Einleitung
In diesem Dokument wird ein Problem beschrieben, das auf der Cisco E-Mail Security Appliance (ESA) auftritt, wenn Spam und betrügerische E-Mails in das Netzwerk eindringen.
Problem
Betrüger versuchen, E-Mails zu imitieren. Wenn die E-Mail die Identität (angeblich) eines Mitarbeiters in Ihrem Unternehmen annimmt, kann sie besonders trügerisch sein und Verwirrung stiften. Um dieses Problem zu beheben, können E-Mail-Administratoren versuchen, eingehende E-Mails zu blockieren, die scheinbar aus dem Unternehmen stammen (gefälschte E-Mails).
Es mag logisch erscheinen, dass das Problem gelöst wird, wenn Sie die eingehenden E-Mails aus dem Internet blockieren, die die Absenderadresse des Unternehmens im Domänennamen enthalten. Wenn Sie auf diese Weise E-Mails blockieren, können gleichzeitig auch legitime E-Mails blockiert werden. Hier einige Beispiele:
- Ein Mitarbeiter ist unterwegs und nutzt einen Internet Service Provider (ISP), der den gesamten SMTP-Datenverkehr (Simple Mail Transfer Protocol) transparent zu den ISP-Mail-Servern umleitet. Beim Senden von E-Mails scheint es, als ob diese direkt über den SMTP-Server des Unternehmens gesendet werden, aber sie werden tatsächlich über einen SMTP-Server eines Drittanbieters gesendet, bevor sie an das Unternehmen geliefert werden.
- Ein Mitarbeiter abonniert eine E-Mail-Diskussionsliste. Wenn Nachrichten an die E-Mail-Liste gesendet werden, werden sie an alle Abonnenten zurückgesendet, anscheinend vom Absender.
- Ein externes System wird verwendet, um die Leistung oder Erreichbarkeit von extern sichtbaren Geräten zu überwachen. Wenn eine Warnung ausgegeben wird, wird in der E-Mail der Domänenname des Unternehmens in der Absenderadresse angegeben. Drittanbieter wie WebEx führen dies relativ häufig durch.
- Aufgrund eines temporären Fehlers bei der Netzwerkkonfiguration werden E-Mails aus dem Unternehmen über den eingehenden Listener und nicht über den ausgehenden Listener gesendet.
- Jemand außerhalb des Unternehmens erhält eine Nachricht, die er mit einem Mail User Agent (MUA) an das Unternehmen weiterleitet, der neue Header-Zeilen anstelle des ursprünglichen Headers verwendet.
- Eine internetbasierte Anwendung, z. B. die Federal Express-Versandseiten oder die Yahoo-E-Mail zu dieser Artikelseite, erstellt legitime E-Mails mit einer Absenderadresse, die an das Unternehmen zurückverweist. Die E-Mail ist legitim und hat eine Quelladresse innerhalb des Unternehmens, sie stammt jedoch nicht von innen.
Diese Beispiele zeigen, dass die Blockierung eingehender E-Mails anhand der Domäneninformationen zu Fehlalarmen führen kann.
Lösung
In diesem Abschnitt werden die empfohlenen Aktionen beschrieben, die Sie durchführen sollten, um dieses Problem zu lösen.
Filter anwenden
Um den Verlust von legitimen E-Mail-Nachrichten zu vermeiden, sollten Sie die eingehenden E-Mails nicht anhand der Domäneninformationen blockieren. Stattdessen können Sie die Betreffzeile dieser Arten von Nachrichten markieren, wenn sie in das Netzwerk eindringen. Dies weist den Empfänger darauf hin, dass die Nachrichten möglicherweise gefälscht sind. Dies kann entweder mit Nachrichtenfiltern oder mit Content-Filtern erreicht werden.
Die grundlegende Strategie für diese Filter besteht darin, die rückwärts gerichteten Body-Header-Zeilen (die wichtigsten From-Daten) sowie den RFC 821-Umschlagabsender zu überprüfen. Diese Kopfzeilen werden am häufigsten in MUAs angezeigt und sind diejenigen, die am wahrscheinlichsten von einer betrügerischen Person gefälscht werden.
Der Nachrichtenfilter im nächsten Beispiel zeigt, wie Sie potenziell imitierte Nachrichten mit Tags versehen können. Dieser Filter führt mehrere Aktionen aus:
- Wenn die Betreffzeile bereits "{Möglicherweise gefälscht}" enthält, wird vom Filter keine weitere Kopie hinzugefügt. Dies ist wichtig, wenn Antworten im Nachrichtenfluss enthalten sind und eine Betreffzeile möglicherweise mehrmals durch das Mail-Gateway bewegt wird, bevor ein Nachrichtenthread abgeschlossen ist.
- Dieser Filter sucht nach dem Umschlagabsender oder dem Von-Header, dessen Adresse auf den Domänennamen @yourdomain.com endet. Beachten Sie, dass bei der Suche nach Absendern automatisch die Groß-/Kleinschreibung nicht beachtet wird, bei der Suche nach Absendern aus der Kopfzeile jedoch nicht. Wenn der Domänenname an einem der Standorte gefunden wird, fügt der Filter "{Popossible Forged}" am Ende der Betreffzeile ein.
Hier ist ein Beispiel für den Filter:
MarkPossiblySpoofedEmail:
if ( (recv-listener == "InboundMail") AND
(subject != "\\{Possibly Forged\\}$") )
{
if (mail-from == "@yourdomain\\.com$") OR
(header("From") == "(?i)@yourdomain\\.com")
{
strip-header("Subject");
insert-header("Subject", "$Subject {Possibly Forged}");
}
}
Zusätzliche Maßnahmen
Da es keine einfache Möglichkeit gibt, gefälschte E-Mails von legitimen E-Mails zu identifizieren, gibt es keine Möglichkeit, das Problem vollständig zu beseitigen. Cisco empfiehlt daher, IronPort Anti-Spam Scanning (IPAS) zu aktivieren, das betrügerische E-Mails (Phishing) oder Spam effektiv erkennt und blockiert. Die Verwendung dieses Anti-Spam-Scanners bietet in Verbindung mit den im vorherigen Abschnitt beschriebenen Filtern die besten Ergebnisse, ohne dass legitime E-Mails verloren gehen.
Wenn Sie betrügerische E-Mails identifizieren müssen, die in Ihr Netzwerk eingehen, dann sollten Sie die Domain Keys Identified Mail (DKIM)-Technologie in Betracht ziehen. Sie erfordert mehr Einrichtung, ist aber eine gute Maßnahme gegen Phishing und betrügerische E-Mails.
Hinweis: Weitere Informationen zu Nachrichtenfiltern finden Sie im AsyncOS-Benutzerhandbuch auf der Support-Seite der Cisco Email Security Appliance.
Feedback