Spoofed e-mailberichten op de ESA detecteren en uitzonderingen maken

Downloadopties

  • PDF     (854.6 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:9 juni 2023
Document-id:200166

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

In dit document wordt beschreven hoe u e-mailspoofing kunt beheren op de Cisco ESA en hoe u uitzonderingen kunt maken voor de gebruikers die spoofe e-mails mogen verzenden.

Voorwaarden

Vereisten

Uw Email Security Appliance (ESA) moet zowel inkomende als uitgaande e-mails verwerken en een standaardconfiguratie van RELAYLIST gebruiken om berichten als uitgaand te markeren.

Gebruikte componenten

Specifieke gebruikte componenten zijn:

  • Woordenboek: wordt gebruikt om al uw interne domeinen op te slaan.
  • Berichtenfilter: wordt gebruikt om de logica af te handelen om vervalste e-mail te detecteren en een koptekst in te voegen waarop inhoudsfilters kunnen reageren.
  • Beleidsquarantaine: wordt gebruikt om duplicaten van vervalste e-mails tijdelijk op te slaan. Overweeg om het IP-adres van vrijgegeven berichten toe te voegen aan de MY_TRUSTED_SPOOF_HOSTS om te voorkomen dat toekomstige berichten van deze afzender in de beleidsquarantaine terechtkomen.
  • MY_TRUSTED_SPOOF_HOSTS: lijst om te verwijzen naar uw vertrouwde verzendende IP-adressen. Door een IP-adres van een afzender aan deze lijst toe te voegen, wordt de quarantaine overgeslagen en kan de afzender spoofen. U plaatst vertrouwde afzenders in uw MY_TRUSTED_SPOOF_HOSTS-afzendergroep, zodat vervalste berichten van deze afzenders niet in quarantaine worden geplaatst. 
  • RELAYLIST: lijst om IP-adressen te verifiëren die mogen worden doorgestuurd of uitgaande e-mail mogen verzenden. Als de e-mail via deze afzendergroep wordt afgeleverd, wordt ervan uitgegaan dat het bericht geen vervalst bericht is.

Opmerking: Als een van beide afzendergroepen iets anders wordt genoemd dan MY_TRUSTED_SPOOF_HOSTS of RELAYLIST, moet u het filter wijzigen met de bijbehorende naam van de afzendergroep. Als je meerdere luisteraars hebt, heb je ook meer dan één MY_TRUSTED_SPOOF_HOSTS.

De informatie in dit document is gebaseerd op de ESA met elke AsyncOS-versie.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

Spoofing is standaard ingeschakeld op de Cisco ESA. Er zijn verschillende, geldige redenen om andere domeinen toe te staan om namens u te verzenden.  Een veelvoorkomend voorbeeld is dat ESA Administrator vervalste e-mails wil controleren door vervalste berichten in quarantaine te plaatsen voordat ze worden afgeleverd.

Om een specifieke actie te ondernemen, zoals quarantaine op vervalste e-mail, moet u eerst vervalste e-mail detecteren.

Wat is e-mail spoofing

E-mail spoofing is de vervalsing van een e-mail header, zodat het bericht lijkt te zijn afkomstig van iemand of ergens anders dan de werkelijke bron. E-mailspoofing is een tactiek die wordt gebruikt in phishing- en spamcampagnes omdat mensen eerder geneigd zijn een e-mail te openen wanneer ze denken dat deze door een legitieme bron is verzonden.

Hoe te detecteren Spoofed E-mail

U wilt alle berichten filteren die een envelope-afzender (Mail-From) en een vriendelijke van (Van) header hebben die een van uw eigen inkomende domeinen in het e-mailadres bevatten.

Spoofing voor specifieke afzenders toestaan

Wanneer u het berichtenfilter in dit artikel implementeert, worden vervalste berichten gecodeerd met een koptekst en wordt het inhoudsfilter gebruikt om actie te ondernemen op de koptekst. Om een uitzondering toe te voegen, voegt u eenvoudig de afzender IP toe aan MY_TRUSTED_SPOOF_HOSTS.

Configureren

Een afzendergroep maken 

  1. Navigeer vanuit de ESA GUI naar Mail Policies > HAT Overview
  2. Klik op Add (Toevoegen). 
  3. Geef in het veld Naam MY_TRUSTED_SPOOF_HOSTS op.
  4. Geef in het veld Volgorde 1 op.
  5. Specificeer voor het veld Beleid Aanvaard.
  6. Klik op Indienen om wijzigingen op te slaan.
  7. Klik ten slotte op Wijzigingen vastleggen om de configuratie op te slaan

Voorbeeld: Create a Sender Group

Een woordenboek maken

Maak een woordenboek voor alle domeinen waarvoor u spoofing op de ESA wilt uitschakelen:

  1. Navigeer vanuit de ESA GUI naar Mail Policies > Woordenboeken.
  2. Klik op woordenboek toevoegen.
  3. Geef in het veld Naam 'VALID_INTERNAL_DOMAINS' op, zodat het kopiëren en plakken van het berichtenfilter foutloos verloopt. 
  4. Voeg onder termen toevoegen alle domeinen toe die u wilt spoofen.  Voer het domein in met een @-teken dat het domein voorafgaat en klik op toevoegen
  5. Schakel het selectievakje Volle woorden overeenkomen uit. 
  6. Klik op Indienen om de woordenboekwijzigingen op te slaan.
  7. Klik ten slotte op Wijzigingen vastleggen om de configuratie op te slaan.

Voorbeeld:

Create a Dictionary

Een berichtenfilter maken

Vervolgens moet u een berichtenfilter maken om gebruik te maken van het zojuist gemaakte woordenboek, "VALID_INTERNAL_DOMAINS":

  1. Aansluiten op de Command Line Interface (CLI) van de ESA.
  2. Voer de opdracht Filters uit.
  3. Voer de opdracht Nieuw uit om een nieuw berichtenfilter te maken.
  4. Kopieer en plak dit filtervoorbeeld en bewerk de namen van de werkelijke afzendergroepen indien nodig:


    mark_spoofed_messages:
    if(
         (mail-from-dictionary-match("VALID_INTERNAL_DOMAINS", 1)) 
     OR  (header-dictionary-match("VALID_INTERNAL_DOMAINS","From", 1))) 
     AND ((sendergroup != "RELAYLIST") 
     AND (sendergroup != "MY_TRUSTED_SPOOF_HOSTS")
      ) 
    {
    insert-header("X-Spoof", "");
    }
  5. Ga terug naar de belangrijkste CLI-prompt en voer Commit uit om de configuratie op te slaan.
  6. Navigeer naar de GUI > E-mailbeleid > Filters voor inkomende inhoud
  7. Maak een filter voor inkomende inhoud dat actie onderneemt op de spoofkoptekst X-Spoof:

    1. Andere koptekst toevoegen

    2. Naam koptekst: X-Spoof

    3. keuzerondje Header bestaat

    4. Actie toevoegen: duplicaat-quarantaine (Beleid). 

      Opmerking: De functie Dupliceren bericht hier weergegeven houdt een kopie van het bericht, en blijft het originele bericht naar de ontvanger te sturen. 



      Create a Message Filter
      Add Incoming Content Filter

  8. Filter inhoud koppelen aan beleid voor inkomende e-mail op GUI > E-mailbeleid > Beleid voor inkomende e-mail.
  9. Wijzigingen indienen en vastleggen.

Spoof-uitzonderingen toevoegen aan MY_TRUSTED_SPOOF_HOSTS

Ten slotte moet u spoof-uitzonderingen (IP-adressen of hostnamen) toevoegen aan de afzendergroep MY_TRUSTED_SPOOF_HOSTS. 

  1. Navigeren via de web GUI: Mail Policies > HAT Overzicht
  2. Klik en open de afzendergroep MY_TRUSTED_SPOOF_HOSTS.
  3. Klik op Afzender toevoegen... om een IP-adres, bereik, hostnaam of gedeeltelijke hostnaam toe te voegen.
  4. Klik op Indienen om de wijzigingen van de afzender op te slaan.
  5. Klik ten slotte op Wijzigingen vastleggen om de configuratie op te slaan.

Voorbeeld:

Add Spoof Exceptions to MY_TRUSTED_SPOOF_HOSTS

Verifiëren

Controleren of spoofberichten in quarantaine zijn geplaatst

Stuur een testbericht met een van uw domeinen als de afzender van de enveloppe. Valideer dat het filter werkt zoals verwacht door een berichtentrack op dat bericht uit te voeren. Het verwachte resultaat is dat het bericht in quarantaine wordt geplaatst omdat u nog geen uitzonderingen hebt gemaakt voor die afzenders die mogen spoofen. 

Thu Apr 23 07:09:53 2015 Info: MID 102 ICID 9 RID 0 To: <xxxx_xxxx@domain.com>
Thu Apr 23 07:10:07 2015 Info: MID 102 Subject 'test1'
Thu Apr 23 07:10:07 2015 Info: MID 102 ready 177 bytes from <user_1@example.com>
Thu Apr 23 07:10:07 2015 Info: MID 102 matched all recipients for per-recipient policy DEFAULT in the inbound table
Thu Apr 23 07:10:11 2015 Info: MID 102 interim verdict using engine: CASE spam negative
Thu Apr 23 07:10:11 2015 Info: MID 102 using engine: CASE spam negative
Thu Apr 23 07:10:11 2015 Info: MID 102 interim AV verdict using Sophos CLEAN
Thu Apr 23 07:10:11 2015 Info: MID 102 antivirus negative
Thu Apr 23 07:10:12 2015 Info: MID 102 quarantined to "Policy" (message filter:quarantine_spoofed_messages)
Thu Apr 23 07:10:12 2015 Info: Message finished MID 102 done

Controleren of spoofberichten worden geleverd

Spoof-Exception-afzenders zijn IP-adressen in uw afzendergroep(en) waarnaar in het bovenstaande filter wordt verwezen.

Relaylist wordt genoemd omdat het door de ESA wordt gebruikt om uitgaande post te verzenden. Berichten die door RELAYLIST worden verzonden, zijn meestal uitgaande e-mail, en als dit niet wordt opgenomen, worden valse positieven of uitgaande berichten in quarantaine geplaatst door het bovenstaande filter.

Berichtentracering voorbeeld van een Spoof-Exception IP-adres dat is toegevoegd aan MY_TRUSTED_SPOOF_HOSTS. De verwachte actie is leveren en geen quarantaine. (Deze IP is toegestaan om te spoofen).

Thu Apr 23 07:25:57 2015 Info: Start MID 108 ICID 11
Thu Apr 23 07:25:57 2015 Info: MID 108 ICID 11 From: <user_1@example.com>
Thu Apr 23 07:26:02 2015 Info: MID 108 ICID 11 RID 0 To: <user_xxxx@domain.com>
Thu Apr 23 07:26:10 2015 Info: MID 108 Subject 'test2'
Thu Apr 23 07:26:10 2015 Info: MID 108 ready 163 bytes from <user_1@example.com>
Thu Apr 23 07:26:10 2015 Info: MID 108 matched all recipients for per-recipient policy DEFAULT in the inbound table
Thu Apr 23 07:26:10 2015 Info: MID 108 interim AV verdict using Sophos CLEAN
Thu Apr 23 07:26:10 2015 Info: MID 108 antivirus negative
Thu Apr 23 07:26:10 2015 Info: MID 108 queued for delivery
Thu Apr 23 07:26:10 2015 Info: Delivery start DCID 16 MID 108 to RID [0]
Thu Apr 23 07:26:11 2015 Info: Message done DCID 16 MID 108 to RID [0]
Thu Apr 23 07:26:11 2015 Info: MID 108 RID [0] Response '2.0.0 t58EVG9N031598 Message accepted for delivery'
Thu Apr 23 07:26:11 2015 Info: Message finished MID 108 done

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
2.0
09-Jun-2023
Alt-tekst toegevoegd. Bijgewerkte titel, inleiding, PII, SEO, juridische disclaimer, machinevertaling, stijlvereisten en opmaak.
1.0
23-Sep-2015
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Stephan Bayer
    Servicebeheerder
  • Alvaro J Gordon-Escobar
    Software Engineering Technical Lead

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten