Détecter les e-mails frauduleux sur ESA et créer des exceptions

Options de téléchargement

  • PDF     (880.2 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (757.3 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (549.7 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:9 juin 2023
ID du document:200166

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment contrôler l'usurpation d'e-mail sur Cisco ESA et comment créer des exceptions pour les utilisateurs autorisés à envoyer des e-mails usurpés.

    Conditions préalables

    Exigences

    Votre appareil de sécurité de la messagerie électronique (ESA) doit traiter les messages entrants et sortants et utiliser une configuration standard de RELAYLIST pour marquer les messages comme sortants.

    Composants utilisés

    Les composants spécifiques utilisés sont les suivants :

    • Dictionnaire : utilisé pour stocker tous vos domaines internes.
    • Filtre de message : utilisé pour gérer la logique de détection des e-mails usurpés et insérer un en-tête sur lequel les filtres de contenu peuvent agir.
    • Quarantaine des stratégies : utilisée pour stocker temporairement des doublons d'e-mails usurpés. Pensez à ajouter l'adresse IP des messages libérés à MY_TRUSTED_SPOOF_HOSTS pour empêcher les messages futurs de cet expéditeur d'entrer dans la quarantaine de la stratégie.
    • MY_TRUSTED_SPOOF_HOSTS : liste pour référencer vos adresses IP d'envoi approuvées. L'ajout de l'adresse IP d'un expéditeur à cette liste ignore la quarantaine et permet à l'expéditeur de se tromper. Vous placez les expéditeurs approuvés dans votre groupe d'expéditeurs MY_TRUSTED_SPOOF_HOSTS afin que les messages usurpés de ces expéditeurs ne soient pas mis en quarantaine. 
    • RELAYLIST : liste permettant d'authentifier les adresses IP autorisées à relayer ou à envoyer des e-mails sortants. Si l'e-mail est remis via ce groupe d'expéditeurs, il est supposé qu'il ne s'agit pas d'un message usurpé.

    Remarque : si l'un des groupes d'expéditeurs est appelé différemment de MY_TRUSTED_SPOOF_HOSTS ou RELAYLIST, vous devez modifier le filtre avec le nom de groupe d'expéditeurs correspondant. En outre, si vous avez plusieurs écouteurs, vous avez également plusieurs MY_TRUSTED_SPOOF_HOSTS.

    Les informations contenues dans ce document sont basées sur l'ESA avec n'importe quelle version d'AsyncOS.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

    La mystification est activée par défaut sur Cisco ESA. Il existe plusieurs raisons valables d'autoriser d'autres domaines à envoyer en votre nom.  Par exemple, ESA Administrator souhaite contrôler les e-mails usurpés en mettant en quarantaine les messages usurpés avant leur remise.

    Pour effectuer une action spécifique, telle que la mise en quarantaine sur les e-mails usurpés, vous devez d'abord détecter les e-mails usurpés.

    En quoi consiste la mystification des e-mails

    L'usurpation d'e-mail est la falsification d'un en-tête d'e-mail de sorte que le message semble provenir de quelqu'un ou d'un autre endroit que la source réelle. L'usurpation d'adresse e-mail est une tactique utilisée dans les campagnes d'hameçonnage et de spam, car les utilisateurs sont plus susceptibles d'ouvrir un e-mail lorsqu'ils pensent qu'il a été envoyé par une source légitime.

    Détection des e-mails frauduleux

    Vous voulez filtrer tous les messages qui ont un expéditeur d'enveloppe (Mail-From) et un en-tête convivial de (From) qui contiennent l'un de vos propres domaines entrants dans l'adresse e-mail.

    Autorisation de l'usurpation pour des expéditeurs spécifiques

    Lorsque vous implémentez le filtre de messages fourni dans cet article, les messages usurpés sont marqués d'un en-tête et le filtre de contenu est utilisé pour exécuter une action sur l'en-tête . Pour ajouter une exception, ajoutez simplement l'adresse IP de l'expéditeur à MY_TRUSTED_SPOOF_HOSTS.

    Configurer

    Créer un groupe d'expéditeurs 

    1. Dans l'interface graphique utilisateur ESA, accédez à Politiques de messagerie > Vue d'ensemble de HAT
    2. Cliquer Ajouter. 
    3. Dans le champ Nom, spécifiez MY_TRUSTED_SPOOF_HOSTS.
    4. Dans le champ Commande, spécifiez 1.
    5. Pour le champ Policy, spécifiez ACCEPTED.
    6. Cliquez sur Submit pour enregistrer les modifications.
    7. Enfin, cliquez sur Commit Changes pour enregistrer la configuration

    Exemple : Create a Sender Group

    Créer un dictionnaire

    Créez un dictionnaire pour tous les domaines pour lesquels vous souhaitez désactiver l'usurpation sur l'ESA :

    1. Dans l'interface graphique utilisateur ESA, accédez à Politiques de messagerie > Dictionnaires.
    2. Cliquer Ajouter un dictionnaire.
    3. Dans le champ Nom, spécifiez « VALID_INTERNAL_DOMAINS » pour que la copie et le collage du filtre de message soient exempts d'erreurs. 
    4. Sous Ajouter des termes, ajoutez tous les domaines pour lesquels vous souhaitez détecter l'usurpation.  Entrez le domaine avec le signe @ avant le domaine et cliquez sur add
    5. Assurez-vous que la case Correspondance des mots entiers est décochée. 
    6. Cliquez sur Submit pour enregistrer les modifications apportées au dictionnaire.
    7. Enfin, cliquez sur Commit Changes pour enregistrer la configuration.

    Exemple :

    Create a Dictionary

    Créer un filtre de message

    Ensuite, vous devez créer un filtre de messages afin d'exploiter le dictionnaire que vous venez de créer, "VALID_INTERNAL_DOMAINS" :

    1. Connectez-vous à l'interface de ligne de commande (CLI) de l'ESA.
    2. Exécutez la commande Filters.
    3. Exécutez la commande New pour créer un nouveau filtre de messages.
    4. Copiez et collez cet exemple de filtre, en apportant des modifications à vos noms de groupe d'expéditeurs réels si nécessaire :


      mark_spoofed_messages:
      if(
           (mail-from-dictionary-match("VALID_INTERNAL_DOMAINS", 1)) 
       OR  (header-dictionary-match("VALID_INTERNAL_DOMAINS","From", 1))) 
       AND ((sendergroup != "RELAYLIST") 
       AND (sendergroup != "MY_TRUSTED_SPOOF_HOSTS")
        ) 
      {
      insert-header("X-Spoof", "");
      }
    5. Retournez à l'invite de l'interface de ligne de commande principale et exécutez Commit pour enregistrer la configuration.
    6. Accédez à GUI > Mail Policies > Incoming Content Filters
    7. Créer un filtre de contenu entrant qui exécute une action sur l'en-tête usurpateur X-Spoof :

      1. Ajouter un autre en-tête

      2. Nom de l'en-tête : X-Spoof

      3. Bouton radio En-tête existant

      4. Ajouter une action : duplicata-quarantine(Policy). 

        Remarque : la fonctionnalité de message dupliqué affichée ici conserve une copie du message et continue d'envoyer le message d'origine au destinataire. 



        Create a Message Filter
        Add Incoming Content Filter

    8. Liez le filtre de contenu aux stratégies de messages entrants dans GUI > Politiques de messagerie > Politiques de messages entrants.
    9. Soumettre et valider les modifications.

    Ajouter des exceptions d'usurpation à MY_TRUSTED_SPOOF_HOSTS

    Enfin, vous devez ajouter des exceptions d'usurpation ( adresses IP ou noms d'hôte) au groupe d'expéditeurs MY_TRUSTED_SPOOF_HOSTS. 

    1. Naviguez via l'interface utilisateur graphique Web : Politiques de messagerie > Vue d'ensemble du TAH
    2. Cliquez sur et ouvrez le groupe d'expéditeurs MY_TRUSTED_SPOOF_HOSTS.
    3. Cliquez sur Add Sender... pour ajouter une adresse IP, une plage, un nom d'hôte ou un nom d'hôte partiel.
    4. Cliquez sur Submit pour enregistrer les modifications de l'expéditeur.
    5. Enfin, cliquez sur Commit Changes pour enregistrer la configuration.

    Exemple :

    Add Spoof Exceptions to MY_TRUSTED_SPOOF_HOSTS

    Vérifier

    Vérifier que les messages usurpés sont mis en quarantaine

    Envoyez un message test spécifiant l'un de vos domaines comme expéditeur de l'enveloppe. Vérifiez que le filtre fonctionne comme prévu en effectuant un suivi des messages sur ce message. Le résultat attendu est que le message est mis en quarantaine car vous n'avez pas encore créé d'exceptions pour les expéditeurs autorisés à usurper. 

    Thu Apr 23 07:09:53 2015 Info: MID 102 ICID 9 RID 0 To: <xxxx_xxxx@domain.com>
    Thu Apr 23 07:10:07 2015 Info: MID 102 Subject 'test1'
    Thu Apr 23 07:10:07 2015 Info: MID 102 ready 177 bytes from <user_1@example.com>
    Thu Apr 23 07:10:07 2015 Info: MID 102 matched all recipients for per-recipient policy DEFAULT in the inbound table
    Thu Apr 23 07:10:11 2015 Info: MID 102 interim verdict using engine: CASE spam negative
    Thu Apr 23 07:10:11 2015 Info: MID 102 using engine: CASE spam negative
    Thu Apr 23 07:10:11 2015 Info: MID 102 interim AV verdict using Sophos CLEAN
    Thu Apr 23 07:10:11 2015 Info: MID 102 antivirus negative
    Thu Apr 23 07:10:12 2015 Info: MID 102 quarantined to "Policy" (message filter:quarantine_spoofed_messages)
    Thu Apr 23 07:10:12 2015 Info: Message finished MID 102 done

    Vérification de la remise des messages d'exception d'usurpation

    Les expéditeurs d'exception d'usurpation sont des adresses IP de vos groupes d'expéditeurs référencés dans le filtre ci-dessus.

    La liste RELAYLIST est référencée car elle est utilisée par l'ESA pour envoyer des messages sortants. Les messages envoyés par RELAYLIST sont généralement des messages sortants, et le fait de ne pas les inclure créerait des faux positifs ou des messages sortants mis en quarantaine par le filtre ci-dessus.

    Exemple de suivi de message d'une adresse IP d'exception d'usurpation ajoutée à MY_TRUSTED_SPOOF_HOSTS. L'action attendue est la livraison et non la mise en quarantaine. (Cette adresse IP est autorisée à usurper).

    Thu Apr 23 07:25:57 2015 Info: Start MID 108 ICID 11
    Thu Apr 23 07:25:57 2015 Info: MID 108 ICID 11 From: <user_1@example.com>
    Thu Apr 23 07:26:02 2015 Info: MID 108 ICID 11 RID 0 To: <user_xxxx@domain.com>
    Thu Apr 23 07:26:10 2015 Info: MID 108 Subject 'test2'
    Thu Apr 23 07:26:10 2015 Info: MID 108 ready 163 bytes from <user_1@example.com>
    Thu Apr 23 07:26:10 2015 Info: MID 108 matched all recipients for per-recipient policy DEFAULT in the inbound table
    Thu Apr 23 07:26:10 2015 Info: MID 108 interim AV verdict using Sophos CLEAN
    Thu Apr 23 07:26:10 2015 Info: MID 108 antivirus negative
    Thu Apr 23 07:26:10 2015 Info: MID 108 queued for delivery
    Thu Apr 23 07:26:10 2015 Info: Delivery start DCID 16 MID 108 to RID [0]
    Thu Apr 23 07:26:11 2015 Info: Message done DCID 16 MID 108 to RID [0]
    Thu Apr 23 07:26:11 2015 Info: MID 108 RID [0] Response '2.0.0 t58EVG9N031598 Message accepted for delivery'
    Thu Apr 23 07:26:11 2015 Info: Message finished MID 108 done

    Informations connexes

    Informations internes Cisco

    Il y a une demande de fonctionnalité sur l'exposition du RAT aux filtres de messages/filtres de contenu pour simplifier ce processus :

    ID de bogue Cisco CSCus49018 - ENH : Expose Recipient Access Table (RAT) pour filtrer les conditions

    Historique de révision

    Révision Date de publication Commentaires
    2.0
    09-Jun-2023
    Texte de remplacement ajouté. Titre mis à jour, Introduction, PII, SEO, Avertissement légal, Traduction automatique, Exigences de style et Mise en forme.
    1.0
    23-Sep-2015
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Stephan Bayer
      Responsable des services
    • Alvaro J Gordon-Escobar
      Responsable technique du génie logiciel

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits