Las mejores prácticas dirigen para contra spoofing
Contenido
Sobre este documento
Este documento está para los clientes de Cisco, los partners de canal de Cisco y los ingenieros de Cisco que desplegarán la Seguridad del correo electrónico de Cisco. Este documentos abarca:
- ¿Cuál es spoofing del email?
- Flujo de trabajo de la defensa del spoofing del email
- ¿Qué más que usted puede hacer con la prevención del spoofing?
¿Cuál es spoofing del email?
El spoofing del email es la falsificación de la encabezado del email donde el mensaje aparece haber originado alguien o en alguna parte con excepción de la fuente real. El spoofing del email es una táctica usada en phishing y las campañas del Spam porque la gente es más probable abrir un email cuando ella lo piensa han sido enviadas por una fuente legítima, digna de confianza. Para más información sobre el spoofing, refiera por favor a http://blogs.cisco.com/security/what-is-email-spoofing-and-how-to-detect-it
Envíe por correo electrónico las caídas del spoofing en las categorías siguientes:
| Categoría |
Descripción |
Blanco principal |
| Spoofing directo del dominio |
Personifique un dominio idéntico en el “sobre de” como el dominio del beneficiario. |
Empleados |
| Engaño del nombre de la visualización |
“” De la encabezado muestra un remitente legítimo con un nombre ejecutivo de una organización. También conocido como compromiso del correo electrónico del negocio (BEC). |
Empleados |
| Personificación de la marca |
“” De la encabezado muestra un remitente legítimo con la marca de una organización bien conocida. |
Clientes/Partners |
| Ataque basado URL de Phish |
Un correo electrónico con un URL que intenta robar la información de los datos vulnerables y/o del login de la víctima. Un correo electrónico falso de un banco que pide que usted haga clic un link y que verifique sus detalles de la cuenta es un ejemplo del ataque basado URL del phishing. |
Empleados/Partners |
| Primo o ataque idéntico del dominio |
El “sobre” o “” del valor de encabezado muestra un direccionamiento similar del remitente que personifique real, en un intento por desviar los exámenes SPF, DKIM y DMARC. |
Empleados/Partners |
| La toma de posesión de la cuenta/comprometió la cuenta |
Tenga el acceso no autorizado a una cuenta de correo electrónico real que pertenezca alguien y después envíe los correos electrónicos a otras víctimas como el propietario legítimo de la cuenta de correo electrónico. |
Todo el mundo |
La primera categoría se relaciona con los abusos del Domain Name del propietario en el “sobre” del valor en la encabezado de Internet de un correo electrónico. La Seguridad del correo electrónico de Cisco puede remediate este ataque usando la verificación del remitente DNS permitir solamente los remitentes legítimos y el mismo resultado se puede alcanzar global usando la verificación DMARC, DKIM y SPF.
Sin embargo, las otras categorías no están violando totalmente la porción del dominio de la dirección de correo electrónico del remitente, por lo tanto no es fácil ser disuadido usando los expedientes del texto DNS o la verificación del remitente solamente. Idealmente, sería el mejor combinar algunas funciones de seguridad del correo electrónico de Cisco junto con la protección avanzada Cisco basada hacia fuera--cuadro del phishing (APP) para luchar contra tales amenazas avanzadas. Observe por favor que la aplicación de las funciones de seguridad del correo electrónico de Cisco puede variar a partir de una organización a otro y la aplicación incorrecta puede llevar a una alta incidencia de los falsos positivos, por lo tanto es importante entender las necesidades comerciales de la organización y adaptar las características por consiguiente.
Flujo de trabajo de la defensa del spoofing del email
Las funciones de seguridad que dirigen las mejores prácticas para monitorear, advierten y hacen cumplir contra los ataques de simulación se muestran en el diagrama a continuación (cuadro 1). Los detalles de cada característica serán proporcionados en este documento. La mejor práctica es un acercamiento profundizado de la defensa para detectar el spoofing del email. Tenga siempre presente que los atacantes cambiarán sus métodos contra una organización en un cierto plazo, así que es muy importante que un administrador monitorear cualquier cambio de ocurrencia y siga con las advertencias y la aplicación apropiadas.
Cuadro 1. tubería de la defensa del spoof de la Seguridad del correo electrónico de Cisco
Layer 1: Comprobación de validez en el dominio del remitente
La verificación del remitente es una manera más simple de prevenir el email enviado de un falso dominio de correo electrónico, por ejemplo el spoofing del dominio del primo (por ejemplo 'c1sc0.com es el imposter del “cisco.com "). La Seguridad del correo electrónico de Cisco hace una interrogación del registro MX para el dominio de la dirección de correo electrónico del remitente y realiza las operaciones de búsqueda del expediente A en el registro MX durante la conversación SMTP. Si la interrogación DNS vuelve NXDOMAIN, tratará el dominio como no existencia. Es una técnica común para que los atacantes forjen la información del remitente del sobre así que el correo electrónico de un remitente inverificado se está validando y se está procesando más lejos. Usando esta característica, todos los mensajes entrantes que fallan el control de la verificación serán rechazados por la Seguridad del correo electrónico de Cisco a menos que el dominio o la dirección IP del remitente PRE-se agregue en la “tabla de la excepción”.
Mejor práctica: Configure la Seguridad del correo electrónico de Cisco para rechazar la conversación SMTP si dominio de correo electrónico del campo del remitente del sobre es inválido y para permitir solamente los remitentes legítimos configurando la directiva del flujo de correo, la verificación del remitente y la tabla de la excepción (opcionales). Para más información, visite por favor: https://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/200057-Spoof-Protection-using-Sender-Verificati.html
Cuadro 2. sección de la verificación del remitente en la directiva predeterminada del flujo de correo.
Capa 2: Verifique “” de la encabezado usando DMARC
La verificación DMARC es una característica mucho potente a luchar contra “spoofing directo del dominio” y también incluye “nombre de la visualización” y “los ataques de la personificación de la marca”. Lazos DMARC en la información autenticada con el SPF o el DKIM (enviando la fuente del dominio, o la firma) con qué se presenta al fin-beneficiario en “” de la encabezado y comprueba que los identificadores SPF y/o DKIM están alineados con del identificador de la encabezado.
Para pasar la verificación DMARC, un correo electrónico entrante debe pasar por lo menos uno de estos mecanismos de autenticación. La Seguridad del correo electrónico de Cisco también permite que el administrador defina un perfil de la verificación DMARC para reemplazar las directivas DMARC del propietario del dominio y para enviar el agregado (RUA) y el error/los informes forenses (RUF) a los propietarios del dominio que ayuda a consolidar sus implementaciones de la autenticación a cambio.
Mejor práctica: Edite el perfil del valor por defecto DMARC que cumple con las acciones de política DMARC que son aconsejadas por el remitente. Además, las configuraciones globales de la verificación DMARC se deben editar para habilitar el generador de informe correcto. Una vez que el perfil se configura apropiadamente, el servicio de la verificación DMARC se debe habilitar en la política predeterminada de las directivas del flujo de correo.
Cuadro 3. perfil de la verificación DMARC
Nota: DMARC se debe implementar por el propietario del dominio de envío conjuntamente con una herramienta de supervisión del dominio, tal como protección del dominio de Cisco. Cuando está implementada apropiadamente, la aplicación DMARC en las ayudas de la Seguridad del email de Cisco protege contra el email phishing enviado a los empleados de los remitentes desautorizados o de los dominios. Para más información sobre la protección del dominio de Cisco, visite por favor este link: https://www.cisco.com/c/dam/en/us/products/collateral/security/cloud-email-security/at-a-glance-c45-740937.pdf
Capa 3: Evite que los spammeres envíen los correos electrónicos del spoofed
Los ataques de simulación pueden ser otra forma común de una campaña del Spam, por lo tanto habilitar la protección del anti-Spam es todavía esencial identificar con eficacia los email fraudulentos que contienen el Spam/los elementos phishing y los bloquean positivamente. El uso del motor del antispam, cuando está juntado con otras acciones de la mejor práctica, descritas a conciencia en este documento, proporciona los mejores resultados sin la pérdida de correos electrónicos legítimos.
Mejor práctica: Habilite la exploración del anti-Spam en la directiva predeterminada del correo y fije la acción de la cuarentena a las configuraciones positivamente identificadas del Spam. Aumente los tamaños mínimos de la exploración para el mensaje spam por lo menos a los 2M en la configuración global.
Cuadro 4. configuración del Anti-Spam en la directiva predeterminada del correo
El umbral del Spam se puede ajustar según el positivo y el Spam sospechoso para aumentar o para disminuir la sensibilidad (cuadro 5); sin embargo, Cisco desalienta al administrador para hacer así pues, y utiliza solamente los umbrales predeterminados como línea de fondo, a menos que siendo dicho de otra manera por Cisco.
Cuadro 5. umbrales del Anti-Spam que fijan en la directiva predeterminada del correo
Como nota al margen, la Seguridad del correo electrónico de Cisco ofrece el motor inteligente adicionado de la Multi-exploración (IMS) que proporciona diversa combinación del motor antispam a favor de aumentar las tarifas de captura del Spam (la mayoría de la captura-tarifa agresiva).
Capa 4: Determine los remitentes malévolos vía dominio de correo electrónico
Usando la detección basada IP de la reputación (SBR) luchar contra los ataques de simulación es no más suficiente debido a varias razones determinado con el hecho de que la misma fuente de IP Addresses se puede utilizar para recibir el múltiplo que envía los dominios, en este caso, la naturaleza de cada dominio puede ser diferente, por lo tanto haciendo los SBR menos eficaces prevenir los mensajes y las campañas infectados malévolos del spoofing. La reputación del dominio del remitente (SDR) viene en práctico dirigir tales preocupaciones.
Con la preservación de la reputación IP filtrando en la capa de la conexión SMTP, el veredicto de la reputación basado en la información sobre el dominio de envío presentada en la conversación SMTP y los encabezados del mensaje serán tomados en la consideración para determinar si el email es permitido por la directiva del correo entrante o no. El SDR está en la tapa en términos de con eficacia prevención de las campañas del spoofing de las fuentes malévolas o de un dominio que se ha registrado recientemente, menos que una semana, por ejemplo, en una tentativa clara de outsmart la característica de la exploración de la reputación.
Mejor práctica: Cree un filtro contento entrante que capture el dominio de envío en el cual el veredicto de la reputación SDR baja bajo o tremendo/pobre/haber corrompido o la edad del dominio es menos que o iguala a 5 días. La acción recomendada es quarantine el mensaje y enviar una notificación al administrador de seguridad del correo electrónico y al beneficiario original. Para más información sobre cómo configurar el SDR, vea por favor el video de Cisco en https://www.youtube.com/watch?v=IBLRQMT3SHU
El cuadro 6. filtro contento para la reputación SDR y el dominio envejecen con ambos notifican y quarantine las acciones.
Capa 5: Reduzca los falsos positivos con los resultados de la verificación SPF o DKIM
Es imprescindible aplicar la verificación SPF o DKIM (ambos o cualquiera una) en cuanto a las multi-capas de la estructura de detección del correo electrónico del spoof para la mayoría del ataque teclea. En lugar de tomar una última acción (tal como descenso o cuarentena), Cisco recomienda el agregar de una nueva encabezado tal como [X-SPF-DKIM] en el mensaje que falla la verificación SPF o DKIM y coopera el resultado con la característica forjada de la detección del email (FED) que cubriremos más adelante, a favor de un índice de captura mejorado de spoofing envía por correo electrónico.
Mejor práctica: Cree un filtro contento que examine los resultados de la verificación SPF o DKIM de cada mensaje entrante que pasaron con los exámenes anteriores. Agregue una nueva X-encabezado (por ejemplo X-SPF-DKIM=Fail) en el mensaje que falla la verificación SPF o DKIM y la entrega a la capa siguiente de exploración – detección forjada del correo electrónico (FED).
Cuadro 7. filtro contento que examina los mensajes con los resultados fallados SPF o DKIM
Capa 6: Detecte los mensajes con el nombre posiblemente forjado del remitente
Complementando con las verificaciones SPF, DKIM y DMARC, la detección forjada del email (FED) es otra línea de defensa importante contra el spoofing del email. FED es ideal a los ataques de simulación del remediate que abusan de “” del valor en el cuerpo del mensaje. Dado que usted conoce ya los nombres ejecutivos dentro de la organización, usted puede crear un diccionario de estos nombres y después referirse a ese diccionario con la condición de FED a los filtros contentos. Aparte de los nombres ejecutivos, usted puede también crear un diccionario de los dominios del primo o de los dominios idénticos, sobre la base de su propio dominio usando DNSTWIST (https://github.com/elceef/dnstwist) a corresponder con contra el spoofing idéntico del dominio.
Mejor práctica: Identifique a los usuarios en su organización cuyos mensajes sean probables ser forjados. Cree un Diccionario personalizado que explique los ejecutivos. Para cada nombre ejecutivo, el diccionario necesita incluir el nombre de usuario y todos los nombres de usuario posibles como términos (cuadro 8). Cuando el diccionario es completo, el uso forjó la detección del correo electrónico (FED) en el filtro contento para hacer juego en “” del valor de los mensajes entrantes con este las entradas de diccionario.
Cuadro 8. directorio de encargo para la detección forjada del correo electrónico
Es una acción opcional para agregar una condición de excepción para su dominio de correo electrónico adentro el “remitente del sobre” para desviar el examen de FED. Alternativamente, una “lista de dirección de encargo” se puede crear para desviar el examen de FED a una lista de direcciones de correo electrónico que se visualicen en “” de la encabezado (cuadro 9).
El cuadro 9. crea la lista de dirección para desviar el examen de FED
Aplique la acción propietaria forjada de la detección del correo electrónico (FED) para eliminar “” del valor y para revisar la dirección de correo electrónico real del remitente del sobre en el inbox del mensaje. Bastante que aplicando una última acción, agregue una nueva X-encabezado (ejemplo: X-FED=Match) en el mensaje que correspondió con la condición y continúa entregando el mensaje a la capa siguiente de examen (cuadro 10).
Cuadro 10. configuración contenta recomendada del filtro para FED
Capa 7: Email positivamente identificado del spoofing
Es más eficaz identificar una campaña real del spoofing refiriéndose a otros veredictos de las diversas funciones de seguridad a la tubería, tal como la información de la X-encabezado que es presentada por la “aplicación SPF/DKIM” y “FED”. Los administradores pueden crear un filtro contento para identificar los mensajes agregados con ambas nuevas X-encabezados debidas fallaron los resultados de la verificación SPF/DKIM (X-SPF-DKIM=Fail) y que “” de la encabezado está correspondiendo con las entradas de diccionario de FED (X-FED=Match).
La acción recomendada puede ser, cualquier cuarentena el mensaje y notificar al beneficiario o continuar entregando el mensaje original pero prepending las palabras del [POSSIBLE FORGED] “para sujetar” la línea como advertencia al beneficiario según lo representado abajo (cuadro 11).
Cuadro 11 cosechadora todas las X-encabezados en una sola regla (final)
Capa 8: Protección contra el phishing URL
La protección contra los links del phishing URL se incorpora en el URL y el brote que filtran en la Seguridad del correo electrónico de Cisco. Las amenazas mezcladas combinan el spoofing y los mensajes phishing en un intento por parecer más legítimas a la blanco, por lo tanto habilitar la filtración del brote es crítico ayudar a detectar, a analizar y a parar tales amenazas sobre una base en tiempo real. Vale el saber de que la reputación URL está evaluada dentro del motor antispam y será utilizada como parte de la decisión para la detección del Spam. Si el motor antispam no para el mensaje con el URL como Spam, será evaluado por el URL y el brote que filtran en la última parte de que la Seguridad canaliza.
Recomendación: Cree una regla para filtros contenta que bloquee el URL con una calificación “malévola” de la reputación y reoriente el URL con una calificación “neutral” de la reputación al proxy del Cisco Security (cuadro 12). Habilite los filtros del brote de la amenaza habilitando la modificación del mensaje. La reescritura URL permite para que los URL sospechosos sean analizados por el proxy del Cisco Security (cuadro 13). Para más información, visite por favor: https://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/118775-technote-esa-00.html
Figura 12. Filtro contento para las reputaciones URL
Figura 13. Reescritura del permiso URL en la filtración del brote
Capa 9: Aumente la capacidad de la detección del spoofing con Cisco avanzó la protección de Phishing (el APP)
Cisco ofrece la protección avanzada del phishing (APP) que integra el aprendizaje de máquina, combinando la identidad local y la relación que modelan con el analytics del comportamiento, para proteger mejor contra las amenazas engaño-basadas identidad. El APP también permite que el administrador quite los correos electrónicos malévolos del inboxes de los usuarios para prevenir el fraude del alambre u otros ataques avanzados; y proporciona la visibilidad detallada en la actividad del ataque del correo electrónico, incluyendo los mensajes totales asegurados y los ataques prevenidos. Para más detalles, visite por favor los siguientes enlaces: https://www.cisco.com/c/dam/en/us/products/collateral/security/cloud-email-security/at-a-glance-c45-740894.pdf
Recomendación: Cisco APP es una solución del hacia fuera-de--cuadro en la nube. Los administradores realizan el correo electrónico que mete en diario en el servidor de correo electrónico tal como intercambio y oficina 365 para conservar la información de encabezado de todos los mensajes entrantes en Cisco APP para el análisis adicional sin ninguna intervención programada humana. Los administradores revisan las clases del ataque que Cisco APP ha identificado (cuadro 14) y las directivas de la configuración que incluyen la capacidad de alertar al administrador, borran el mensaje o quarantine el mensaje a una carpeta alterna basada en los tipos del ataque (cuadro 15).
Figura 14. Cisco APP puebla automáticamente las clases del ataque en el panel principal
Cuadro 15. La configuración de la directiva en Cisco APP que automatiza la acción si el mensaje hace juego el tipo seleccionado del ataque.
¿Qué más que usted puede hacer con la prevención del spoofing?
Muchas parodias pueden remediated ejercitando algunas precauciones simples, incluyendo pero no sólo:
- Limite el uso de los dominios whitelisted en la tabla del acceso del host (SOMBRERO) Partners muy a pocos de un negocio principal
- Miembros siempre de la pista y de la actualización en el grupo del remitente SPOOF_ALLOW, si usted ha creado uno siguiendo las instrucciones dadas en el link de las mejores prácticas.
- Habilite la detección del graymail y coloqúelas en la cuarentena del Spam también
Pero el más importante de todos, habilite el SPF, DKIM, y DMARC y implementelos apropiadamente. Sin embargo, la dirección de cómo publicar los expedientes SPF, DKIM y DMARC está fuera del alcance de este documento. Para eso, refiera por favor al White Paper siguiente: https://www.cisco.com/c/dam/en/us/products/collateral/security/esa-spf-dkim-dmarc.pdf
También entendemos el desafío de los ataques remediating del email tales como las campañas del spoofing discutidas aquí. Si usted está teniendo preguntas sobre implementar estas mejores prácticas, entre en contacto por favor el Soporte técnico de Cisco abriendo un caso. Alcance alternativamente, por favor hacia fuera a su equipo de cuenta de Cisco para una solución y a la guía para el diseño. Para más información sobre la Seguridad del correo electrónico de Cisco, vaya por favor a http://www.cisco.com/c/en/us/products/security/emailsecurity/index.html
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)