Захист від підміни відправника
Підміна відправника електронної пошти — це поширена практика, коли зловмисник намагається обманути одержувача через підробку імені або адреси електронної пошти відправника. Для одержувача підроблений електронний лист не відрізняється від автентичного. Це становить ризик. Один із типів підробки відправника стосується випадків, коли зловмисник видає себе за директора компанії.
Зазвичай такі електронні листи не викликають підозр у співробітників, а це дає зловмиснику можливість успіху. Зловмисники видають себе не тільки за директорів. Вони можуть видавати себе за будь-якого реального відправника. Зазвичай це один із користувачів у домені Active Directory вашої організації. Підроблений електронний лист є дуже переконливим для одержувача, який не підозрює підробки. Таким чином зловмисники легко входять у довіру.
ESET Mail Security забезпечує захист від підміни відправника електронної пошти. Захист від підміни відправника кількома методами перевіряє, чи дійсна інформація про відправника.
Захист від підміни відправника шукає домен, що міститься в полі заголовка електронного листа «Від:» і відправнику конверта, а потім порівнює знайдений домен із доменами в списках. Якщо домен відрізняється, повідомлення вважається дійсним (не підробленим) і далі обробляється іншими рівнями захисту ESET Mail Security. Якщо домен знайдено в списку, відправник може бути підробленим і потребує додаткової перевірки.
Залежно від цього параметра виконується подальша перевірка (перевірка SPF, IP-адреса конверта перевіряється за списками IP-адрес) або повідомлення автоматично вважається підробленим. Якщо перевірка SPF повернула результат "Успішно" або IP-адреса конверта збігається з IP-адресою зі списку, повідомлення вважатиметься автентичним. В іншому разі воно вважатиметься підробленим. Дія, яка виконуватиметься по відношенню до підробленого повідомлення.
Захист від підміни відправника можна використовувати двома способами:
•Увімкніть захист від підміни відправника, налаштуйте його параметри й за потреби вкажіть домени або списки IP-адрес. Дія за замовчуванням, що застосовуватиметься до підроблених повідомлень: Відправити повідомлення в карантин. Щоб змінити цю дію, відкрийте розширені параметри Захист передачі пошти.
•Використовуйте правила захисту передачі пошти: Умови Результат перевірки SPF: заголовок From або Результат порівняння відправника конверта й заголовка From, відповідно до яких застосовується вибрана дія. Правила дають вам змогу вказати додаткові параметри й комбінації, якщо потрібно визначити певну поведінку щодо підроблених електронних листів.
Якщо використовується параметр "Захист від підміни відправника" або вибрано тип дії правила "Реєструвати як подію", усі повідомлення, оцінювані функцією захисту від підміни відправника, записуються у файли журналу. Аналогічним чином підроблені електронні листи можна знайти в поштовому карантині, якщо в розділі Захист передачі пошти або в правилах для дії визначено Відправити повідомлення в карантин.
Увімкнути захист від підміни відправника
Активуйте захист від підміни відправника, щоб запобігти атакам, які мають на меті ввести одержувачів повідомлення в оману відносно джерела повідомлення (підроблений відправник).
Увімкнути вхідні електронні листи з моїм власним доменом в адресі відправника
Дозвольте подальшу перевірку повідомлень, які в заголовку електронного листа "From:" або у відправнику конверта містять власний домен (такі повідомлення можуть бути підроблені).
•Тільки якщо вони пройшли перевірку SPF (має бути ввімкнуто SPF). Якщо SPF повертає результат "Pass", повідомлення вважається автентичним і оброблюється для доставки. Якщо SPF повертає результат "Неуспішно", повідомлення вважатиметься підробленим (застосовується відповідна визначена дія). Можна ввімкнути Автоматично відхиляти повідомлення, якщо перевірка SPF неуспішна.
•Тільки якщо IP-адреса входить до списку IP-адрес інфраструктури: IP-адреса конверта порівнюється з IP-адресами в списку (список ваших власних IP-адрес і список ігнорованих IP-адрес із позначенням Є частиною внутрішньої інфраструктури). Якщо IP-адреси збігаються, повідомлення є автентичним і оброблюється для доставки. Якщо IP-адреси немає в цих списках, повідомлення вважатиметься підробленим (застосовується відповідна визначена дія).
•Ніколи: якщо вхідне повідомлення містить власний домен у заголовку електронного листа або відправнику конверта, воно автоматично вважається підробленим без подальшої перевірки. До повідомлення буде застосовано дію. Доступні дії див. в розділі Захист передачі пошти.
Автоматично завантажувати мої власні домени зі списку допустимих доменів
Наполегливо рекомендуємо ввімкнути цей параметр, щоб зберегти найвищий рівень захисту. Таким чином, домени та IP-адреси з вашої інфраструктури враховуються під час оцінювання функцією захисту від підміни відправника.
Список моїх власних доменів
Ці домени вважаються вашими власними. Додайте домени, які будуть використовуватися під час оцінювання, на додаток до автоматично завантажених доменів з Active Directory. Домени відправників порівнюватимуться з доменами в цих списках. Якщо не буде знайдено такого домену, повідомлення вважатиметься автентичним. Якщо домен буде знайдено в списку, подальша перевірка виконуватиметься відповідно до параметра Увімкнути вхідні електронні листи з моїм власним доменом в адресі відправника.
Список моїх власних IP-адрес
IP-адреси, які вважаються надійними. Додайте IP-адреси, які використовуватимуться під час оцінювання, на додаток до IP-адрес у списку ігнорованих IP-адрес, що мають позначку Є частиною внутрішньої інфраструктури. IP-адреса конверта відправника порівнюється з IP-адресами в цих списках. Якщо IP-адреса конверта є в цих списках, повідомлення вважатиметься дійсним. Якщо IP-адреси немає в цих списках, повідомлення вважатиметься підробленим (застосовується відповідна визначена дія).