Ajuda on-line ESET

Selecionar tópico

Proteção de falsificação do remetente

A falsificação de remetente e-mail é comum quando um invasor forja o nome ou endereço de e-mail do remetente para enganar o destinatário. Para o destinatário de e-mail, um e-mail falsificado parece indistinguível de um e-mail legítimo, representando um risco. Um tipo de fraude de remetente é chamada de fraude CEO (o invasor personifica o CEO).

Os funcionários não questionam esses e-mails, permitindo que o invasor seja bem sucedido. Isso não é exclusividade do CEO. A falsificação de remetente geralmente se passa por qualquer remetente real, geralmente alguém no Active Directory da sua organização. Uma mensagem de e-mail falsa então parece muito convincente para um destinatário sem suspeitas, e ganha facilmente a confiança.

O ESET Mail Security fornece proteção contra falsificação do remetente de e-mail. A proteção contra falsificação do remetente verifica se as informações do remetente são válidas usando vários métodos.

A proteção contra falsificação do remetente procura o domínio contido no campo “De:” do header do e-mail e no remetente do Envelope, e então compara o domínio encontrado com as listas de domínio. Se o domínio for diferente, a mensagem é considerada válida (não é falsificada) e é processada ainda mais por outras camadas de proteção do ESET Mail Security. Porém, se o domínio corresponde a um domínio na lista, ele pode ser falsificado e requer uma verificação posterior.

Dependendo da configuração, uma verificação posterior é realizada: uma verificação SPF, o endereço IP do envelope é verificado em relação a listas de IP ou a mensagem é considerada automaticamente como sendo falsa. Se o resultado da verificação SPF for aprovado, ou se o IP do Envelope for igual a um IP da lista, a mensagem é válida. Se não, ela foi falsificada. Uma ação é realizada com a mensagem falsificada.

Você pode usar a proteção de falsificação do remetente de duas formas:

Ative Proteção de falsificação do remetente, defina suas configurações e, opcionalmente, especifique domínios e listas de IP. A ação padrão com mensagens de e-mail falsificadas é Colocar a mensagem em quarentena. Para alterar qual ação será realizada, vá para as configurações avançadas da Proteção do transportador de e-mail.

Use as regras de proteção de transportador de e-mail: Resultado SPF – cabeçalho From ou Resultado da comparação do remetente do envelope e do cabeçalho From com uma ação sua escolha. As regras oferecem mais opções e combinações se você quiser atingir um comportamento específico em relação a mensagens de e-mail falsificadas.

Quando a Proteção de falsificação do remetente é usada, ou se um tipo de ação de regra Registrar para eventos for especificado, todas as mensagens que foram avaliadas pela Proteção de falsificação do remetente são registradas nos Arquivos de relatório. Similarmente, você pode encontrar mensagens de e-mail falsificadas na Quarentena de e-mail quando uma ação é definida como Colocar a mensagem em quarentena na Proteção de transporte de e-mail ou definida nas regras.

Ativar proteção de falsificação do remetente

Ative a proteção de remetente falsificado para impedir ataques de e-mail que tentam enganar os destinatários sobre a origem da mensagem (remetente falsificado).

Ativar e-mails de entrada com meu próprio domínio no endereço do remetente

Permitir que mensagens que contenham seu próprio domínio no cabeçalho de e-mail "From:" ou remetente do Envelope (portanto, com suspeita de que sejam falsificadas) sejam verificadas ainda mais:

Apenas quando forem aprovadas na verificação SPF – conta com o SPF estar ativado. Se o resultado SPF for aprovado, a mensagem é considerada válida e processada para entrega. Se o resultado SPF for reprovado, a mensagem será falsificada (a ação ocorre). Opcionalmente, você pode ativar Rejeitar automaticamente mensagens se a verificação SPF falhar.

Apenas quando o endereço IP está na lista de IP de infraestrutura – compara o endereço IP do Envelope com as listas de IP (uma lista de seus próprios endereços IP e a Lista de IP ignorado marcada como Parte da infraestrutura interna). Se houver correspondência de IP, a mensagem é válida e processada para entrega. Se não houver correspondência de IP, a mensagem será falsa e uma ação ocorrerá.

Nunca – se uma mensagem recebida tiver seu próprio domínio no cabeçalho de e-mail do ou no remetente do Envelope, ela é automaticamente considerada falsa sem ser verificada ainda mais. Uma ação será realizada com a mensagem; consulte Proteção de transportador de e-mail para opções de ação.

Carregar automaticamente meus próprios domínios da lista de Domínios aceitos

Recomendamos fortemente que você tenha essa opção ativada para manter o maior nível de proteção. Assim, os domínios e endereços IP da sua infraestrutura são considerados durante a avaliação pela proteção de falsificação do remetente.

Lista de meus próprios domínios

Esses domínios são considerados seus. Adicione domínios que serão usados durante a avaliação, além dos domínios carregados automaticamente do seu Active Directory. Os domínios do remetente serão comparados com os domínios dessas listas. Se o domínio não for correspondente, a mensagem é válida. Se o domínio for uma correspondência, uma verificação posterior é realizada de acordo com a configuração Ativar e-mails de entrada com meu próprio domínio no endereço do remetente.

Lista de meus próprios endereços IP

Endereços IP que são considerados verossímeis. Adicionar endereços IP que serão usados durante a avaliação, além de IPs na Lista de IP ignorado marcados como Faz parte da infraestrutura interna. O endereço IP do Envelope do remetente é comparado com os IPs nessas listas. Se houver correspondência do endereço IP do Envelope, a mensagem é válida. Se não houver correspondência de IP, a mensagem será falsa e uma ação ocorrerá.