簡介
本檔案介紹垃圾郵件和詐騙郵件進入網路時,思科電子郵件安全裝置(ESA)上發生的問題。
問題
詐騙犯試圖假冒電子郵件。當電子郵件模擬(聲稱來自)貴公司員工時,它可能特別具有欺騙性,並且可能導致混淆。為了解決此問題,電子郵件管理員可能會嘗試阻止似乎源自公司內部的入站郵件(偽裝郵件)。
如果阻止來自在域名中具有公司返回地址的Internet的入站郵件,這似乎符合邏輯,這樣可以解決該問題。遺憾的是,當您以這種方式阻止郵件時,它還可以同時阻止合法電子郵件。請考慮以下示例:
- 員工出差並使用一家飯店Internet服務提供商(ISP),該服務提供商透明地將所有Simple Mail Transfer Protocol (SMTP)流量重定向到ISP郵件伺服器。傳送郵件時,郵件似乎直接流經企業SMTP伺服器,但實際上在傳送到企業之前透過第三方SMTP伺服器傳送。
- 員工訂閱電子郵件討論清單。當郵件傳送到電子郵寄清單時,它們會返回給所有訂戶,顯然是來自傳送方。
- 外部系統用於監控外部可見裝置的效能或可達性。發生警示時,電子郵件在傳回地址中會有公司網域名稱。第三方服務提供商(例如WebEx)經常這樣做。
- 由於暫時性的網路組態錯誤,公司內部的郵件會透過內送監聽器傳送,而非透過外送監聽器傳送。
- 公司外部的人員會收到一封郵件,郵件使用者代理(MUA)會使用新的標題行而不是原始標題,將郵件轉發回公司。
- 基於Internet的應用程式(如Federal Express發貨頁面或Yahoo電子郵件此文章頁面)會建立具有返回地址的合法郵件,該返回地址指向公司。 郵件是合法的,具有來自公司內部的源地址,但並非源自公司內部。
這些示例顯示,如果根據域資訊阻止入站郵件,則可能導致誤報。
解決方案
本節介紹解決此問題時應執行的建議操作。
套用篩選條件
為避免丟失合法電子郵件,請勿根據域資訊阻止入站郵件。相反,您可以在這些型別的郵件進入網路時標籤其主題行,以向收件人指示這些郵件可能是偽造的。 可以使用郵件過濾器或內容過濾器來完成此操作。
這些過濾器的基本策略是檢查後向正文標題行(From資料是最重要的資料)以及RFC 821信封發件人。這些標題行最常顯示在MUA中,並且是最可能由欺詐人員偽造的標題行。
下一個範例中的訊息篩選顯示如何標籤可能模擬的訊息。此篩選器會執行數個動作:
- 如果主題行中已包含「{可能偽造}」,則篩選器不會增加另一個副本。當回覆包含在郵件流中時,這一點很重要,而且在郵件執行緒完成之前,主題行可能在郵件網關中移動多次。
- 此過濾器搜尋以域名@yourdomain.com結尾的地址的信封發件人或From信頭。請注意,發件人搜尋自動不區分大小寫,但發件人頭搜尋不區分大小寫。如果在任一位置都找到了域名,則篩選器會在主題行的末尾插入「{Possible Forged}」。
以下是過濾器的範例:
MarkPossiblySpoofedEmail:
if ( (recv-listener == "InboundMail") AND
(subject != "\\{Possibly Forged\\}$") )
{
if (mail-from == "@yourdomain\\.com$") OR
(header("From") == "(?i)@yourdomain\\.com")
{
strip-header("Subject");
insert-header("Subject", "$Subject {Possibly Forged}");
}
}
其他措施
由於沒有簡單的方法可以辨識合法郵件中的欺騙郵件,因此沒有方法可以完全消除此問題。因此,Cisco建議您啟用IronPort反垃圾郵件掃描(IPAS),以有效辨識欺詐郵件(網路釣魚)或垃圾郵件,並積極阻止它們。使用本反垃圾郵件掃描程式時,結合使用上一節中描述的過濾器,可在不丟失合法電子郵件的情況下提供最佳結果。
如果您必須辨識進入您網路的詐騙電子郵件,請考慮使用「網域金鑰辨識郵件」(DKIM)技術;這項技術需要更多設定,但這是針對網路釣魚和詐騙電子郵件的有效措施。
注意:有關郵件過濾器的詳細資訊,請參閱Cisco郵件安全裝置支援頁上的AsyncOS使用手冊。
意見