄件者地址中具有我自己網域的傳入電子郵件] 設定執行進一步驗證。

我自己的 IP 位址清單

視為可信的 IP 位址。除了標示為 [為內部基礎架構的一部分] 的略過的 IP 清單上的 IP，新增將在評估期間使用的 IP 位址。寄件者的信封 IP 位址與這些清單中的 IP 位址進行比對。如果信封 IP 位址相符，則為有效郵件。如果 IP 不相符，則為詐騙郵件，而且會採取處理方法。

˄˅