Ochrana proti podvržení odesílatele
Techniku podvržení identity odesílatele (známou jako spoofing) využívají útočníci k úmyslné změně jména nebo e-mailové adresy odesílatele za účelem oklamání příjemce e-mailu. Pro příjemce je podvržená zpráva nerozeznatelná od pravé, což představuje riziko. Jedním z takových útoků je tzv. CEO podvod, při kterém se útočník vydává za generálního ředitele společnosti. Útočnici jsou v tomto případě velmi úspěšní, protože zaměstnanci nemají důvod pochybovat o zprávách zasílaných vedením společnosti a otevřou je. Při tomto typu útoku se nefalšuje pouze identita generálního ředitele. Útočník se může vydávat za jakoukoli skutečnou osobu z vaší organizace (Active Directory). Podvržená zpráva působí na příjemce velmi přesvědčivě, díky čemuž si útočník snadno získá jeho důvěru.
ESET Mail Security poskytuje ochranu proti tomuto způsobu útoku. Ochrana proti podvržení odesílatele pomocí několika metod ověřuje, zda je informace o odesílateli pravdivá.
Ochrana proti podvržení odesílatele vyhledává v hlavičce "From:" nebo obálce odesílatele doménu a následně ji porovnává vůči seznamu vámi vlastněných domén. Pokud se doména neshoduje, zpráva je považována za legitimní a předána ke zpracování dalším vrstvám ochrany zajišťovaných produktem ESET Mail Security. V případě, že se doména na seznamu nachází, může být zpráva považována za podvrženou a je vyžadována její další klasifikace.
Způsob dodatečné kvalifikace můžete kdykoli ovlivnit v nastavení produktu: provede se kontrola SPF, vyhodnotí se, zda se IP adresa odesílatele obálky nachází na seznamu vašich IP adres, nebo je zpráva automaticky považována za podvrženou. V případě, že je výsledek SPF kontroly úspěšný, případně se IP adresa odesílatele obálky nachází na seznamu vašich IP adres, je zpráva považována za legitimní; v opačném případě jako podvržená. Následně se s podvrženou zprávou provede definovaná akce.
Ochranu proti podvržení odesílatele můžete používat dvěma způsoby:
•V nastavení produktu zapněte a nakonfigurujte Ochranu proti podvržení odesílatele, kdy volitelně definujte seznamu vámi vlastněných domén a IP adres. Ve výchozím nastavení se podezřelé zprávy přesouvají do karantény. Definovanou akci můžete změnit v nastavení ochrany transportu zpráv.
•Při definování pravidel na transportní vrstvě využijte podmínku Výsledek SPF – Hlavička From nebo Výsledek porovnání odesílatele obálky a hlavičky From a následně si vyberte akci dle svých představ. Pravidla poskytují robustní možnosti a množství kombinací k filtrování zpráv, proto s jejich pomocí dosáhnete požadovaného zacházení s podvrženými zprávami.
Pokud je zpráva zachycena ochranou proti podvržení odesílatele, případně jste při definování pravidla nastavili akci Zapsat do protokolu, informaci o podvržených zprávách naleznete v protokolech. Pokud v nastavení ochrany transportu zpráv, nebo vámi vytvořeném pravidle, máte aktivní přesouvání zpráv do karantény, podvržené zprávy naleznete v Karanténě zpráv
Zapnout ochranu proti podvržení odesílatele
Po aktivování této možnosti zabráníte útočníkům v oklamání příjemce zfalšováním údajů o původu zprávy (spoofed sender).
Přijímat příchozí zprávy obsahující mou doménu uvedenou v adrese odesílatele
Pomocí této možnosti se rozhodněte, jakým způsobem chcete klasifikovat zprávy, v jejichž hlavičkách "From:" nebo odesílateli obálky je uvedena vámi vlastněná doména:
•Pouze při úspěšné SPF kontrole – pro použití této možnosti musí být aktivována SPF kontrola. V případě, že je výsledek SPF kontroly úspěšný, zpráva je považována za legitimní a zpracována k dalšímu doručení. Při neúspěšné SPF kontrole je zpráva považována za podvrženou a provede se s ní definovaná akce. Volitelně můžete aktivovat možnost Automaticky zamítnout zprávu, pokud nebyla SPF kontrola úspěšná.
•Pouze v případě, že se IP adresa nachází na seznamu IP adres infrastruktury – při vybrání této možnosti se porovná IP adresa odesílatele obálky vůči seznamu IP adres (seznam vámi vlastněných IP adres a seznamm ignorovaných IP adres označených jako Jedná se o část interní infrastruktury). V případě, že se IP adresa odesílatele obálky shoduje, zpráva je považována za legitimní a zpracována k dalšímu doručení. Pokud se IP adresa na některém ze seznamů nenachází, zpráva je považována za podvrženou a provede se s ní definovaná akce.
•Nikdy – pokud bude v hlavičce "From:" nebo odesílateli obálky uvedena vaše doména, zpráva bude automaticky považována za podvrženou a nebude dále vyhodnocována. Se zprávou se provede definovaná akce dle nastavení ochrany transportu zpráv.
Automaticky načítat mé domény ze seznamu Akceptovaných domén
Pro zajištění nejvyšší úrovně ochrany doporučujeme ponechat tuto možnost zapnutou. Zajistíte tím, že při klasifikaci zpráv se vezmou v potaz domény a IP adresy z vaší infrastruktury.
Seznam mých domén
Seznam domén považované za vámi vlastněné. Na tento seznam přidejte domény, které chcete zahrnout do vyhodnocování společně s doménami načtenými z Active Directory. Domény odesílatele je porovnávána vůči těmto seznamům. V případě, že se doména neshoduje, zpráva je považována za legitimní. Pokud se doména nachází na některém ze seznamů, dále se v rámci klasifikace provede definovaná akce dle nastavení Přijímat příchozí zprávy obsahující mou doménu uvedenou v adrese odesílatele.
Seznam mých IP adres
Seznam IP adres považovaných za důvěryhodné. Na tento seznam přidejte IP adresy, které chcete zahrnout do vyhodnocování společně se seznamem ignorovaných IP adres označených jako Jedná se o část interní infrastruktury. IP adresa odesílatel obálky je porovnávána vůči těmto seznamům IP adres. V případě, že se IP adresa odesílatele obálky shoduje, zpráva je považována za legitimní. Pokud se IP adresa na některém ze seznamů nenachází, zpráva je považována za podvrženou a provede se s ní definovaná akce.