• Keine Ergebnisse gefunden

Erkennen gefälschter -Nachrichten auf der ESA und Erstellen von Ausnahmen für Absender, die Spoof erlaubt sind

N/A
N/A
Protected

Academic year: 2022

Aktie "Erkennen gefälschter -Nachrichten auf der ESA und Erstellen von Ausnahmen für Absender, die Spoof erlaubt sind"

Copied!
7
0
0

Wird geladen.... (Jetzt Volltext ansehen)

Volltext

(1)

Erkennen gefälschter E-Mail-Nachrichten auf der ESA und Erstellen von Ausnahmen für

Absender, die Spoof erlaubt sind

Inhalt

Einführung

Voraussetzungen Anforderungen

Verwendete Komponenten Hintergrundinformationen Was ist E-Mail-Spoofing?

Erkennen von gefälschten E-Mails

Wie kann Spoofing für bestimmte Absender zugelassen werden?

Konfigurieren

Erstellen eines Nachrichtenfilters

Hinzufügen von Spoof-Ausnahmen zu MY_TRUSTED_SPOOF_HOSTS Überprüfen

Überprüft, ob gefälschte Nachrichten in Quarantäne gestellt werden Überprüfen Sie, ob Spoof-Exception-Meldungen zugestellt werden.

Zugehörige Informationen

Einführung

In diesem Dokument wird beschrieben, wie E-Mail-Spoofing auf der Cisco E-Mail Security

Appliance (ESA) gesteuert wird und wie Ausnahmen für Benutzer erstellt werden, die gefälschte E-Mails senden dürfen.

Voraussetzungen

Anforderungen

Ihre ESA sollte sowohl eingehende als auch ausgehende E-Mails verarbeiten und eine Standardkonfiguration von RELAYLIST verwenden, um Nachrichten als ausgehend zu kennzeichnen.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf der ESA mit jeder AsyncOS-Version. Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-

)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

(2)

Zu den spezifischen verwendeten Komponenten gehören:

Wörterbuch: zum Speichern aller internen Domänen verwendet.

Nachrichtenfilter: verwendet, um die Logik der Erkennung gefälschter E-Mails und des Einfügens eines Headers zu verarbeiten, auf den Content-Filter reagieren können.

Richtlinienquarantäne: werden verwendet, um Duplikate von gefälschten E-Mails

vorübergehend zu speichern. Erwägen Sie, die IP-Adresse freigegebener Nachrichten in MY_TRUSTED_SPOOF_HOSTS einzufügen, um zu verhindern, dass künftige Nachrichten von diesem Absender in die Richtlinienquarantäne eingegeben werden.

MEY_TRUSTED_SPOOF_HOSTS: eine Liste mit Verweisen auf Ihre vertrauenswürdigen sendenden IP-Adressen. Wenn Sie dieser Liste eine IP-Adresse eines Absenders hinzufügen, wird die Quarantäne übersprungen, und der Absender kann Spoofing ausführen. Wir

platzieren vertrauenswürdige Absender in Ihrer Absendergruppe

MY_TRUSTED_SPOOF_HOSTS, sodass gefälschte Nachrichten von diesen Absendern nicht unter Quarantäne gestellt werden. 

RELAYLIST: Liste zur Authentifizierung von IP-Adressen, die weitergeleitet oder ausgehende E-Mails gesendet werden dürfen. Wenn die E-Mail über diese Absendergruppe zugestellt wird, wird davon ausgegangen, dass es sich bei der Nachricht nicht um eine gefälschte Nachricht handelt.

Hinweis: Wenn eine Absendergruppe als etwas Anderes bezeichnet wird als

MY_TRUSTED_SPOOF_HOSTS oder RELAYLIST, müssen Sie den Filter mit dem entsprechenden Absendergruppennamen ändern. Wenn Sie mehrere Listener haben, können Sie auch mehrere MY_TRUSTED_SPOOF_HOSTS haben.

Hintergrundinformationen

Spoofing ist auf der Cisco ESA standardmäßig aktiviert. Es gibt mehrere triftige Gründe dafür, dass andere Domänen in Ihrem Namen senden dürfen.  In der Regel möchte ESA-Administrator gefälschte E-Mails kontrollieren, indem er gefälschte Nachrichten vor der Zustellung unter

Quarantäne stellt.

Um bestimmte Aktionen wie die Quarantäne von gefälschten E-Mails durchzuführen, müssen Sie zunächst gefälschte E-Mails erkennen.

Was ist E-Mail-Spoofing?

E-Mail-Spoofing ist die Fälschung eines E-Mail-Headers, sodass die Nachricht scheinbar von einer anderen Person oder einem anderen Ort als der tatsächlichen Quelle stammt. E-Mail- Spoofing ist eine Taktik, die bei Phishing- und Spam-Kampagnen zum Einsatz kommt, da Personen eine E-Mail mit höherer Wahrscheinlichkeit öffnen, wenn sie glauben, von einer legitimen Quelle versendet worden zu sein.

Erkennen von gefälschten E-Mails

Sie sollten alle Nachrichten filtern, die einen Umschlagabsender (Mail-Von) und einen

"Freundlichen von" (Von)-Header enthalten, der eine Ihrer eigenen eingehenden Domänen in der E-Mail-Adresse enthält.

(3)

Wie kann Spoofing für bestimmte Absender zugelassen werden?

Beim Implementieren des Nachrichtenfilters, das in diesem Artikel enthalten ist, werden gefälschte Nachrichten mit einem Header versehen, und der Inhaltsfilter wird verwendet, um Aktionen für den Header auszuführen. Um eine Ausnahme hinzuzufügen, fügen Sie einfach die Absender-IP

MY_TRUSTED_SPOOF_HOSTS hinzu.

Konfigurieren

Erstellen einer Sendergruppe 

Navigieren Sie in der ESA-GUI zu Mail-Policys > HAT Overview 1.

Klicken Hinzufügen  2.

Geben Sie im Feld "Name" MY_TRUSTED_SPOOF_HOSTS an.

3.

Geben Sie im Feld "Bestellung" 1 an.

4.

Geben Sie im Feld "Richtlinie" die ANNAHME an.

5.

Klicken Sie auf Senden, um die Änderungen zu speichern.

6.

Klicken Sie abschließend auf Änderungen bestätigen, um die Konfiguration zu speichern.

7.

 Beispiel: 

Wörterbuch erstellen

Erstellen Sie ein Wörterbuch für alle Domänen, für die Sie Spoofing auf der ESA deaktivieren möchten:

Navigieren Sie in der ESA-GUI zu Mail-Policys > Dictionaries.

1.

Klicken Wörterbuch hinzufügen 2.

Geben Sie im Feld "Name" 'VALID_INTERNAL_DOMAINS' an, um das Kopieren und Einfügen des Nachrichtenfilters fehlerfrei zu gestalten. 

3.

Fügen Sie unter "Begriffe hinzufügen" alle Domänen hinzu, die Sie Spoofing erkennen möchten.  Geben Sie die Domäne mit einem @-Zeichen ein, das der Domäne vorangestellt ist, und klicken Sie auf Hinzufügen. 

4.

Stellen Sie sicher, dass das Kontrollkästchen "Vollständige Wörter zuordnen" deaktiviert ist. 

5.

(4)

Klicken Sie auf Senden, um die Wörterbuchänderungen zu speichern.

6.

Klicken Sie abschließend auf Änderungen bestätigen, um die Konfiguration zu speichern.

7.

Beispiel:

Erstellen eines Nachrichtenfilters

Als Nächstes müssen Sie einen Nachrichtenfilter erstellen, um das soeben erstellte Wörterbuch

"VALID_INTERNAL_DOMAINS" zu nutzen:

Stellen Sie eine Verbindung zur CLI (Command Line Interface) der ESA her.

1.

Führen Sie den Befehl Filters aus.

2.

Führen Sie den Befehl Neu aus, um einen neuen Nachrichtenfilter zu erstellen.

3.

Kopieren Sie das folgende Filterbeispiel, und fügen Sie es ein. Bearbeiten Sie ggf. die tatsächlichen Namen der Absendergruppe:

mark_spoofed_messages:

if(

(mail-from-dictionary-match("VALID_INTERNAL_DOMAINS", 1))

OR (header-dictionary-match("VALID_INTERNAL_DOMAINS","From", 1))) AND ((sendergroup != "RELAYLIST")

AND (sendergroup != "MY_TRUSTED_SPOOF_HOSTS") )

{

insert-header("X-Spoof", "");

}

4.

(5)

Kehren Sie zur Haupt-CLI-Eingabeaufforderung zurück, und führen Sie Commit aus, um die Konfiguration zu speichern.

5.

Navigieren Sie zu GUI > Mail Policies > Incoming Content Filters.

6.

Erstellen eines eingehenden Content-Filters, der Aktionen auf dem Spoof-Header X-Spoof ausführt: Aktion hinzufügen: double-quarantine("Policy"). 

Hinweis: Die hier gezeigte Funktion "Duplizieren" behält eine Kopie der Nachricht bei und setzt den Versand der Originalnachricht an den Empfänger fort. 

7.

Link-Content-Filter zu Richtlinien für eingehende E-Mails unter GUI > Mail-Policys >

Richtlinien für eingehende E-Mails 8.

Änderungen senden und bestätigen 9.

Hinzufügen von Spoof-Ausnahmen zu MY_TRUSTED_SPOOF_HOSTS

Schließlich müssen Sie der Sendergruppe MY_TRUSTED_SPOOF_HOSTS Spoof-Ausnahmen (IP-Adressen oder Hostnamen) hinzufügen. 

(6)

Navigieren Sie über die Web-GUI: Mail Policies > HAT Overview 1.

Klicken Sie auf und öffnen Sie die Absendergruppe MY_TRUSTED_SPOOF_HOSTS.

2.

Klicken Sie auf "Absender hinzufügen..". um eine IP-Adresse, einen Bereich, einen Hostnamen oder einen teilweisen Hostnamen hinzuzufügen.

3.

Klicken Sie auf Senden, um die Absenderänderungen zu speichern.

4.

Klicken Sie abschließend auf Änderungen bestätigen, um die Konfiguration zu speichern.

5.

Beispiel:

Überprüfen

Überprüft, ob gefälschte Nachrichten in Quarantäne gestellt werden

Senden Sie eine Testnachricht, die eine Ihrer Domänen als Umschlagabsender angibt.

Überprüfen Sie, ob der Filter wie erwartet funktioniert, indem Sie eine Nachrichtenverfolgung für diese Nachricht durchführen. Das erwartete Ergebnis ist, dass die Nachricht unter Quarantäne gestellt wird, da wir noch keine Ausnahmen für die Absender erstellt haben, die Spoofing zulassen dürfen. 

Thu Apr 23 07:09:53 2015 Info: MID 102 ICID 9 RID 0 To: <test_user@domain.com>

Thu Apr 23 07:10:07 2015 Info: MID 102 Subject 'test1'

Thu Apr 23 07:10:07 2015 Info: MID 102 ready 177 bytes from <user_1@example.com>

Thu Apr 23 07:10:07 2015 Info: MID 102 matched all recipients for per-recipient policy DEFAULT in the inbound table

Thu Apr 23 07:10:11 2015 Info: MID 102 interim verdict using engine: CASE spam negative Thu Apr 23 07:10:11 2015 Info: MID 102 using engine: CASE spam negative

Thu Apr 23 07:10:11 2015 Info: MID 102 interim AV verdict using Sophos CLEAN Thu Apr 23 07:10:11 2015 Info: MID 102 antivirus negative

Thu Apr 23 07:10:12 2015 Info: MID 102 quarantined to "Policy" (message filter:quarantine_spoofed_messages)

Thu Apr 23 07:10:12 2015 Info: Message finished MID 102 done

Überprüfen Sie, ob Spoof-Exception-Meldungen zugestellt werden.

"Spoof-Exception"-Absender sind IP-Adressen in Ihrer Absendergruppe(n), auf die im Filter oben verwiesen wird.

Auf RELAYLIST wird verwiesen, da es von der ESA zum Senden von ausgehenden E-Mails verwendet wird. Von RELAYLIST gesendete Nachrichten sind in der Regel ausgehende E-Mails, die keine falschen Positivmeldungen verursachen, oder ausgehende Nachrichten, die durch den

(7)

Filter oben in Quarantäne gestellt werden.

Beispiel für die Nachrichtenverfolgung einer "Spoof-Exception"-IP-Adresse, die

MY_TRUSTED_SPOOF_HOSTS hinzugefügt wurde. Die erwartete Aktion ist "Delivery" und nicht

"Quarantäne". (Diese IP-Adresse darf getäuscht werden.)

Thu Apr 23 07:25:57 2015 Info: Start MID 108 ICID 11

Thu Apr 23 07:25:57 2015 Info: MID 108 ICID 11 From: <user_1@example.com>

Thu Apr 23 07:26:02 2015 Info: MID 108 ICID 11 RID 0 To: <test_user@domain.com>

Thu Apr 23 07:26:10 2015 Info: MID 108 Subject 'test2'

Thu Apr 23 07:26:10 2015 Info: MID 108 ready 163 bytes from <user_1@example.com>

Thu Apr 23 07:26:10 2015 Info: MID 108 matched all recipients for per-recipient policy DEFAULT in the inbound table

Thu Apr 23 07:26:10 2015 Info: MID 108 interim AV verdict using Sophos CLEAN Thu Apr 23 07:26:10 2015 Info: MID 108 antivirus negative

Thu Apr 23 07:26:10 2015 Info: MID 108 queued for delivery

Thu Apr 23 07:26:10 2015 Info: Delivery start DCID 16 MID 108 to RID [0]

Thu Apr 23 07:26:11 2015 Info: Message done DCID 16 MID 108 to RID [0]

Thu Apr 23 07:26:11 2015 Info: MID 108 RID [0] Response '2.0.0 t58EVG9N031598 Message accepted for delivery'

Thu Apr 23 07:26:11 2015 Info: Message finished MID 108 done

Zugehörige Informationen

ESA-Spoofed Mail-Filterung

Spoof-Schutz durch Absenderverifizierung

Referenzen

ÄHNLICHE DOKUMENTE

Er zeigt den Zustellweg der E-Mail chronologisch rückwärts an: Im Header sind Sender und Empfänger der E-Mail sowie Name und IP-Adresse der Server eingetragen, über die die

Doch es kann auch noch deutlich schlimmer kommen: Sinken die Mittel der AHV unter eine bestimmte Schwelle, soll automatisch ein zusätzliches Lohnprozent eingefordert werden können,

Friderichs Kräuter 2022 Lehweg 2, 79361 Sasbach. Aktuell

Klicken Sie auf eine Ecke des Bilds und halten Sie dabei die linke Maustaste gedrückt.. Bringen Sie das Bild auf die

Wer vor einer zur Abnahme einer Versicherung an Eides Statt zuständigen Behörde eine solche Versicherung falsch abgibt oder unter Berufung auf eine solche Versicherung falsch

Honorartätigkeit im Programm Griffbereit / Rucksack KiTa (Nichtzutreffendes streichen). Sehr geehrte Damen

Das südliche „ruhige“ Gebiet wird zwar von unserer oben genannten Leitungsanlage geschnitten, ebenso wie auch der Trassenkorridor des Netzverstärkungsprojekt Urberach – Weinheim

Sofern ein/-e Arbeitnehmer/-in im Sinne von § 34f Absatz 4 GewO mit der Übermittlung der Daten an die Registerbehörde sowie der Speicherung und Veröffentlichung der Daten