FortiMail-Anti-Spoofing-Regeln

Hallo, um Ihre E-Mail-Sicherheit zu gewährleisten FortiMail Sie müssen Anti-Spoofing auf Ihrem Produkt konfigurieren. Fortimail standardmäßig Festungswache Der Kommunikationsmodus mit den Diensten ist offen, aber die Standardkonfigurationen von Sicherheitsprodukten schützen Ihre Umgebung nie vollständig.

Was ist Spoofing?

Spoofing ist eine Betrugsmethode, die darauf abzielt, durch Änderung der Informationen im E-Mail-Header zu verschleiern, wer die E-Mail tatsächlich gesendet hat. Durch diese Methode entsteht der Eindruck, dass E-Mails tatsächlich von einer anderen Adresse als der gemeldeten Adresse versendet werden.

Da E-Mail-Spoofing relativ einfach durchgeführt werden kann, können viele Benutzer dieser Art von Betrug ausgesetzt sein. Spoofing, das dazu dient, persönliche Informationen zu stehlen oder Benutzer zum Herunterladen schädlicher Software zu ermutigen, kann in manchen Fällen auch aus rechtlichen Gründen durchgeführt werden; Beispielsweise muss ein Benutzer möglicherweise über sein persönliches E-Mail-Konto auf arbeitsbezogene E-Mails antworten. Allerdings wird es hauptsächlich für Spam- und Betrugszwecke verwendet.

Phishing-Angriffe sind die häufigste Form des Spoofings. Bei dieser Art von Angriffen gibt sich der Angreifer als legitime Quelle aus und stiehlt die persönlichen Daten des Empfängers. Ziel ist es, Benutzernamen, Passwörter, Kreditkarteninformationen und andere persönliche Daten zu sammeln. Diese E-Mails sollen den Empfänger überzeugen und ähneln oft echten Unternehmens-E-Mails. Das Design der Website, der E-Mail-Adresse und des Logos des Unternehmens wird sorgfältig angepasst, um das Opfer zu manipulieren. Der Hauptgrund, warum Angreifer diese Methode nutzen, besteht darin, das Vertrauen der Zielperson zu gewinnen.

Wie erstelle ich Spoofing-Mails?

Das Erstellen einer Spoofing-E-Mail ist relativ einfach. Es gibt zwei grundlegende Arten der Adresskapselung: Die erste ist der Umschlagsender und die zweite ist der SMTP-Header von. Beide Methoden haben unterschiedliche Verwendungszwecke und FortiMail verwendet verschiedene Methoden, um diese Arten von Betrug zu überprüfen und zu erkennen:

  • Vom SMTP-Header (RFC 822(auch bekannt als die Adresse von ) gilt als benutzerfreundliche Ansicht und wird in der SMTP-„Daten“-Phase der Nachrichtenübertragung bestimmt. In diesem Bereich kommt Cloaking häufiger vor und wird im Allgemeinen sowohl für legitime als auch für böswillige gefälschte E-Mail-Anwendungsfälle bevorzugt. Im SMTP-Header handelt es sich um die Informationen, die im Feld „Von:“ der Benutzer im E-Mail-Client angezeigt werden.
  • Umschlagabsender (Umschlagabsender) (auch bekannt als RFC 821-Absenderadresse) wird zu Beginn der SMTP-Kommunikationsphase vor dem DATA-Befehl definiert. Hier wird der Befehl „Mail From:“ ausgegeben, der dem empfangenden SMTP-MTA mitteilt, welches Postfach die Nachricht gesendet hat und wohin er bei Bedarf Antwortnachrichten senden soll. HINWEIS: Dieses Feld muss nicht definiert werden und kann leer bleiben (Mail From: <>); Außerdem muss sie nicht mit der „Von-Adresse“ in der Nutzlast „Daten“ im SMTP-Header übereinstimmen.
BefehlServerantwortIhre Nachricht
Telnet-Mailhost:25Stellen Sie eine Telnet-Verbindung zur IP-Adresse oder zum Hostnamen des Mailservers auf TCP-Port 25 her
220 Hostnamen…220 AntwortBestätigt, dass der SMTP-Dienst für Befehle bereit ist
Hallo250 ...Identifizieren Sie sich mit Ehlo- oder Helo-Handshake. Bitte treffen Sie uns. Befehlsannahme bestätigt. Andernfalls führen Sie den Befehl helo oder ehlo erneut aus.
Mail von: [E-Mail geschützt] 250 ...Geben Sie den 821-„Umschlagabsender“ der Nachricht an. Absender ok. Übernahme des Kommandos bestätigt. Andernfalls können SPF oder andere Anti-Spoofing-Regeln den Versuch der Nachrichtenzustellung blockieren.
rcpt an:[E-Mail geschützt] 250 ...Geben Sie den 821-„Umschlagempfänger“ der Nachricht an. Empfänger ok. Übernahme des Kommandos bestätigt. Andernfalls ist der Empfänger möglicherweise ungültig oder eine Weiterleitung ist nicht zulässig.
Daten-Management354…Der Befehl „data“ zeigt an, dass Sie mit der Angabe der Empfänger fertig sind und bereit sind, den Nachrichteninhalt zu übertragen. Nachricht senden. Der Server ist bereit, die Nachricht zu akzeptieren. HINWEIS: Ein neuer Zeilenvorschub gefolgt von einem Punkt „.“ und ein weiterer Zeilenvorschub markiert das Ende der Nachricht.
Aus: „Bill Gates“ [E-Mail geschützt] Geben Sie den 822 „SMTP-Header von“ an.
An: „Blank Doe“[E-Mail geschützt] Geben Sie 822 „SMTP Header To“ an – optional
Betreff: Eine auffällige BeschreibungGeben Sie den Betreff der Nachricht an
-Dies zeigt das Ende des 822-Headers an
Geben Sie den Inhalt des Nachrichtentexts anGeben Sie den Nachrichtentext an
.250 ...Geben Sie an, dass der Textkontext abgeschlossen ist und die Nachricht zur Verarbeitung in die Warteschlange gestellt werden kann. In der Warteschlange. Annahme der Nachricht bestätigt.
verlassen221 ...Dieser Befehl zeigt an, dass Sie mit dem Senden von Nachrichten fertig sind. Auf Wiedersehen. Der Server hat den Befehl zum Schließen der SMTP-Sitzung akzeptiert.

Fortimail-Spoofing-Regel

Fortimail Produkt Cloud ve Auf dem Gelände Sie können es als verwenden. Exchange Server, Online austauschen und arbeitet im Einklang mit anderen Anbietern. Fortimail Spoofing bietet viele Methoden zur Verhinderung von Phishing. Die beiden wichtigsten Regeln sind:

  • Umschlagabsender (Zugriffskontrollablehnung)
  • SMTP-Header von (Regex)

Erstellen einer Fortimail-Spoofing-Regel

Umschlagabsender (Zugriffskontrollablehnung)

Fortimail – Richtlinie – ​​Zugriffskontrolle Wir folgen Ihren Schritten.

Fortimail-Menü

Wir müssen eine neue Regel mit der Schaltfläche „Neu“ im Abschnitt „Zugriffskontrollregel“ erstellen. Die Regel, die wir erstellen werden, sollte wie folgt lauten.

Absender – Intern

Empfänger – Intern

Quelle – IP/Netzmaske „0.0.0.0“

Reverse-DNS-Muster – *

Authentifizierungsstatus – Nicht authentifiziert

TLS-Profil – –Keine–

Aktion – Ablehnen

Kommentar – ​​Optional

Fortimail-Zugriffskontrollregel
Hinweis: Wenn ein Mail-Relay-Dienst für die von uns aktiv genutzten Domains erworben wird oder auf einem zusätzlichen MTA gehostet wird, lehnt Fortimail E-Mails ab, die über andere MTAs eingehen. Daher muss eine zusätzliche Regel erstellt werden, indem IP-Adressen anderer Anbieter hinzugefügt werden, und der Abschnitt „Aktion“ muss „Sicher/Relay“ lauten.

Methode zur Verhinderung von Spoofing mithilfe des SMTP-Headers

Fortimailvon SMTP-Header Kullanarak Spoofing Um E-Mails zu blockieren, erstellen Sie eine neue Wörterbuch Wir müssen etwas erstellen und ich habe es unten geteilt regulärer AusdruckWir müssen aktivieren.

Wir folgen den Schritten „Fortimail – Profil – Wörterbuch“ und erstellen mit der Schaltfläche „Neu“ eine neue Wörterbuchregel.

Fortimail-Wörterbuch

Die Regel, die wir erstellen werden, sollte wie folgt lauten.

Muster: [EHeAdEr]^from:.*\b\@domain.com\b

Mustertyp: Regex

Suchkopfzeile: Aktiviert

Das obige RegEx sucht nach E-Mails, die die Domain enthalten, die Sie im Feld „Von“ hinzugefügt haben. Wenn Sie mehrere Domänen verwenden, wird empfohlen, für jede eindeutige Domäne, die Sie abgleichen möchten, ein neues Wörterbuch hinzuzufügen.

HINWEIS: Der obige RegEx verwendet eine FortiMail-spezifische Übereinstimmungsbedingung „[EHeAdEr]“ und wie RegEx-Testtools www.regex101.com sollte beim Testen der Muster mit entfernt werden.

Schritt 2: Sie müssen ein neues Wörterbuch anwenden. Dieses Wörterbuch kann auf ein Inhaltsprofil oder ein AntiSpam-Profil angewendet werden.

Öffnen Sie ein Eingangsprofil, indem Sie die Schritte „Fortimail – Profil – AntiSpam“ befolgen.

Nachdem Sie die Registerkarte „Wörterbuch“ im AntiSpam-Profil erweitert haben, fügen Sie einfach die Wörterbuchregel hinzu, die Sie im Schritt „Mit Wörterbuchprofil“ erstellt haben.

Zusätzlich zu den Vorgängen, die wir oben durchgeführt haben, haben wir über das Blockieren von Spoofing-Mails auf Fortimail gesprochen und Informationen zu Spoofing-Mails bereitgestellt. Ich hoffe, es war nützlich, wir sehen uns in einem anderen Artikel.

Kommentar