简介
本文档介绍在垃圾邮件和欺诈邮件进入网络时,思科邮件安全设备(ESA)上遇到的问题。
问题
诈骗分子试图伪装成电子邮件。当电子邮件假冒(声称来自)贵公司员工时,它可能特别具有欺骗性,并可能导致混淆。为了解决此问题,电子邮件管理员可能会尝试阻止看似来自公司内部的入站邮件(欺骗邮件)。
如果阻止来自Internet且域名中包含公司返回地址的入站邮件,这似乎很合理,它可解决该问题。遗憾的是,当您以这种方式阻止邮件时,它也会同时阻止合法邮件。请考虑以下示例:
- 员工出差和使用酒店Internet服务提供商(ISP),ISP透明地将所有Simple Mail Transfer Protocol (SMTP)流量重定向到ISP邮件服务器。当邮件发送时,它可能看起来直接流经企业SMTP服务器,但实际上是在将其传送到企业之前通过第三方SMTP服务器发送。
- 员工订阅电子邮件讨论列表。当邮件发送到电子邮件列表时,它们会返回到所有订户,显然是从发件人返回。
- 外部系统用于监控外部可见设备的性能或可达性。出现警报时,邮件返回地址中包含公司域名。第三方服务提供商(如WebEx)经常这样做。
- 由于临时网络配置错误,来自公司内部的邮件将通过入站侦听程序发送,而不是通过出站侦听程序发送。
- 公司外部人员收到一封邮件,邮件用户代理(MUA)会使用新的信头行而不是原始信头将邮件转发回公司。
- 基于Internet的应用程序(如Federal Express送货页面或Yahoo此文章页面)会创建带有返回地址的合法邮件,该返回地址指向公司。 该邮件是合法的,具有来自公司内部的源地址,但并非源自公司内部。
这些示例显示,如果根据域信息阻止入站邮件,可能会导致误报。
解决方案
本节介绍为解决此问题,您应执行的建议操作。
应用过滤器
为了避免丢失合法电子邮件,请不要根据域信息阻止入站邮件。相反,您可以在这些类型的邮件进入网络时标记其主题行,这向收件人指示这些邮件可能是伪造的。 这可以通过邮件过滤器或内容过滤器来完成。
这些过滤器的基本策略是检查后向正文标题行(From数据是最重要的)以及RFC 821信封发件人。这些标题行最常显示在MUA中,并且最有可能由欺诈人员伪造。
下一个示例中的邮件过滤器显示如何标记可能模拟的邮件。此过滤器执行若干操作:
- 如果主题行中已包含“{Possibly Forged}”,则过滤器不会添加其他副本。当回复包含在邮件流中并且主题行可能在邮件线程完成之前多次通过邮件网关时,这一点很重要。
- 此过滤器将搜索地址以域名@yourdomain.com结尾的信封发件人或From信头。请注意,邮件发件人搜索自动不区分大小写,但发件人标头搜索不区分大小写。如果在任一位置都找到域名,过滤器将在主题行的末尾插入“{Possibly Forged}”。
以下是过滤器的示例:
MarkPossiblySpoofedEmail:
if ( (recv-listener == "InboundMail") AND
(subject != "\\{Possibly Forged\\}$") )
{
if (mail-from == "@yourdomain\\.com$") OR
(header("From") == "(?i)@yourdomain\\.com")
{
strip-header("Subject");
insert-header("Subject", "$Subject {Possibly Forged}");
}
}
其他措施
由于不存在从合法邮件中识别欺骗邮件的简单方法,因此无法完全消除该问题。因此,思科建议您启用IronPort反垃圾邮件扫描(IPAS),以有效识别欺诈邮件(网络钓鱼)或垃圾邮件并对其进行正面阻止。使用此反垃圾邮件扫描程序时,结合使用上一节中介绍的过滤器,可在不丢失合法邮件的情况下提供最佳结果。
如果您必须识别进入网络的欺诈性邮件,请考虑使用域密钥识别邮件(DKIM)技术;该技术需要更多设置,但它是针对网络钓鱼和欺诈性邮件的一种有效措施。
注意:有关邮件过滤器的详细信息,请参阅思科邮件安全设备支持页面上的AsyncOS用户指南。
反馈