Absender-Spoofing-Schutz

E-Mail-Absender-Spoofing ist eine gängige Praxis, bei der ein Angreifer den Namen oder die E-Mail-Adresse des Absenders fälscht, um den Empfänger zu täuschen. Für den Empfänger der E-Mail unterscheidet sich eine solche gefälschte E-Mail nicht von einer echten E-Mail, was ein Risiko darstellt. Eine Art von Absender-Spoofing wird als CEO-Betrug bezeichnet (Angreifer gibt sich als CEO aus). Mitarbeiter hinterfragen eine solche E-Mail nicht, wodurch der Angreifer erfolgreich sein kann. Dies gilt nicht nur für den CEO, beim Absender-Spoofing wird sich oft als beliebiger echter Absender ausgegeben, in der Regel als eine Person innerhalb des Active Directory Ihres Unternehmens. Eine gefälschte E-Mail sieht dann für einen ahnungslosen Empfänger sehr überzeugend aus und erlangt leicht sein Vertrauen.

ESET Mail Security bietet Ihnen Schutz vor dieser Art von Bedrohung. Der Absender-Spoofing-Schutz prüft mit mehreren Methoden, ob die Informationen des Absenders gültig sind.

Der Absender-Spoofing-Schutz sucht nach der Domäne, die in der "From:"-Kopfzeile der E-Mail und im Absender enthalten ist, und vergleicht die gefundene Domäne mit den Domänenlisten. Wenn die Domäne sich unterscheidet, wird die Nachricht als gültig (nicht gefälscht) angesehen und von anderen ESET Mail Security-Schutzschichten weiterverarbeitet. Wenn die Domäne mit einer Domäne in der Liste überstimmt, kann sie jedoch als gefälscht eingestuft werden, und eine weitere Verifizierung ist nötig.

Je nach Einstellung wird eine weitere Verifizierung durchgeführt. SPF-Prüfung, Umschlag-IP-Adresse wird mit IP-Listen verglichen oder die Nachricht wird automatisch als gefälschte Nachricht eingestuft. Wenn das SPF-Prüfergebnis negativ ist oder die Umschlag-IP mit einer IP aus der Liste übereinstimmt, ist die Nachricht gültig; andernfalls wird sie als gefälscht eingestuft. Die gefälschte Nachricht wird weiterverarbeitet.

Sie können den Absender-Spoofing-Schutz auf zwei verschiedene Weisen anwenden:

Aktivieren Sie den Absender-Spoofing-Schutz, konfigurieren Sie dessen Einstellungen und geben Sie optional Domänen und IP-Listen an. Die Standardaktion bei gefälschten E-Mail-Nachrichten E-Mail in Quarantäne verschieben. Um die Aktion zu ändern, wechseln Sie zu den erweiterten Einstellungen für den E-Mail-Transportschutz.

Verwenden Sie die Regeln für den Mail-Transportschutz mithilfe von SPF-Ergebnis – Von Kopfzeile oder Vergleichsergebnis zwischen Umschlag-Absender und From-Header mit einer Aktion Ihrer Wahl. Regeln bieten zusätzliche Optionen und Kombinationsmöglichkeiten, wenn Sie bestimmte Verhaltensmuster im Zusammenhang mit gefälschten E-Mails einrichten möchten.

Wenn Sie den Absender-Spoofing-Schutz verwenden oder einen Regelaktionstyp Logging in Ereignissen angeben, werden alle Nachrichten, die vom Absender-Spoofing-Schutz geprüft wurden, in den Log-Dateien aufgezeichnet. Außerdem finden Sie gefälschte E-Mail-Nachrichten in der Nachrichten-Quarantäne, wenn die Aktion Nachrichten-Quarantäne im E-Mail-Transportschutz oder in einer Regel definiert ist.

Absender-Spoofing-Schutz aktivieren

Aktivieren Sie den Absender-Spoofing-Schutz, um E-Mail-Angriffe zu verhindern, die versuchen, für den Empfänger die Herkunft der Nachricht zu verschleiern (gefälschter Absender).

Eingehende E-Mails mit meiner eigenen Domäne als Absenderadresse aktivieren

E-Mails, die Ihre eigene Domäne in der "From:"-Kopfzeile der E-Mail oder im Umschlagabsender enthalten (mit Verdacht auf Fälschung), können weiter geprüft werden:

Nur nach bestandener SPF-Prüfung – dazu muss SPF aktiviert sein. Wenn das SPF-Ergebnis negativ ist, wird die Nachricht als gültig betrachtet und zur Zustellung verarbeitet. Wenn das SPF-Ergebnis positiv ist, wird die Nachricht als gefälscht eingestuft (Aktion findet statt). Optional können Sie auch Nachrichten bei positiver SPF-Prüfung automatisch ablehnen.

Nur wenn IP in der IP-Liste der Infrastruktur enthalten ist – Vergleicht die Umschlag-IP-Adresse mit den IP-Listen (Liste meiner eigenen IP-Adressen und die Liste ignorierter IP-Adressen, die als Teil der internen Infrastruktur markiert sind). Wenn die IP-Adresse übereinstimmt, ist die Nachricht gültig und wird zugestellt. Wenn die IP-Adresse nicht übereinstimmt, wird die Nachricht als gefälscht eingestuft (Aktion findet statt).

Nie – Wenn eine eingehende Nachricht Ihre eigene Domäne in der "From:"-Kopfzeile der E-Mail oder im Umschlag-Absender enthält, wird sie automatisch als gefälschte Nachricht eingestuft ohne weitere Prüfung. Die Nachricht löst eine Aktion aus, siehe E-Mail-Transportschutz für Aktionsoptionen.

Meine eigenen Domänen automatisch aus der Liste der akzeptierten Domänen laden

Wir empfehlen dringend, diese Option zu aktivieren, um den größtmöglichen Schutz zu gewährleisten. Auf diese Weise werden die Domänen und IP-Adressen Ihrer Infrastruktur bei der Prüfung durch den Absender-Spoofing-Schutz berücksichtigt.

Liste meiner eigenen Domänen

Domänen, die als Ihre eigenen gelten. Fügen Sie Domänen hinzu, die zusätzlich zu den automatisch geladenen Domänen aus Ihrem Active Directory bei der Auswertung verwendet werden sollen. Die Domäne(n) des Absenders werden mit den Domänen in diesen Listen verglichen. Wenn die Domäne nicht übereinstimmt, ist die Nachricht gültig. Wenn die Domäne übereinstimmt, wird eine weitere Verifizierung gemäß der Einstellung Eingehende E-Mails mit meiner eigenen Domäne als Absenderadresse aktivieren durchgeführt.

Liste meiner eigenen IP-Adressen

IP-Adressen, die als vertrauenswürdig gelten. Fügen Sie IP-Adressen hinzu, die bei der Auswertung verwendet werden zusätzlich zu den IP-Adressen in der Liste ignorierter IP-Adressen, die als Teil der internen Infrastruktur markiert sind. Die IP-Adresse des Umschlag-Absenders wird mit den IP-Adressen in diesen Listen verglichen. Wenn die IP-Adresse des Umschlags übereinstimmt, ist die Nachricht gültig. Wenn die IP-Adresse nicht übereinstimmt, wird die Nachricht als gefälscht eingestuft und eine Aktion findet statt.