Inleiding
Dit document beschrijft een probleem dat op de Cisco Email Security Applicatie (ESA) wordt aangetroffen wanneer spam en frauduleuze e-mail in het netwerk worden ingevoerd.
Probleem
Fraudeurs proberen zich voor te doen als e-mail. Wanneer de e-mail zich voordoet als (beweert van te zijn) een medewerker van uw bedrijf, kan het bijzonder bedrieglijk zijn en kan het verwarring veroorzaken. In een poging om dit probleem op te lossen, zouden e-mailbeheerders kunnen proberen om inkomende post te blokkeren die van binnen het bedrijf (spoofed mail) lijkt te voortkomen.
Het lijkt misschien logisch dat als je de inkomende mail van het internet blokkeert dat het adres van het bedrijf in de domeinnaam heeft, het het probleem oplost. Helaas, als je op deze manier e-mail blokkeert, kan het ook legitieme e-mail tegelijkertijd blokkeren. Neem deze voorbeelden:
- Een werknemer reist en gebruikt een hotel Internet Service Provider (ISP) die op transparante wijze alle Simple Mail Transfer Protocol (SMTP)-verkeer naar de ISP-mailservers omleidt. Wanneer de post wordt verzonden, lijkt het misschien dat het rechtstreeks door de ondernemings-SMTP-server vloeit, maar het wordt in feite via een derde-partij-SMTP-server verzonden voordat het aan de onderneming wordt geleverd.
- Een medewerker abonneert zich op een discussielijst per e-mail. Wanneer berichten naar de e-maillijst worden verzonden, worden ze teruggestuurd naar alle abonnees, blijkbaar van de maker.
- Er wordt een extern systeem gebruikt om de prestaties of bereikbaarheid van extern zichtbare apparatuur te bewaken. Wanneer een waarschuwing optreedt, heeft de e-mail de bedrijfdomeinnaam in het terugkeeradres. Dit gebeurt vrij vaak door externe serviceproviders, zoals Webex.
- Door een tijdelijke fout in de netwerkconfiguratie wordt post van binnen het bedrijf verzonden via de inkomende luisteraar, in plaats van de uitgaande luisteraar.
- Iemand buiten het bedrijf ontvangt een bericht dat ze terug naar het bedrijf sturen met een Mail User Agent (MUA) die nieuwe headerlijnen gebruikt in plaats van de oorspronkelijke header.
- Een op internet gebaseerde applicatie, zoals de Federal Express verzendpagina's of de Yahoo e-mail dit artikel pagina, maakt legitieme post met een adres dat terugwijst naar het bedrijf. De post is legitiem en heeft een bronadres van binnen het bedrijf, maar het komt niet van binnen.
Deze voorbeelden tonen aan dat als u inkomende post blokkeert op basis van de domeininformatie, het kan resulteren in valse positieven.
Oplossing
In dit gedeelte worden de aanbevolen acties beschreven die u moet uitvoeren om dit probleem op te lossen.
Filters toepassen
Om het verlies van legitieme e-mailberichten te voorkomen, blokkeer de inkomende e-mail niet op basis van de domeininformatie. In plaats daarvan kunt u de onderwerpregel van deze soorten berichten labelen terwijl ze het netwerk binnenkomen, wat aan de ontvanger aangeeft dat de berichten potentieel vervalst zijn. Dit kan worden bereikt met berichtfilters of met inhoudsfilters.
De basisstrategie voor deze filters is om de achterwaarts gerichte body header lijnen te controleren (de From data is de belangrijkste), evenals de RFC 821 Envelope Sender. Deze headerlijnen worden het meest getoond in MUA's en zijn degenen die het meest waarschijnlijk gesmeed zullen worden door een frauduleuze persoon.
De berichtfilter in het volgende voorbeeld toont hoe u berichten kunt etiketteren die potentieel worden nagemaakt. Dit filter voert verschillende handelingen uit:
- Als de onderwerpregel reeds "{Mogelijk gesmeed}" in het heeft, dan wordt een andere kopie niet toegevoegd door het filter. Dit is belangrijk wanneer de antwoorden in de berichtstroom worden omvat, en een onderwerpregel door de postgateway verscheidene malen zou kunnen bewegen alvorens een berichtdraad volledig is.
- Dit filter zoekt naar de Envelopensender of de Van header die een adres heeft dat eindigt in de domeinnaam @yourdomain.com. Het is belangrijk om op te merken dat de mail-vanaf-zoekfunctie automatisch case-ingevoelig is, maar de van-header zoekactie niet. Als de domeinnaam in één van beide plaatsen wordt gevonden, voegt de filter "{Mogelijk gesmeed}" aan het eind van de onderwerpregel in.
Hier is een voorbeeld van het filter:
MarkPossiblySpoofedEmail:
if ( (recv-listener == "InboundMail") AND
(subject != "\\{Possibly Forged\\}$") )
{
if (mail-from == "@yourdomain\\.com$") OR
(header("From") == "(?i)@yourdomain\\.com")
{
strip-header("Subject");
insert-header("Subject", "$Subject {Possibly Forged}");
}
}
Aanvullende maatregelen
Omdat er geen makkelijke manier is om gespoofde post van wettige post te identificeren, is er geen manier om het probleem volledig te elimineren. Daarom raadt Cisco u aan IronPort Anti-Spam Scanning (IPAS) in te schakelen, waardoor frauduleuze mail (phishing) of spam effectief wordt herkend en positief wordt geblokkeerd. Het gebruik van deze anti-spam scanner, wanneer gekoppeld aan de filters beschreven in de vorige sectie, biedt de beste resultaten zonder het verlies van legitieme e-mail.
Als u frauduleuze e-mails moet identificeren die in uw netwerk komen, overweeg dan het gebruik van de Domain Keys Identified Mail (DKIM) technologie; het vereist meer opstelling, maar het is een goede maatregel tegen phishing en frauduleuze e-mails.
Opmerking: raadpleeg de AsyncOS-gebruikershandleiding op de pagina voor ondersteuning van Cisco e-mail security applicatie voor meer informatie over berichtfilters.