Интернет-справка ESET

Поиск Русский
Выберите тему

Защита от спуфинга отправителя

Спуфинг отправителя электронной почты — это распространенный метод, при использовании которого злоумышленник подделывает имя или адрес электронной почты отправителя, пытаясь обмануть получателя. Для получателя электронной почты такое поддельное сообщение выглядит неотличимым от настоящего, поэтому представляет собой угрозу. Одним из типов спуфинга отправителя является «фальшивый директор» (злоумышленник выдает себя за директора).

Сотрудники не будут подвергать сомнению такое сообщение электронной почты, что дает злоумышленнику возможность добиться успеха. При спуфинге отправителя директор — не единственное лицо, за кого могут выдавать себя злоумышленники. Они могут имитировать любого реального отправителя — обычно это человек из каталога Active Directory в организации. В таком случае поддельное сообщение электронной почты выглядит очень убедительно для ничего не подозревающего получателя, легко завоевывая его доверие.

ESET Mail Security обеспечивает защиту от угроз этого типа. Защита от спуфинга отправителя проверяет достоверность сведений об отправителе несколькими способами.

Защита от спуфинга отправителя проверяет домен, указанный в заголовке электронной почты "From:" и в поле отправителя конверта, а затем сравнивает найденный домен со списками доменов. Если домен отличается, сообщение считается допустимым (не поддельным) и обрабатывается на других уровнях защиты ESET Mail Security. Но если домен имеет соответствие в списке, он может быть поддельным и требует дальнейшей проверки.

В зависимости от настроек выполняется дальнейшая проверка. Это может быть проверка SPF, проверка IP-адреса конверта по спискам IP-адресов или автоматическая пометка сообщения как поддельного. Если проверка SPF пройдена или IP-адрес конверта совпадает с IP-адресом из списка, сообщение является допустимым. Если нет, то оно поддельное. По отношению к поддельному сообщению выполняется действие.

Защиту от спуфинга отправителя можно использовать двумя способами.

Включите защиту от спуфинга отправителя, настройте ее параметры и при необходимости укажите домены и списки IP-адресов. Действие по умолчанию, которое выполняется по отношению к поддельным сообщениям электронной почты: Переместить сообщение в карантин. Чтобы изменить выполняемое действие, перейдите в расширенные параметры защиты почтового транспорта.

Используйте правила защиты почтового транспорта, применяя условие Результат SPF — заголовок «From» или Результат сравнения отправителя конверта и заголовка «From» с выбранным вами действием. Правила обеспечивают больше возможностей и комбинаций, если необходимо добиться определенного поведения в отношении поддельных сообщений электронной почты.

Если используется защита от спуфинга отправителя или если для правила указан тип действия Записать в журнал событий, все сообщения, которые были оценены защитой от спуфинга отправителя, регистрируются в файлах журнала. Аналогично, поддельные сообщения электронной почты можно найти в карантине почты, если в защите почтового транспорта в качестве действия выбран параметр Переместить сообщение в карантин или такое действие определено в правилах.

Включить защиту от спуфинга отправителя

Активируйте защиту от спуфинга отправителя, чтобы предотвратить атаки по электронной почте, в рамках которых злоумышленники пытаются ввести получателя в заблуждение относительно источника сообщения (поддельный отправитель).

Разрешить входящие сообщения электронной почты с моим доменом в адресе отправителя

Вы можете разрешить дальнейшую проверку сообщений электронной почты, которые содержат ваш домен в заголовке "From:" или в поле отправителя конверта (то есть сообщений, подозреваемых в том, что они поддельные):

Только после успешной проверки SPF — проверка SPF должна быть включена. Если проверка SPF пройдена, сообщение считается допустимым и обрабатывается для доставки. Если проверка SPF не пройдена, сообщение является поддельным (выполняется действие). При необходимости вы можете включить параметр Автоматически отклонять сообщения, если проверка SPF не пройдена.

Только если IP-адрес находится в списке IP-адресов инфраструктуры — выполняется сравнение IP-адреса конверта со списками IP-адресов (со «Списком моих IP-адресов» и Списком игнорируемых IP-адресов, которые имеют пометку Часть внутренней инфраструктуры). Если IP-адрес совпадает, сообщение является допустимым и обрабатывается для доставки. Если IP-адрес не совпадает, сообщение является поддельным (выполняется действие).

Никогда — если входящее сообщение электронной почты содержит ваш домен в заголовке "From:" или в поле отправителя конверта, оно автоматически считается поддельным и не подвергается дальнейшей проверке. По отношению к сообщению выполняется действие. Для получения сведений о вариантах действий см. раздел Защита почтового транспорта.

Автоматически загружать мои домены из списка принятых доменов

Настоятельно рекомендуется включить этот параметр, чтобы обеспечить самый высокий уровень защиты. Таким образом, домены и IP-адреса вашей инфраструктуры будут учитываться, когда функция защиты от спуфинга отправителя выполняет оценку.

Список моих доменов

Домены, которые считаются вашими. Добавьте домены, которые будут использоваться во время оценки, в дополнение к автоматически загружаемым доменам из Active Directory. Домен отправителя будет сравниваться с доменами в этих списках. Если домен не совпадает, сообщение является допустимым. Если домен совпадает, выполняется дальнейшая проверка в соответствии с настройкой Разрешить входящие сообщения электронной почты с моим доменом в адресе отправителя.

Список моих IP-адресов

IP-адреса, которые считаются доверенными. Добавьте IP-адреса, которые будут использоваться во время оценки, в дополнение к IP-адресам из списка игнорируемых IP-адресов с пометкой Часть внутренней инфраструктуры. IP-адрес конверта отправителя сравнивается с IP-адресами в этих списках. Если IP-адрес конверта совпадает, сообщение является допустимым. Если IP-адрес не совпадает, сообщение является поддельным, и выполняется действие.