E-mailspoofing detecteren en voorkomen
Inhoud
Inleiding
In dit document wordt beschreven hoe u spoofing van e-mail kunt detecteren en voorkomen wanneer u Cisco Secure Email gebruikt.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan.
- Cisco Secure Email
Gebruikte componenten
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Over dit document
Dit document is bedoeld voor Cisco-klanten, Cisco Channel Partners en Cisco-technici die Cisco Secure Email implementeren. Dit document heeft betrekking op:
- Wat is e-mail spoofing?
- Workflow voor verdediging van e-mailspoofing
- Wat kun je nog meer doen tegen spoofing?
Wat is e-mail spoofing
E-mailspoofing is vervalsing van e-mailkoppen waarbij het bericht afkomstig lijkt te zijn van iemand of ergens anders dan de werkelijke bron. E-mailspoofing wordt gebruikt in phishing- en spamcampagnes omdat mensen waarschijnlijk een e-mail openen wanneer ze denken dat een legitieme, betrouwbare bron het heeft verzonden. Voor meer informatie over spoofing, verwijzen wij u naar Wat is e-mail spoofing en hoe het te detecteren.
E-mail spoofing valt in deze categorieën:
| Rubriek |
Beschrijving |
hoofddoel |
| directe domeinspoofing |
Imiteer een vergelijkbaar domein in de Envelope From als het domein van de ontvanger. |
werknemers |
| Bedrog met weergavenaam |
De From-header toont een legitieme afzender met een uitvoerende naam van een organisatie. Dit wordt ook wel Business Email Compromise (BEC) genoemd. |
werknemers |
| merknaamimitatie |
De From header toont een legitieme afzender met de merknaam van een bekende organisatie. |
Klanten/partners |
| Phish URL-gebaseerde aanval |
Een e-mail met een URL die probeert gevoelige gegevens te stelen of inloginformatie van het slachtoffer. Een valse e-mail van een bank die u vraagt om op een link te klikken en uw accountgegevens te verifiëren, is een voorbeeld van een op phishing-URL gebaseerde aanval. |
Medewerkers / Partners |
| Cousin of Look-alike Domeinaanval |
De waarde van de enveloppe van of van de koptekst toont een vergelijkbaar afzenderadres dat een echt adres imiteert om het Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) en inspecties van Domain-based Message Authentication, Reporting and Conformance (DMARC) te omzeilen. |
Medewerkers / Partners |
| Overname/gecompromitteerde rekening |
Krijg ongeautoriseerde toegang tot een echt e-mailaccount dat van iemand is en verzendt vervolgens e-mails naar andere slachtoffers als de legitieme eigenaar van het e-mailaccount. |
Iedereen |
De eerste categorie heeft betrekking op misbruik van de domeinnaam van de eigenaar in de waarde Envelope Van in de internetheader van een e-mail. Cisco Secure Email kan deze aanval verhelpen met behulp van DNS-verificatie (Sender Domain Name Server) om alleen legitieme afzenders toe te staan. Hetzelfde resultaat kan wereldwijd worden bereikt met behulp van DMARC-, DKIM- en SPF-verificatie.
De andere categorieën schenden echter slechts gedeeltelijk het domeingedeelte van het e-mailadres van de afzender. Daarom is het niet gemakkelijk om te worden afgeschrikt wanneer u alleen DNS-tekstrecords of verificatie van de afzender gebruikt. Idealiter zou het het beste zijn om enkele Cisco Secure Email-functies en Cisco Secure Email Threat Defense (ETD) te combineren om tegen dergelijke geavanceerde bedreigingen te vechten. Zoals u weet, kan het beheer en de configuratie van functies van Cisco Secure Email van organisatie tot organisatie verschillen en kan onjuiste toepassing leiden tot een hoge incidentie van fout-positieven. Daarom is het essentieel om de bedrijfsbehoeften van de organisatie te begrijpen en de functies op maat te maken.
Workflow voor verdediging van e-mailspoofing
De beveiligingsfuncties die de beste praktijken aanpakken om te controleren, te waarschuwen en af te dwingen tegen spoofingaanvallen, worden weergegeven in het diagram (afbeelding 1). De details van elke functie worden in dit document verstrekt. De beste praktijk is een diepgaande verdedigingsaanpak om e-mailspoofing te detecteren. Aanvallers kunnen hun methoden tegen een organisatie in de loop van de tijd wijzigen, dus een beheerder moet alle wijzigingen controleren en de juiste waarschuwingen en handhaving controleren.
Afbeelding 1. Cisco Secure Email Spoof Defense Pipeline
Laag 1: Geldigheidscontrole op het domein van de afzender
Verificatie van afzenders is een meer eenvoudige manier om e-mails te voorkomen die worden verzonden vanuit een vals e-maildomein, zoals neef-domein spoofing (bijvoorbeeld c1sc0.com is de bedrieger van cisco.com). Cisco Secure Email maakt een MX record query voor het domein van het e-mailadres van de afzender en voert een A record opzoeken op de MX record tijdens de SMTP gesprek. Als de DNS-query NXDOMAIN retourneert, kan deze het domein als niet-bestaand behandelen. Het is een gebruikelijke techniek voor aanvallers om de informatie van de afzender van de envelop te vervalsen, zodat de e-mail van een niet-geverifieerde afzender wordt geaccepteerd en verder wordt verwerkt. Cisco Secure Email kan alle inkomende berichten weigeren die niet voldoen aan de verificatiecontrole die deze functie gebruikt, tenzij het domein of IP-adres van de afzender vooraf is toegevoegd in de uitzonderingstabel.
Best Practice: Configureer Cisco Secure Email om het SMTP-gesprek te weigeren als het e-maildomein van het veld Envelope-afzender ongeldig is. Sta alleen legitieme afzenders toe door het poststroombeleid, de verificatie van de afzender en de uitzonderingstabel te configureren (optioneel). Ga voor meer informatie naar Spoofbescherming met verificatie van afzender.
Afbeelding 2. Sectie Verificatie van afzender in Standaardbeleid voor e-mailstromen
Laag 2: Verifieer van de koptekst met behulp van DMARC
DMARC-verificatie is een veel krachtigere functie om te vechten tegen Direct Domain Spoofing, en omvat ook Display Name- en Brand Impersonation-aanvallen. DMARC koppelt informatie die is geverifieerd met SPF of DKIM (verzenden van domeinbron of handtekening) aan wat wordt gepresenteerd aan de eindontvanger in de kop Van en controleert of SPF- en DKIM-id's zijn afgestemd op de ID van de FROM-header.
Om de DMARC-verificatie te doorstaan, moet een inkomende e-mail ten minste één van deze authenticatiemechanismen passeren. Daarnaast stelt Cisco Secure Email de beheerder ook in staat om een DMARC-verificatieprofiel te definiëren om het DMARC-beleid van de domeineigenaar te negeren en geaggregeerde (RUA) en mislukte / forensische (RUF) rapporten naar de domeineigenaren te sturen. Dit helpt bij het versterken van hun authenticatie-implementaties in ruil daarvoor.
Best Practice: Bewerk het standaard DMARC-profiel dat de DMARC-beleidsacties gebruikt die de afzender adviseert. Bovendien moeten de algemene instellingen van DMARC-verificatie worden bewerkt om een correcte rapportgeneratie mogelijk te maken. Nadat het profiel op de juiste manier is geconfigureerd, moet de DMARC-verificatieservice zijn ingeschakeld in het standaardbeleid voor het e-mailstroombeleid.
Afbeelding 3. DMARC-verificatieprofiel
Opmerking: DMARC moet worden geïmplementeerd door de eigenaar van het domein te verzenden in combinatie met een domeinbewakingstool, zoals Cisco Domain Protection. Wanneer DMARC op de juiste manier wordt geïmplementeerd, helpt DMARC-handhaving in Cisco Secure Email werknemers te beschermen tegen phishing-e-mails die naar werknemers worden verzonden vanaf niet-geautoriseerde afzenders of domeinen. Ga voor meer informatie over Cisco Domain Protection naar deze link: Cisco Secure Email Domain Protection At-A-Glance.
Laag 3: Voorkomen dat spammers vervalste e-mails verzenden
Spoofingaanvallen kunnen een andere veel voorkomende vorm van een spamcampagne zijn. Daarom is het mogelijk maken van anti-spambeveiliging essentieel om frauduleuze e-mails die spam / phishing-elementen bevatten effectief te identificeren en positief te blokkeren. Anti-spam, in combinatie met andere best practice acties die uitvoerig in dit document worden beschreven, biedt de beste resultaten zonder legitieme e-mails te verliezen.
Best Practice: Schakel antispamscanning in het standaard e-mailbeleid in en stel quarantaineacties in om spam-instellingen positief te identificeren. Verhoog de minimale scangrootte voor spamberichten naar ten minste 2 miljoen wereldwijd.
Afbeelding 4. Instelling tegen spam in standaardbeleid voor e-mail
De spamdrempel kan worden aangepast voor positieve en verdachte spam om de gevoeligheid te verhogen of te verlagen (Afbeelding 5); Cisco ontmoedigt de beheerder echter om dit te doen en alleen de standaarddrempels als basislijn te gebruiken, tenzij anders aangegeven door Cisco.
Afbeelding 5. Drempelwaarden voor anti-spam instellen in standaardbeleid voor e-mail
Opmerking: Cisco Secure Email biedt een add-on Intelligent Multi-Scan (IMS) -engine die verschillende combinaties biedt van de anti-spam-engine om de spamvangstpercentages te verhogen (meest agressieve vangstpercentage).
Layer 4: Malafide afzenders bepalen via e-maildomein
Cisco Talos Sender Domain Reputation (SDR) is een cloudservice die een reputatieoordeel biedt voor e-mailberichten op basis van de domeinen in de e-mailenvelop en header. De domeingebaseerde reputatieanalyse maakt een hogere spamcatch mogelijk door verder te kijken dan de reputatie van gedeelde IP-adressen, hosting of infrastructuurproviders. In plaats daarvan leidt het vonnissen af op basis van functies die zijn gekoppeld aan volledig gekwalificeerde domeinnamen (FQDN's) en andere afzenderinformatie in de conversatie- en berichtkoppen van het Simple Mail Transfer Protocol (SMTP).
Volwassenheid van de afzender is een essentieel kenmerk om de reputatie van de afzender vast te stellen. Sender Maturity wordt automatisch gegenereerd voor spamclassificatie op basis van meerdere informatiebronnen en kan verschillen van Whois-gebaseerde domeinleeftijd. Sender Maturity is ingesteld op een limiet van 30 dagen en buiten deze limiet wordt een domein als volwassen e-mailverzender beschouwd en worden er geen verdere details verstrekt.
Best practice: maak een filter voor inkomende inhoud die het verzenddomein vastlegt waarin het SDR-reputatievonnis onder Untrusted / Questionable valt of de volwassenheid van de afzender minder dan of gelijk is aan 5 dagen. De aanbevolen actie is om het bericht in quarantaine te plaatsen en de e-mailbeveiligingsbeheerder en de oorspronkelijke ontvanger op de hoogte te stellen. Voor meer informatie over het configureren van SDR kunt u de Cisco-video bekijken op Cisco Email Security Update (versie 12.0): Sender Domain Reputation (SDR)
Afbeelding 6. Inhoudsfilter voor SDR-reputatie en domeinleeftijd met meldingen en quarantaineacties.
Laag 5: Verminder false positives met SPF- of DKIM-verificatieresultaten
Het is absoluut noodzakelijk om SPF- of DKIM-verificatie (beide of een van beide) af te dwingen om meerdere lagen spoofdetectie voor de meeste soorten aanvallen te bouwen. In plaats van een laatste actie te ondernemen (zoals drop of quarantaine), raadt Cisco aan een nieuwe header zoals [X-SPF-DKIM] toe te voegen aan het bericht dat SPF- of DKIM-verificatie mislukt en samen te werken met de functie Vervalste e-maildetectie (FED), die later wordt behandeld, ten gunste van een verbeterde vangst van spoofing e-mails.
Best practice: maak een inhoudsfilter dat SPF- of DKIM-verificatieresultaten inspecteert van elk binnenkomend bericht dat door eerdere inspecties is gegaan. Voeg een nieuwe X-header (bijvoorbeeld X-SPF-DKIM=Fail) toe aan het bericht dat de SPF- of DKIM-verificatie mislukt en levert aan de volgende scanlaag - Forged Email Detection (FED).
Afbeelding 7. Inhoudsfilter dat berichten met mislukte SPF- of DKIM-resultaten inspecteert
Laag 6: Berichten detecteren met mogelijk vervalste afzendernaam
Als aanvulling op SPF-, DKIM- en DMARC-verificaties is Forged Email Detection (FED) een andere cruciale verdedigingslinie tegen e-mailspoofing. De FED is ideaal voor het verhelpen van spoofaanvallen die misbruik maken van de From-waarde in de berichttekst. Aangezien u de namen van de uitvoerende instanties binnen de organisatie al kent, kunt u een woordenboek van deze namen maken en dat woordenboek vervolgens verwijzen naar de FED-voorwaarde in inhoudsfilters. Bovendien kunt u, afgezien van uitvoerende namen, een woordenboek van neef- of lookalike domeinen maken op basis van uw domein door DNSTWIST (DNSTWIT) te gebruiken om te matchen met look-alike domein spoofing.
Best Practice: Identificeer de gebruikers in uw organisatie waarvan de berichten waarschijnlijk zijn vervalst. Maak een aangepast woordenboek dat rekening houdt met leidinggevenden. Voor elke executive name moet het woordenboek de gebruikersnaam en alle mogelijke gebruikersnamen als termen bevatten (Afbeelding 8). Wanneer het woordenboek is voltooid, gebruikt u Detectie vervalste e-mail in het inhoudsfilter om de waarde Van van inkomende berichten te laten overeenkomen met deze woordenboekvermeldingen.
Opmerking: Aangezien de meeste domeinen geen geregistreerde permutaties zijn, beschermt DNS-verificatie van de afzender tegen deze permutaties. Als u ervoor kiest om woordenboekvermeldingen te gebruiken, let dan alleen op de geregistreerde domeinen en zorg ervoor dat u niet meer dan 500-600 vermeldingen per woordenboek gebruikt.
Afbeelding 8. Aangepaste map voor detectie van vervalste e-mail
Het is optioneel om een uitzonderingsvoorwaarde toe te voegen voor uw e-maildomein in de Envelope Verzenden om de FED-inspectie te omzeilen. Als alternatief kan een aangepaste adreslijst worden gemaakt om de FED-inspectie te omzeilen naar een lijst met e-mailadressen die worden weergegeven in de Fromheader (Afbeelding 9).
Afbeelding 9. Een adreslijst maken om FED-inspectie te omzeilen
Pas de merkgebonden actie Vervalste e-maildetectie toe om de waarde Van te verwijderen en het werkelijke e-mailadres van de afzender van de envelop in het berichtpostvak in te bekijken. Voeg vervolgens, in plaats van een laatste actie toe te passen, een nieuwe X-header (bijvoorbeeld X-FED=Match) toe aan het bericht dat overeenkomt met de voorwaarde en blijf het bericht afleveren aan de volgende inspectielaag (Afbeelding 10).
Afbeelding 10. Aanbevolen instelling voor inhoudsfilter voor FED
Layer 7: Positief geïdentificeerde spoofing e-mail
Het identificeren van een echte spoofing-campagne is effectiever door te verwijzen naar andere vonnissen van verschillende beveiligingsfuncties in de pijplijn, zoals de X-header-informatie die wordt geproduceerd door SPF / DKIM Enforcement en FE. Beheerders kunnen bijvoorbeeld een inhoudsfilter maken om berichten te identificeren die zijn toegevoegd met zowel nieuwe X-headers als gevolg van mislukte SPF / DKIM-verificatieresultaten (X-SPF-DKIM=Fail) en welke Van-header overeenkomt met de FED-woordenboekvermeldingen (X-FED=Match).
De aanbevolen actie kan zijn om het bericht in quarantaine te plaatsen en de ontvanger op de hoogte te stellen, of door te gaan met het afleveren van het originele bericht, maar [MOGELIJKE VERVALSTE] woorden voor te bereiden op de onderwerpregel als een waarschuwing aan de ontvanger, zoals afgebeeld (Afbeelding 11).
Afbeelding 11. Alle X-headers combineren in één (laatste) regel
Laag 8: beschermen tegen phishing-URL's
Bescherming tegen phishing-links is opgenomen in de URL en Uitbraakfiltering in de beveiligde e-mail van Cisco. Blended bedreigingen combineren spoofing en phishing-berichten om er legitiemer uit te zien voor het doelwit. Het inschakelen van Outbreak Filtering is van cruciaal belang om dergelijke bedreigingen in realtime te detecteren, analyseren en stoppen. Het is de moeite waard om te weten dat de URL-reputatie wordt beoordeeld in de Anti-Spam-engine en kan worden gebruikt als onderdeel van de beslissing voor spamdetectie. Als de Anti-Spam-engine het bericht niet stopt met de URL als Spam, wordt het geëvalueerd door URL- en Uitbraakfiltering in het laatste deel van de beveiligingspijplijn.
Aanbeveling: Maak een inhoudsfilterregel die een URL met een schadelijke reputatiescore blokkeert en de URL met een neutrale reputatiescore omleidt naar Cisco Security Proxy (Afbeelding 12). Schakel filters voor dreigingsuitbraken in door berichtwijziging in te schakelen. Met URL Rewrite kunnen verdachte URL's worden geanalyseerd door Cisco Security Proxy (Afbeelding 13). Ga voor meer informatie naar: URL-filtering configureren voor beveiligde e-mailgateway en cloudgateway
Afbeelding 12. Inhoudsfilter voor URL-reputaties
Afbeelding 13. URL herschrijven inschakelen bij uitbraakfiltering
Layer 9: Vergroot de mogelijkheden voor spoofing met Cisco Secure Email Threat Defense (ETD)
Cisco biedt Email Threat Defense, een cloud-native oplossing die gebruikmaakt van superieure dreigingsinformatie van Cisco Talos. Het heeft een API-architectuur voor snellere responstijden, volledige zichtbaarheid van e-mail, inclusief interne e-mails, een gespreksweergave voor betere contextuele informatie en hulpmiddelen voor automatische of handmatige remediëring van bedreigingen die op de loer liggen in Microsoft 365-mailboxes. Bezoek het Cisco Secure Email Threat Defense Data Sheet voor meer informatie.
Cisco Secure Email Threat Defense bestrijdt phishing met behulp van verificatie van afzenders en BEC-detectiemogelijkheden. Het integreert machine learning en kunstmatige intelligentie-engines die lokale identiteit- en relatiemodellering combineren met realtime gedragsanalyse om te beschermen tegen bedreigingen op basis van identiteitsbedrog. Het modelleert vertrouwd e-mailgedrag binnen organisaties en tussen individuen. Een van de belangrijkste functies van Email Threat Defense biedt deze voordelen:
- Ontdek bekende, opkomende en gerichte bedreigingen met geavanceerde mogelijkheden voor dreigingsdetectie.
- Identificeer kwaadaardige technieken en krijg context voor specifieke bedrijfsrisico's.
- Snel zoeken naar gevaarlijke bedreigingen en deze in realtime verhelpen.
- Gebruik doorzoekbare telemetrie om bedreigingen te categoriseren en te begrijpen welke delen van uw organisatie het meest kwetsbaar zijn voor aanvallen.
Afbeelding 14. Cisco Secure Email Threat Defense geeft informatie over de manier waarop uw organisatie wordt aangevallen.
Afbeelding 15. Met de beleidsinstelling voor de beveiliging van e-mailbedreigingen van Cisco wordt automatisch bepaald of het bericht overeenkomt met de geselecteerde bedreigingscategorie
Wat kun je nog meer doen tegen spoofing?
Veel spoofs kunnen worden verholpen met een paar eenvoudige voorzorgsmaatregelen die omvatten, maar zijn niet beperkt tot deze:
- Beperken toestaan dat de vermelde domeinen in de Host Access Table (HAT) aan zeer weinig kernzakelijke partners worden toegewezen.
- Volg en update leden in de SPOOF_ALLOW-afzendergroep voortdurend als u er een hebt gemaakt en gebruik de instructies die worden gegeven in de link met best practices.
- Schakel graymail-detectie in en plaats ze ook in de spam-quarantaine.
Maar het belangrijkste van alles is om SPF, DKIM en DMARC in te schakelen en ze op de juiste manier te implementeren. De richtlijnen voor het publiceren van SPF-, DKIM- en DMARC-records vallen echter buiten de reikwijdte van dit document. Raadpleeg hiervoor deze whitepaper: Best practices voor e-mailverificatie: de optimale manieren om SPF, DKIM en DMARC te implementeren.
Begrijp de uitdaging van het verhelpen van e-mailaanvallen zoals de spoofing-campagnes die hier worden besproken. Als u vragen hebt over het implementeren van deze best practices, neemt u contact op met Cisco Technical Support en opent u een melding. U kunt ook contact opnemen met uw Cisco-accountteam voor een oplossing en ontwerpadvies. Raadpleeg de website van Cisco Secure Email voor meer informatie over Cisco Secure Email.
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
4.0 |
28-May-2026
|
hercertificering |
3.0 |
23-Aug-2024
|
Document gemarkeerd voor verbetering en wijzigingen werden gemaakt om deze aanbevelingen aan te pakken. Verwijderde 'follow' en corrigeerde een SEO-fout. |
2.0 |
07-Jun-2023
|
Toegevoegd Alt tekst en voorwaarden sectie.
Bijgewerkte PII, SEO, Titel, Inleiding, Machinevertaling, Stijlvereisten, Grondslagen en Opmaak. |
1.0 |
13-Sep-2019
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)