Introdução
Este documento descreve um problema encontrado no Cisco Email Security Appliance (ESA) quando spam e e-mail fraudulento entram na rede.
Problema
Os fraudadores tentam representar o email. Quando o e-mail representa (supostamente vem de) um membro da equipe da sua empresa, ele pode ser particularmente enganoso e pode causar confusão. Em uma tentativa de resolver esse problema, os administradores de e-mail podem tentar bloquear e-mails de entrada que parecem se originar dentro da empresa (e-mail falsificado).
Pode parecer lógico que, se você bloquear o e-mail de entrada da Internet que tem o endereço de retorno da empresa no nome de domínio, ele resolva o problema. Infelizmente, quando você bloqueia e-mails dessa maneira, também pode bloquear e-mails legítimos ao mesmo tempo. Considere estes exemplos:
- Um funcionário viaja e usa um provedor de serviços de Internet (ISP) de hotel que redireciona de forma transparente todo o tráfego do protocolo SMTP para os servidores de correio do ISP. Quando o e-mail é enviado, pode parecer que ele flui diretamente através do servidor SMTP da empresa, mas na verdade ele é enviado através de um servidor SMTP de terceiros antes de ser entregue à empresa.
- Um funcionário assina uma lista de discussão por e-mail. Quando as mensagens são enviadas para a lista de e-mail, elas são devolvidas a todos os assinantes, aparentemente da origem.
- Um sistema externo é usado para monitorar o desempenho ou o alcance de dispositivos visíveis externamente. Quando ocorre um alerta, o e-mail tem o nome de domínio da empresa no endereço de retorno. Provedores de serviços terceirizados, como o WebEx, fazem isso com bastante frequência.
- Devido a um erro temporário de configuração de rede, o e-mail de dentro da empresa é enviado através do ouvinte de entrada, em vez do ouvinte de saída.
- Alguém fora da empresa recebe uma mensagem que encaminha de volta para a empresa com um Agente de Correio de Usuário (MUA) que usa novas linhas de cabeçalho em vez do cabeçalho original.
- Um aplicativo baseado na Internet, como as páginas de envio do Federal Express ou a página enviar este artigo por e-mail para o Yahoo, cria e-mails legítimos com um endereço de retorno que aponta para a empresa. O e-mail é legítimo e tem um endereço de origem de dentro da empresa, mas não se origina de dentro.
Esses exemplos mostram que se você bloquear e-mails recebidos com base nas informações de domínio, isso poderá resultar em falsos positivos.
Solução
Esta seção descreve as ações recomendadas que você deve executar para resolver esse problema.
Aplicar filtros
Para evitar a perda de mensagens de e-mail legítimas, não bloqueie o e-mail de entrada com base nas informações do domínio. Em vez disso, você pode marcar a linha de assunto desses tipos de mensagens à medida que elas entram na rede, o que indica ao destinatário que as mensagens são potencialmente forjadas. Isso pode ser feito com filtros de mensagem ou com filtros de conteúdo.
A estratégia básica para esses filtros é verificar as linhas de cabeçalho do corpo apontadas para trás (os dados de De são os mais importantes), bem como o Remetente de Envelope RFC 821. Essas linhas de cabeçalho são mostradas com mais frequência em MUAs e são as mais prováveis de serem forjadas por uma pessoa fraudulenta.
O filtro de mensagens no próximo exemplo mostra como você pode marcar mensagens que são possivelmente representadas. Esse filtro executa várias ações:
- Se a linha de assunto já contiver "{Possivelmente forjado}", outra cópia não será adicionada pelo filtro. Isso é importante quando as respostas são incluídas no fluxo de mensagens, e uma linha de assunto pode se mover pelo gateway de e-mail várias vezes antes que um segmento de mensagem seja concluído.
- Este filtro procura o cabeçalho De ou Remetente do envelope que tenha um endereço que termine no nome de domínio @yourdomain.com. É importante observar que a pesquisa mail-from diferencia maiúsculas de minúsculas automaticamente, mas a pesquisa from-header não. Se o nome de domínio for encontrado em qualquer local, o filtro inserirá "{Possivelmente forjado}" no final da linha de assunto.
Aqui está um exemplo do filtro:
MarkPossiblySpoofedEmail:
if ( (recv-listener == "InboundMail") AND
(subject != "\\{Possibly Forged\\}$") )
{
if (mail-from == "@yourdomain\\.com$") OR
(header("From") == "(?i)@yourdomain\\.com")
{
strip-header("Subject");
insert-header("Subject", "$Subject {Possibly Forged}");
}
}
Medidas adicionais
Como não há uma maneira simples de identificar e-mails falsificados de e-mails legítimos, não há como eliminar o problema por completo. Portanto, a Cisco recomenda que você habilite a Varredura antisspam IronPort (IPAS), que efetivamente identifica e-mails fraudulentos (phishing) ou spam e os bloqueia positivamente. O uso desse verificador antisspam, quando combinado com os filtros descritos na seção anterior, fornece os melhores resultados sem a perda de e-mails legítimos.
Se você precisar identificar e-mails fraudulentos que chegam à sua rede, considere o uso da tecnologia Domain Keys Identified Mail (DKIM); ela requer mais configuração, mas é uma boa medida contra phishing e e-mails fraudulentos.
Observação: para obter mais informações sobre filtros de mensagens, consulte o Guia do usuário do AsyncOS na página de suporte do Cisco Email Security Appliance.