Rileva i messaggi di posta elettronica oggetto di spoofing sull'ESA e crea eccezioni

Opzioni per il download

  • PDF     (854.5 KB)
    Visualizza con Adobe Reader su diversi dispositivi
Aggiornato:9 giugno 2023
ID documento:200166

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

Questo documento descrive come controllare lo spoofing delle e-mail su Cisco ESA e come creare eccezioni per gli utenti autorizzati a inviare e-mail oggetto di spoofing.

Prerequisiti

Requisiti

Email Security Appliance (ESA) deve elaborare i messaggi di posta in arrivo e in uscita e utilizzare una configurazione standard di RELAYLIST per contrassegnare i messaggi come in uscita.

Componenti usati

I componenti specifici utilizzati comprendono:

  • Dizionario utilizzato per archiviare tutti i domini interni.
  • Filtro messaggi: viene utilizzato per gestire la logica di rilevamento dei messaggi di posta elettronica falsificati e per inserire un'intestazione su cui i filtri contenuti possono agire.
  • Quarantena criteri: utilizzato per archiviare temporaneamente duplicati di messaggi di posta elettronica oggetto di spoofing. Prendere in considerazione l'aggiunta dell'indirizzo IP dei messaggi rilasciati a MY_TRUSTED_SPOOF_HOSTS per impedire che i futuri messaggi provenienti da questo mittente vengano messi in quarantena.
  • HOST_SPOOF_ATTENDIBILI: per fare riferimento agli indirizzi IP di invio attendibili. L'aggiunta di un indirizzo IP di un mittente all'elenco ignora la quarantena e consente al mittente di eseguire lo spoof. I mittenti attendibili vengono inseriti nel gruppo di mittenti MY_TRUSTED_SPOOF_HOSTS in modo che i messaggi oggetto di spoofing di questi mittenti non vengano messi in quarantena. 
  • ELENCO INOLTRO: per autenticare gli indirizzi IP che possono inoltrare o inviare messaggi e-mail in uscita. Se l'e-mail viene recapitata tramite questo gruppo di mittenti, si presume che il messaggio non sia un messaggio oggetto di spoofing.

Nota: Se uno dei due gruppi di mittenti è diverso da MY_TRUSTED_SPOOF_HOSTS o RELAYLIST, è necessario modificare il filtro con il nome del gruppo di mittenti corrispondente. Inoltre, se si hanno più listener, si ha anche più di un MY_TRUSTED_SPOOF_HOSTS.

Le informazioni di questo documento si basano sull'ESA con qualsiasi versione AsyncOS.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

Lo spoofing è abilitato per impostazione predefinita su Cisco ESA. Esistono diversi motivi validi per consentire l'invio di altri domini per conto dell'utente.  Un esempio comune: l'amministratore ESA vuole controllare le e-mail contraffatte mettendo in quarantena i messaggi contraffatti prima che vengano consegnati.

Per eseguire un'azione specifica, ad esempio la quarantena di messaggi di posta elettronica falsificati, è necessario innanzitutto rilevare tali messaggi.

Che cos'è lo spoofing della posta elettronica

Lo spoofing delle e-mail è la falsificazione di un'intestazione e-mail in modo che il messaggio sembri provenire da una persona o da un luogo diverso dalla fonte effettiva. Lo spoofing delle e-mail è una tattica utilizzata nelle campagne di phishing e spam perché è più probabile che le persone aprano un'e-mail quando pensano che sia stata inviata da una fonte legittima.

Come rilevare le e-mail falsificate

Si desidera filtrare tutti i messaggi con un mittente di busta (Da-Posta) e un'intestazione Inviato da (Da) contenenti uno dei propri domini in arrivo nell'indirizzo di posta elettronica.

Come consentire lo spoofing per mittenti specifici

Quando si implementa il filtro messaggi fornito in questo articolo, i messaggi oggetto di spoofing vengono contrassegnati con un'intestazione e il filtro contenuti viene utilizzato per eseguire un'azione sull'intestazione. Per aggiungere un'eccezione, è sufficiente aggiungere l'indirizzo IP del mittente a MY_TRUSTED_SPOOF_HOSTS.

Configurazione

Crea un gruppo di mittenti 

  1. Dalla GUI dell'ESA, selezionare Mail Policies > HAT Overview (Policy di posta > Panoramica HAT)
  2. Fare clic su Add. 
  3. Nel campo Nome, specificare MY_TRUSTED_SPOOF_HOSTS.
  4. Nel campo Ordine, specificare 1.
  5. Per il campo Criterio, specificare ACCETTATO.
  6. Fare clic su Invia per salvare le modifiche.
  7. Infine, fare clic su Commit delle modifiche per salvare la configurazione

Esempio: Create a Sender Group

Crea un dizionario

Creare un dizionario per tutti i domini per i quali si desidera disattivare lo spoofing sull'ESA:

  1. Dalla GUI dell'ESA, selezionare Mail Policies > Dictionaries (Policy di posta > Dizionari).
  2. Fare clic su Aggiungi dizionario.
  3. Nel campo Nome, specificare 'VALID_INTERNAL_DOMAINS' per rendere il filtro messaggi privo di errori durante la copia e l'incollamento. 
  4. In aggiungi termini aggiungere tutti i domini che si desidera rilevare lo spoofing.  Immettere il dominio preceduto dal simbolo @, quindi fare clic su add (aggiungi). 
  5. Assicurarsi che la casella di controllo Corrispondenza parole intere sia deselezionata. 
  6. Fare clic su Invia per salvare le modifiche apportate al dizionario.
  7. Infine, fare clic su Commit delle modifiche per salvare la configurazione.

Esempio:

Create a Dictionary

Creare un filtro messaggi

Successivamente, è necessario creare un filtro messaggi per utilizzare il dizionario appena creato, "VALID_INTERNAL_DOMAINS":

  1. connettersi all'interfaccia della riga di comando (CLI) dell'ESA.
  2. Eseguire il comando Filtri.
  3. Eseguire il comando New per creare un nuovo filtro messaggi.
  4. Copiare e incollare questo esempio di filtro, apportando le modifiche necessarie ai nomi effettivi del gruppo di mittenti:


    mark_spoofed_messages:
    if(
         (mail-from-dictionary-match("VALID_INTERNAL_DOMAINS", 1)) 
     OR  (header-dictionary-match("VALID_INTERNAL_DOMAINS","From", 1))) 
     AND ((sendergroup != "RELAYLIST") 
     AND (sendergroup != "MY_TRUSTED_SPOOF_HOSTS")
      ) 
    {
    insert-header("X-Spoof", "");
    }
  5. Tornare al prompt della CLI principale ed eseguire Commit per salvare la configurazione.
  6. Selezionare GUI > Mail Policies > Incoming Content Filters (Policy di posta > Filtri contenuti in arrivo)
  7. Crea filtro contenuti in arrivo che esegue azioni sull'intestazione spoof X-Spoof:

    1. Aggiungi altra intestazione

    2. Nome intestazione: X-Spoof

    3. Pulsante di opzione Intestazione esistente

    4. Aggiungi azione: duplicato-quarantena(Criteri). 

      Nota: la funzione Duplica messaggio illustrata mantiene una copia del messaggio e continua a inviare il messaggio originale al destinatario. 



      Create a Message Filter
      Add Incoming Content Filter

  8. Collegare il filtro dei contenuti ai criteri della posta in arrivo dalla GUI > Criteri di posta > Criteri posta in arrivo.
  9. Invia e conferma modifiche.

Aggiungi eccezioni spoof a MY_TRUSTED_SPOOF_HOSTS

Infine, è necessario aggiungere eccezioni spoof (indirizzi IP o nomi host) al gruppo di mittenti MY_TRUSTED_SPOOF_HOSTS. 

  1. Navigare attraverso la GUI Web: Mail Policies > HAT Overview (Policy di posta > Panoramica HAT)
  2. Fate clic su e aprite il gruppo di mittenti MY_TRUSTED_SPOOF_HOSTS.
  3. Fare clic su Aggiungi mittente...  per aggiungere un indirizzo IP, un intervallo, un nome host o un nome host parziale.
  4. Fare clic su Invia per salvare le modifiche apportate al mittente.
  5. Infine, fare clic su Commit delle modifiche per salvare la configurazione.

Esempio:

Add Spoof Exceptions to MY_TRUSTED_SPOOF_HOSTS

Verifica

Verifica che i messaggi di spoofing siano in quarantena

Invia un messaggio di prova specificando uno dei tuoi domini come mittente della busta. Verificare che il filtro funzioni come previsto eseguendo una traccia dei messaggi sul messaggio. Il risultato previsto è che il messaggio viene messo in quarantena perché non è stata ancora creata alcuna eccezione per i mittenti a cui è consentito lo spoofing. 

Thu Apr 23 07:09:53 2015 Info: MID 102 ICID 9 RID 0 To: <xxxx_xxxx@domain.com>
Thu Apr 23 07:10:07 2015 Info: MID 102 Subject 'test1'
Thu Apr 23 07:10:07 2015 Info: MID 102 ready 177 bytes from <user_1@example.com>
Thu Apr 23 07:10:07 2015 Info: MID 102 matched all recipients for per-recipient policy DEFAULT in the inbound table
Thu Apr 23 07:10:11 2015 Info: MID 102 interim verdict using engine: CASE spam negative
Thu Apr 23 07:10:11 2015 Info: MID 102 using engine: CASE spam negative
Thu Apr 23 07:10:11 2015 Info: MID 102 interim AV verdict using Sophos CLEAN
Thu Apr 23 07:10:11 2015 Info: MID 102 antivirus negative
Thu Apr 23 07:10:12 2015 Info: MID 102 quarantined to "Policy" (message filter:quarantine_spoofed_messages)
Thu Apr 23 07:10:12 2015 Info: Message finished MID 102 done

Verifica recapito messaggi di eccezione spoof

I mittenti di eccezioni spoof sono indirizzi IP nei gruppi di mittenti a cui viene fatto riferimento nel filtro sopra riportato.

Si fa riferimento a RELAYLIST perché viene utilizzata dall'ESA per inviare la posta in uscita. I messaggi inviati da RELAYLIST sono in genere messaggi in uscita che, se non inclusi, creerebbero falsi positivi o messaggi in uscita messi in quarantena dal filtro sopra indicato.

Esempio di verifica messaggi di un indirizzo IP di eccezione spoof aggiunto a MY_TRUSTED_SPOOF_HOSTS. L'azione prevista è il recapito e non la quarantena. (Questo indirizzo IP può essere contraffatto).

Thu Apr 23 07:25:57 2015 Info: Start MID 108 ICID 11
Thu Apr 23 07:25:57 2015 Info: MID 108 ICID 11 From: <user_1@example.com>
Thu Apr 23 07:26:02 2015 Info: MID 108 ICID 11 RID 0 To: <user_xxxx@domain.com>
Thu Apr 23 07:26:10 2015 Info: MID 108 Subject 'test2'
Thu Apr 23 07:26:10 2015 Info: MID 108 ready 163 bytes from <user_1@example.com>
Thu Apr 23 07:26:10 2015 Info: MID 108 matched all recipients for per-recipient policy DEFAULT in the inbound table
Thu Apr 23 07:26:10 2015 Info: MID 108 interim AV verdict using Sophos CLEAN
Thu Apr 23 07:26:10 2015 Info: MID 108 antivirus negative
Thu Apr 23 07:26:10 2015 Info: MID 108 queued for delivery
Thu Apr 23 07:26:10 2015 Info: Delivery start DCID 16 MID 108 to RID [0]
Thu Apr 23 07:26:11 2015 Info: Message done DCID 16 MID 108 to RID [0]
Thu Apr 23 07:26:11 2015 Info: MID 108 RID [0] Response '2.0.0 t58EVG9N031598 Message accepted for delivery'
Thu Apr 23 07:26:11 2015 Info: Message finished MID 108 done

Informazioni correlate

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
2.0
09-Jun-2023
Testo alternativo aggiunto. Aggiornamento di titolo, introduzione, PII, SEO, dichiarazione di non responsabilità, traduzione automatica, requisiti di stile e formattazione.
1.0
23-Sep-2015
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Stephan Bayer
    Services Manager
  • Alvaro J Gordon-Escobar
    Responsabile tecnico progettazione software

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti