Hallo, um Ihre E-Mail-Sicherheit zu gewährleisten FortiMail Sie müssen Anti-Spoofing auf Ihrem Produkt konfigurieren. Fortimail standardmäßig Festungswache Der Kommunikationsmodus mit den Diensten ist offen, aber die Standardkonfigurationen von Sicherheitsprodukten schützen Ihre Umgebung nie vollständig.
Was ist Spoofing?
Spoofing ist eine Betrugsmethode, die darauf abzielt, durch Änderung der Informationen im E-Mail-Header zu verschleiern, wer die E-Mail tatsächlich gesendet hat. Durch diese Methode entsteht der Eindruck, dass E-Mails tatsächlich von einer anderen Adresse als der gemeldeten Adresse versendet werden.
Da E-Mail-Spoofing relativ einfach durchgeführt werden kann, können viele Benutzer dieser Art von Betrug ausgesetzt sein. Spoofing, das dazu dient, persönliche Informationen zu stehlen oder Benutzer zum Herunterladen schädlicher Software zu ermutigen, kann in manchen Fällen auch aus rechtlichen Gründen durchgeführt werden; Beispielsweise muss ein Benutzer möglicherweise über sein persönliches E-Mail-Konto auf arbeitsbezogene E-Mails antworten. Allerdings wird es hauptsächlich für Spam- und Betrugszwecke verwendet.
Phishing-Angriffe sind die häufigste Form des Spoofings. Bei dieser Art von Angriffen gibt sich der Angreifer als legitime Quelle aus und stiehlt die persönlichen Daten des Empfängers. Ziel ist es, Benutzernamen, Passwörter, Kreditkarteninformationen und andere persönliche Daten zu sammeln. Diese E-Mails sollen den Empfänger überzeugen und ähneln oft echten Unternehmens-E-Mails. Das Design der Website, der E-Mail-Adresse und des Logos des Unternehmens wird sorgfältig angepasst, um das Opfer zu manipulieren. Der Hauptgrund, warum Angreifer diese Methode nutzen, besteht darin, das Vertrauen der Zielperson zu gewinnen.
Wie erstelle ich Spoofing-Mails?
Das Erstellen einer Spoofing-E-Mail ist relativ einfach. Es gibt zwei grundlegende Arten der Adresskapselung: Die erste ist der Umschlagsender und die zweite ist der SMTP-Header von. Beide Methoden haben unterschiedliche Verwendungszwecke und FortiMail verwendet verschiedene Methoden, um diese Arten von Betrug zu überprüfen und zu erkennen:
- Vom SMTP-Header (RFC 822(auch bekannt als die Adresse von ) gilt als benutzerfreundliche Ansicht und wird in der SMTP-„Daten“-Phase der Nachrichtenübertragung bestimmt. In diesem Bereich kommt Cloaking häufiger vor und wird im Allgemeinen sowohl für legitime als auch für böswillige gefälschte E-Mail-Anwendungsfälle bevorzugt. Im SMTP-Header handelt es sich um die Informationen, die im Feld „Von:“ der Benutzer im E-Mail-Client angezeigt werden.
- Umschlagabsender (Umschlagabsender) (auch bekannt als RFC 821-Absenderadresse) wird zu Beginn der SMTP-Kommunikationsphase vor dem DATA-Befehl definiert. Hier wird der Befehl „Mail From:“ ausgegeben, der dem empfangenden SMTP-MTA mitteilt, welches Postfach die Nachricht gesendet hat und wohin er bei Bedarf Antwortnachrichten senden soll. HINWEIS: Dieses Feld muss nicht definiert werden und kann leer bleiben (Mail From: <>); Außerdem muss sie nicht mit der „Von-Adresse“ in der Nutzlast „Daten“ im SMTP-Header übereinstimmen.
Befehl | Serverantwort | Ihre Nachricht |
---|---|---|
Telnet-Mailhost:25 | Stellen Sie eine Telnet-Verbindung zur IP-Adresse oder zum Hostnamen des Mailservers auf TCP-Port 25 her | |
220 Hostnamen… | 220 Antwort | Bestätigt, dass der SMTP-Dienst für Befehle bereit ist |
Hallo | 250 ... | Identifizieren Sie sich mit Ehlo- oder Helo-Handshake. Bitte treffen Sie uns. Befehlsannahme bestätigt. Andernfalls führen Sie den Befehl helo oder ehlo erneut aus. |
Mail von: [E-Mail geschützt] | 250 ... | Geben Sie den 821-„Umschlagabsender“ der Nachricht an. Absender ok. Übernahme des Kommandos bestätigt. Andernfalls können SPF oder andere Anti-Spoofing-Regeln den Versuch der Nachrichtenzustellung blockieren. |
rcpt an:[E-Mail geschützt] | 250 ... | Geben Sie den 821-„Umschlagempfänger“ der Nachricht an. Empfänger ok. Übernahme des Kommandos bestätigt. Andernfalls ist der Empfänger möglicherweise ungültig oder eine Weiterleitung ist nicht zulässig. |
Daten-Management | 354… | Der Befehl „data“ zeigt an, dass Sie mit der Angabe der Empfänger fertig sind und bereit sind, den Nachrichteninhalt zu übertragen. Nachricht senden. Der Server ist bereit, die Nachricht zu akzeptieren. HINWEIS: Ein neuer Zeilenvorschub gefolgt von einem Punkt „.“ und ein weiterer Zeilenvorschub markiert das Ende der Nachricht. |
Aus: „Bill Gates“ [E-Mail geschützt] | Geben Sie den 822 „SMTP-Header von“ an. | |
An: „Blank Doe“[E-Mail geschützt] | Geben Sie 822 „SMTP Header To“ an – optional | |
Betreff: Eine auffällige Beschreibung | Geben Sie den Betreff der Nachricht an | |
- | Dies zeigt das Ende des 822-Headers an | |
Geben Sie den Inhalt des Nachrichtentexts an | Geben Sie den Nachrichtentext an | |
. | 250 ... | Geben Sie an, dass der Textkontext abgeschlossen ist und die Nachricht zur Verarbeitung in die Warteschlange gestellt werden kann. In der Warteschlange. Annahme der Nachricht bestätigt. |
verlassen | 221 ... | Dieser Befehl zeigt an, dass Sie mit dem Senden von Nachrichten fertig sind. Auf Wiedersehen. Der Server hat den Befehl zum Schließen der SMTP-Sitzung akzeptiert. |
Fortimail-Spoofing-Regel
Fortimail Produkt Cloud ve Auf dem Gelände Sie können es als verwenden. Exchange Server, Online austauschen und arbeitet im Einklang mit anderen Anbietern. Fortimail Spoofing bietet viele Methoden zur Verhinderung von Phishing. Die beiden wichtigsten Regeln sind:
- Umschlagabsender (Zugriffskontrollablehnung)
- SMTP-Header von (Regex)
Erstellen einer Fortimail-Spoofing-Regel
Umschlagabsender (Zugriffskontrollablehnung)
Fortimail – Richtlinie – Zugriffskontrolle Wir folgen Ihren Schritten.
Wir müssen eine neue Regel mit der Schaltfläche „Neu“ im Abschnitt „Zugriffskontrollregel“ erstellen. Die Regel, die wir erstellen werden, sollte wie folgt lauten.
Absender – Intern
Empfänger – Intern
Quelle – IP/Netzmaske „0.0.0.0“
Reverse-DNS-Muster – *
Authentifizierungsstatus – Nicht authentifiziert
TLS-Profil – –Keine–
Aktion – Ablehnen
Kommentar – Optional
Hinweis: Wenn ein Mail-Relay-Dienst für die von uns aktiv genutzten Domains erworben wird oder auf einem zusätzlichen MTA gehostet wird, lehnt Fortimail E-Mails ab, die über andere MTAs eingehen. Daher muss eine zusätzliche Regel erstellt werden, indem IP-Adressen anderer Anbieter hinzugefügt werden, und der Abschnitt „Aktion“ muss „Sicher/Relay“ lauten.
Methode zur Verhinderung von Spoofing mithilfe des SMTP-Headers
Fortimailvon SMTP-Header Kullanarak Spoofing Um E-Mails zu blockieren, erstellen Sie eine neue Wörterbuch Wir müssen etwas erstellen und ich habe es unten geteilt regulärer AusdruckWir müssen aktivieren.
Wir folgen den Schritten „Fortimail – Profil – Wörterbuch“ und erstellen mit der Schaltfläche „Neu“ eine neue Wörterbuchregel.
Die Regel, die wir erstellen werden, sollte wie folgt lauten.
Muster: [EHeAdEr]^from:.*\b\@domain.com\b
Mustertyp: Regex
Suchkopfzeile: Aktiviert
Das obige RegEx sucht nach E-Mails, die die Domain enthalten, die Sie im Feld „Von“ hinzugefügt haben. Wenn Sie mehrere Domänen verwenden, wird empfohlen, für jede eindeutige Domäne, die Sie abgleichen möchten, ein neues Wörterbuch hinzuzufügen.
HINWEIS: Der obige RegEx verwendet eine FortiMail-spezifische Übereinstimmungsbedingung „[EHeAdEr]“ und wie RegEx-Testtools www.regex101.com sollte beim Testen der Muster mit entfernt werden.
Schritt 2: Sie müssen ein neues Wörterbuch anwenden. Dieses Wörterbuch kann auf ein Inhaltsprofil oder ein AntiSpam-Profil angewendet werden.
Öffnen Sie ein Eingangsprofil, indem Sie die Schritte „Fortimail – Profil – AntiSpam“ befolgen.
Nachdem Sie die Registerkarte „Wörterbuch“ im AntiSpam-Profil erweitert haben, fügen Sie einfach die Wörterbuchregel hinzu, die Sie im Schritt „Mit Wörterbuchprofil“ erstellt haben.
Zusätzlich zu den Vorgängen, die wir oben durchgeführt haben, haben wir über das Blockieren von Spoofing-Mails auf Fortimail gesprochen und Informationen zu Spoofing-Mails bereitgestellt. Ich hoffe, es war nützlich, wir sehen uns in einem anderen Artikel.