ESETオンラインヘルプ

トピックを選択

送信者スプーフィング保護

電子メール送信者のスプーフィングは、攻撃者が受信者を騙すために送信者の名前または電子メールアドレスを偽装するときに使用される一般的な方法です。電子メールの受信者にとっては、偽装された電子メールは本物の電子メールと区別がつかない可能性があり、リスクを伴います。送信者スプーフィングの種類の1つとして、CEO詐欺(攻撃者がCEOを偽装する)があります。

従業員はこのような電子メールを不審に思わずに、攻撃者の侵入を許可してしまいます。これはCEOだけではありません。送信者のスプーフィングは、多くの場合、実際の送信者(通常は組織のActive Directory内の個人)を偽装します。偽装された電子メールメッセージは不信感がない受信者にとって非常に説得力があるように思われ、簡単に信頼を得ることができます。

ESET Mail Securityは電子メール送信者のスプーフィングに対する保護を提供します。送信者スプーフィング保護は、送信者の情報が複数の方法で有効であるかどうかを検証します。

送信者スプーフィング保護は、「From:」電子メールヘッダーフィールドとエンベロープ送信者に含まれるドメインを確認してから、見つかったドメインをドメインリストと比較します。ドメインが異なる場合、メッセージは有効(偽装されていない)と見なされ、他のESET Mail Security保護レイヤーによって処理されます。ただし、ドメインがリストのドメインと一致する場合は、偽装されている可能性があり、さらなる検証が必要です。

設定に応じて、さらなる検証としてSPFチェックが実行され、エンベロープIPアドレスがIPリストに対してチェックされます。あるいは、メッセージは自動的に偽装されたと見なされます。SPFチェックの結果が合格か、エンベロープIPがリストのIPと一致する場合、メッセージは有効です。そうでない場合は、偽装されています。偽装されたメッセージでアクションが実行されます。

送信者スプーフィング保護は、次の2つの方法で使用できます。

送信者スプーフィング保護を有効にし、設定を構成し、任意でドメインとIPリストを指定します。偽装された電子メールメッセージの既定のアクションはメッセージの隔離です。実行されるアクションを変更するには、メール転送保護詳細設定に移動します。

メール転送保護ルールを使用します。SPF結果 - Fromヘッダーまたはエンベロープ送信者とFromヘッダー比較結果条件とともに選択したアクションを使用します。偽装された電子メールメッセージに関する特定の動作を実現する場合は、さまざまなルールのオプションと組み合わせを使用できます。

送信者スプーフィング保護が使用される場合、またはルールアクションタイプのイベントに記録が指定されている場合は、送信者スプーフィング保護によって評価されたすべてのメッセージがログファイルに記録されます。同様に、アクションがメール転送保護メッセージの隔離に設定されているか、ルールで定義されている場合には、メール隔離で偽装された電子メールメッセージを検索できます。

送信者スプーフィング保護を有効にする

送信者スプーフィング保護を有効にし、メッセージの送信元を受信者に誤解させようとする電子メール攻撃を防止します(偽装された送信者)。

送信者のアドレスに自分のドメインが入った受信電子メールを有効にする

"From:"電子メールヘッダーまたはエンベロープ送信者に自分のドメインを含むメッセージ(偽装の疑いがある)をさらに検証できます。

SPFチェックに合格した場合のみ - SPFが有効であることに依存します。SPF結果が合格の場合、メッセージは有効であると見なされ、配信用に処理されます。SPF結果が失敗した場合、メッセージは偽装されています(アクションが実行されます)。任意で、SPFチェックで問題があった場合はメッセージを自動的に拒否するを有効にできます。

IPがインフラストラクチャIPリストにあるときにのみ - エンベロープIPアドレスをIPリストと比較します(自分のIPアドレスのリストと、内部インフラストラクチャの一部としてマークされた無視されたIPリスト)。IPが一致する場合、メッセージは有効で、配信用に処理されます。IPが一致しない場合、メッセージは偽装されています。アクションが実行されます。

なし - 受信メッセージに電子メールヘッダーまたはエンベロープ送信者に自分のドメインがある場合は、さらに検証せずに、自動的に偽装であると見なされます。メッセージでアクションが実行されます。アクションのオプションについては、メール転送保護を参照してください。

許可されたドメインリストから自動的に自分のドメインを読み込む

最高レベルの保護を維持するために、このオプションを常に有効にすることを強くお勧めします。この方法では、ご使用のインフラストラクチャからのドメインとIPアドレスが、送信者スプーフィング保護によって評価中に考慮されます。

自分のドメインのリスト

これらのドメインは自分のドメインと見なされます。評価中に使用されるドメインと、Active Directoryから自動的に読み込まれたドメインを追加します。送信者のドメインは、これらのリストのドメインと比較されます。ドメインが一致しない場合、メッセージは有効です。ドメインが一致する場合は、送信者のアドレスに自分のドメインが入った受信電子メールを有効にする設定に従って、さらなる検証が実行されます。

自分のIPアドレスのリスト

信頼できると見なされるIPアドレス。評価中に使用されるIPアドレスと、内部インフラストラクチャの一部に設定された無視されたIPリストのIP を追加します。送信者のエンベロープIPアドレスは、これらのリストのIPアドレスに対して比較されます。エンベロープIPアドレスが一致する場合、メッセージは有効です。IPが一致しない場合、メッセージは偽装されています。アクションが実行されます。