Erkennen gefälschter E-Mail-Nachrichten auf der ESA und Erstellen von Ausnahmen für
Absender, die Spoof erlaubt sind
Inhalt
Einführung
Voraussetzungen Anforderungen
Verwendete Komponenten Hintergrundinformationen Was ist E-Mail-Spoofing?
Erkennen von gefälschten E-Mails
Wie kann Spoofing für bestimmte Absender zugelassen werden?
Konfigurieren
Erstellen eines Nachrichtenfilters
Hinzufügen von Spoof-Ausnahmen zu MY_TRUSTED_SPOOF_HOSTS Überprüfen
Überprüft, ob gefälschte Nachrichten in Quarantäne gestellt werden Überprüfen Sie, ob Spoof-Exception-Meldungen zugestellt werden.
Zugehörige Informationen
Einführung
In diesem Dokument wird beschrieben, wie E-Mail-Spoofing auf der Cisco E-Mail Security
Appliance (ESA) gesteuert wird und wie Ausnahmen für Benutzer erstellt werden, die gefälschte E-Mails senden dürfen.
Voraussetzungen
Anforderungen
Ihre ESA sollte sowohl eingehende als auch ausgehende E-Mails verarbeiten und eine Standardkonfiguration von RELAYLIST verwenden, um Nachrichten als ausgehend zu kennzeichnen.
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf der ESA mit jeder AsyncOS-Version. Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-
)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Zu den spezifischen verwendeten Komponenten gehören:
Wörterbuch: zum Speichern aller internen Domänen verwendet.
●
Nachrichtenfilter: verwendet, um die Logik der Erkennung gefälschter E-Mails und des Einfügens eines Headers zu verarbeiten, auf den Content-Filter reagieren können.
●
Richtlinienquarantäne: werden verwendet, um Duplikate von gefälschten E-Mails
vorübergehend zu speichern. Erwägen Sie, die IP-Adresse freigegebener Nachrichten in MY_TRUSTED_SPOOF_HOSTS einzufügen, um zu verhindern, dass künftige Nachrichten von diesem Absender in die Richtlinienquarantäne eingegeben werden.
●
MEY_TRUSTED_SPOOF_HOSTS: eine Liste mit Verweisen auf Ihre vertrauenswürdigen sendenden IP-Adressen. Wenn Sie dieser Liste eine IP-Adresse eines Absenders hinzufügen, wird die Quarantäne übersprungen, und der Absender kann Spoofing ausführen. Wir
platzieren vertrauenswürdige Absender in Ihrer Absendergruppe
MY_TRUSTED_SPOOF_HOSTS, sodass gefälschte Nachrichten von diesen Absendern nicht unter Quarantäne gestellt werden.
●
RELAYLIST: Liste zur Authentifizierung von IP-Adressen, die weitergeleitet oder ausgehende E-Mails gesendet werden dürfen. Wenn die E-Mail über diese Absendergruppe zugestellt wird, wird davon ausgegangen, dass es sich bei der Nachricht nicht um eine gefälschte Nachricht handelt.
●
Hinweis: Wenn eine Absendergruppe als etwas Anderes bezeichnet wird als
MY_TRUSTED_SPOOF_HOSTS oder RELAYLIST, müssen Sie den Filter mit dem entsprechenden Absendergruppennamen ändern. Wenn Sie mehrere Listener haben, können Sie auch mehrere MY_TRUSTED_SPOOF_HOSTS haben.
Hintergrundinformationen
Spoofing ist auf der Cisco ESA standardmäßig aktiviert. Es gibt mehrere triftige Gründe dafür, dass andere Domänen in Ihrem Namen senden dürfen. In der Regel möchte ESA-Administrator gefälschte E-Mails kontrollieren, indem er gefälschte Nachrichten vor der Zustellung unter
Quarantäne stellt.
Um bestimmte Aktionen wie die Quarantäne von gefälschten E-Mails durchzuführen, müssen Sie zunächst gefälschte E-Mails erkennen.
Was ist E-Mail-Spoofing?
E-Mail-Spoofing ist die Fälschung eines E-Mail-Headers, sodass die Nachricht scheinbar von einer anderen Person oder einem anderen Ort als der tatsächlichen Quelle stammt. E-Mail- Spoofing ist eine Taktik, die bei Phishing- und Spam-Kampagnen zum Einsatz kommt, da Personen eine E-Mail mit höherer Wahrscheinlichkeit öffnen, wenn sie glauben, von einer legitimen Quelle versendet worden zu sein.
Erkennen von gefälschten E-Mails
Sie sollten alle Nachrichten filtern, die einen Umschlagabsender (Mail-Von) und einen
"Freundlichen von" (Von)-Header enthalten, der eine Ihrer eigenen eingehenden Domänen in der E-Mail-Adresse enthält.
Wie kann Spoofing für bestimmte Absender zugelassen werden?
Beim Implementieren des Nachrichtenfilters, das in diesem Artikel enthalten ist, werden gefälschte Nachrichten mit einem Header versehen, und der Inhaltsfilter wird verwendet, um Aktionen für den Header auszuführen. Um eine Ausnahme hinzuzufügen, fügen Sie einfach die Absender-IP
MY_TRUSTED_SPOOF_HOSTS hinzu.
Konfigurieren
Erstellen einer Sendergruppe
Navigieren Sie in der ESA-GUI zu Mail-Policys > HAT Overview 1.
Klicken Hinzufügen 2.
Geben Sie im Feld "Name" MY_TRUSTED_SPOOF_HOSTS an.
3.
Geben Sie im Feld "Bestellung" 1 an.
4.
Geben Sie im Feld "Richtlinie" die ANNAHME an.
5.
Klicken Sie auf Senden, um die Änderungen zu speichern.
6.
Klicken Sie abschließend auf Änderungen bestätigen, um die Konfiguration zu speichern.
7.
Beispiel:
Wörterbuch erstellen
Erstellen Sie ein Wörterbuch für alle Domänen, für die Sie Spoofing auf der ESA deaktivieren möchten:
Navigieren Sie in der ESA-GUI zu Mail-Policys > Dictionaries.
1.
Klicken Wörterbuch hinzufügen 2.
Geben Sie im Feld "Name" 'VALID_INTERNAL_DOMAINS' an, um das Kopieren und Einfügen des Nachrichtenfilters fehlerfrei zu gestalten.
3.
Fügen Sie unter "Begriffe hinzufügen" alle Domänen hinzu, die Sie Spoofing erkennen möchten. Geben Sie die Domäne mit einem @-Zeichen ein, das der Domäne vorangestellt ist, und klicken Sie auf Hinzufügen.
4.
Stellen Sie sicher, dass das Kontrollkästchen "Vollständige Wörter zuordnen" deaktiviert ist.
5.
Klicken Sie auf Senden, um die Wörterbuchänderungen zu speichern.
6.
Klicken Sie abschließend auf Änderungen bestätigen, um die Konfiguration zu speichern.
7.
Beispiel:
Erstellen eines Nachrichtenfilters
Als Nächstes müssen Sie einen Nachrichtenfilter erstellen, um das soeben erstellte Wörterbuch
"VALID_INTERNAL_DOMAINS" zu nutzen:
Stellen Sie eine Verbindung zur CLI (Command Line Interface) der ESA her.
1.
Führen Sie den Befehl Filters aus.
2.
Führen Sie den Befehl Neu aus, um einen neuen Nachrichtenfilter zu erstellen.
3.
Kopieren Sie das folgende Filterbeispiel, und fügen Sie es ein. Bearbeiten Sie ggf. die tatsächlichen Namen der Absendergruppe:
mark_spoofed_messages:
if(
(mail-from-dictionary-match("VALID_INTERNAL_DOMAINS", 1))
OR (header-dictionary-match("VALID_INTERNAL_DOMAINS","From", 1))) AND ((sendergroup != "RELAYLIST")
AND (sendergroup != "MY_TRUSTED_SPOOF_HOSTS") )
{
insert-header("X-Spoof", "");
}
4.
Kehren Sie zur Haupt-CLI-Eingabeaufforderung zurück, und führen Sie Commit aus, um die Konfiguration zu speichern.
5.
Navigieren Sie zu GUI > Mail Policies > Incoming Content Filters.
6.
Erstellen eines eingehenden Content-Filters, der Aktionen auf dem Spoof-Header X-Spoof ausführt: Aktion hinzufügen: double-quarantine("Policy").
Hinweis: Die hier gezeigte Funktion "Duplizieren" behält eine Kopie der Nachricht bei und setzt den Versand der Originalnachricht an den Empfänger fort.
7.
Link-Content-Filter zu Richtlinien für eingehende E-Mails unter GUI > Mail-Policys >
Richtlinien für eingehende E-Mails 8.
Änderungen senden und bestätigen 9.
Hinzufügen von Spoof-Ausnahmen zu MY_TRUSTED_SPOOF_HOSTS
Schließlich müssen Sie der Sendergruppe MY_TRUSTED_SPOOF_HOSTS Spoof-Ausnahmen (IP-Adressen oder Hostnamen) hinzufügen.
Navigieren Sie über die Web-GUI: Mail Policies > HAT Overview 1.
Klicken Sie auf und öffnen Sie die Absendergruppe MY_TRUSTED_SPOOF_HOSTS.
2.
Klicken Sie auf "Absender hinzufügen..". um eine IP-Adresse, einen Bereich, einen Hostnamen oder einen teilweisen Hostnamen hinzuzufügen.
3.
Klicken Sie auf Senden, um die Absenderänderungen zu speichern.
4.
Klicken Sie abschließend auf Änderungen bestätigen, um die Konfiguration zu speichern.
5.
Beispiel:
Überprüfen
Überprüft, ob gefälschte Nachrichten in Quarantäne gestellt werden
Senden Sie eine Testnachricht, die eine Ihrer Domänen als Umschlagabsender angibt.
Überprüfen Sie, ob der Filter wie erwartet funktioniert, indem Sie eine Nachrichtenverfolgung für diese Nachricht durchführen. Das erwartete Ergebnis ist, dass die Nachricht unter Quarantäne gestellt wird, da wir noch keine Ausnahmen für die Absender erstellt haben, die Spoofing zulassen dürfen.
Thu Apr 23 07:09:53 2015 Info: MID 102 ICID 9 RID 0 To: <test_user@domain.com>
Thu Apr 23 07:10:07 2015 Info: MID 102 Subject 'test1'
Thu Apr 23 07:10:07 2015 Info: MID 102 ready 177 bytes from <user_1@example.com>
Thu Apr 23 07:10:07 2015 Info: MID 102 matched all recipients for per-recipient policy DEFAULT in the inbound table
Thu Apr 23 07:10:11 2015 Info: MID 102 interim verdict using engine: CASE spam negative Thu Apr 23 07:10:11 2015 Info: MID 102 using engine: CASE spam negative
Thu Apr 23 07:10:11 2015 Info: MID 102 interim AV verdict using Sophos CLEAN Thu Apr 23 07:10:11 2015 Info: MID 102 antivirus negative
Thu Apr 23 07:10:12 2015 Info: MID 102 quarantined to "Policy" (message filter:quarantine_spoofed_messages)
Thu Apr 23 07:10:12 2015 Info: Message finished MID 102 done
Überprüfen Sie, ob Spoof-Exception-Meldungen zugestellt werden.
"Spoof-Exception"-Absender sind IP-Adressen in Ihrer Absendergruppe(n), auf die im Filter oben verwiesen wird.
Auf RELAYLIST wird verwiesen, da es von der ESA zum Senden von ausgehenden E-Mails verwendet wird. Von RELAYLIST gesendete Nachrichten sind in der Regel ausgehende E-Mails, die keine falschen Positivmeldungen verursachen, oder ausgehende Nachrichten, die durch den
Filter oben in Quarantäne gestellt werden.
Beispiel für die Nachrichtenverfolgung einer "Spoof-Exception"-IP-Adresse, die
MY_TRUSTED_SPOOF_HOSTS hinzugefügt wurde. Die erwartete Aktion ist "Delivery" und nicht
"Quarantäne". (Diese IP-Adresse darf getäuscht werden.)
Thu Apr 23 07:25:57 2015 Info: Start MID 108 ICID 11
Thu Apr 23 07:25:57 2015 Info: MID 108 ICID 11 From: <user_1@example.com>
Thu Apr 23 07:26:02 2015 Info: MID 108 ICID 11 RID 0 To: <test_user@domain.com>
Thu Apr 23 07:26:10 2015 Info: MID 108 Subject 'test2'
Thu Apr 23 07:26:10 2015 Info: MID 108 ready 163 bytes from <user_1@example.com>
Thu Apr 23 07:26:10 2015 Info: MID 108 matched all recipients for per-recipient policy DEFAULT in the inbound table
Thu Apr 23 07:26:10 2015 Info: MID 108 interim AV verdict using Sophos CLEAN Thu Apr 23 07:26:10 2015 Info: MID 108 antivirus negative
Thu Apr 23 07:26:10 2015 Info: MID 108 queued for delivery
Thu Apr 23 07:26:10 2015 Info: Delivery start DCID 16 MID 108 to RID [0]
Thu Apr 23 07:26:11 2015 Info: Message done DCID 16 MID 108 to RID [0]
Thu Apr 23 07:26:11 2015 Info: MID 108 RID [0] Response '2.0.0 t58EVG9N031598 Message accepted for delivery'
Thu Apr 23 07:26:11 2015 Info: Message finished MID 108 done
Zugehörige Informationen
ESA-Spoofed Mail-Filterung
●
Spoof-Schutz durch Absenderverifizierung
●