Règles anti-usurpation FortiMail

Bonjour, pour assurer la sécurité de votre messagerie FortiMail Vous devez configurer l'anti-spoofing sur votre produit. Fortimail par défaut Fortigarde Le mode de communication avec les services est ouvert, mais les configurations par défaut des produits de sécurité ne protègent jamais totalement votre environnement.

Qu’est-ce que l’usurpation d’identité ?

L'usurpation d'identité est une méthode de fraude qui vise à dissimuler la personne qui a réellement envoyé l'e-mail en modifiant les informations contenues dans l'en-tête de l'e-mail. Cette méthode donne l’impression que les e-mails sont en réalité envoyés à partir d’une adresse différente de celle indiquée.

Étant donné que l’usurpation d’email peut être réalisée relativement facilement, de nombreux utilisateurs peuvent être exposés à ce type de fraude. L'usurpation d'identité, qui sert à voler des informations personnelles ou à encourager les utilisateurs à télécharger des logiciels malveillants, peut également être effectuée pour des raisons juridiques dans certains cas ; Par exemple, un utilisateur peut devoir répondre à des e-mails liés au travail depuis son compte de messagerie personnel. Cependant, il est principalement utilisé à des fins de spam et de fraude.

Usurpation de courrier

Les attaques de phishing sont la forme d'usurpation d'identité la plus courante. Ces types d'attaques impliquent que l'attaquant se fasse passer pour une source légitime et vole les informations personnelles du destinataire ; Il vise à collecter un nom d'utilisateur, un mot de passe, des informations sur la carte de crédit et d'autres données personnelles. Conçus pour persuader le destinataire, ces e-mails sont souvent conçus pour ressembler à de véritables e-mails d'entreprise, et la conception du site Web, de l'adresse e-mail et du logo de l'entreprise sont soigneusement ajustés pour manipuler la victime. La principale raison pour laquelle les attaquants utilisent cette méthode est de gagner la confiance de la personne cible.

Comment créer un courrier usurpé ?

Créer un e-mail usurpé est relativement simple. Il existe deux types fondamentaux d'encapsulation d'adresse : le premier est celui de l'expéditeur de l'enveloppe et le second est celui de l'en-tête SMTP. Les deux méthodes ont des utilisations différentes, et FortiMail utilise diverses méthodes pour vérifier et détecter ces types de fraude :

  • À partir de l'en-tête SMTP (RFC 822(également connue sous le nom d'adresse de ) est considérée comme une vue conviviale et est déterminée pendant la phase SMTP « Données » de la transmission du message. Dans ce domaine, le masquage est plus courant et est généralement préféré pour les cas d'utilisation d'e-mails usurpés, légitimes et malveillants. Dans l'en-tête SMTP, il s'agit des informations vues dans le champ « De : » des utilisateurs dans le client de messagerie.
  • Expéditeur d'enveloppe (expéditeur de l'enveloppe) (également connue sous le nom d'adresse de l'expéditeur RFC 821) est définie au début de la phase de communication SMTP, avant la commande DATA. C'est là que la commande « Mail From : » est émise, qui indique au MTA SMTP destinataire quelle boîte aux lettres a envoyé le message et où envoyer les messages de retour si nécessaire. REMARQUE : Ce champ n'a pas besoin d'être défini et peut être laissé vide (Mail From : <>) ; de plus, il n'est pas nécessaire qu'il corresponde à « l'adresse d'expéditeur » dans la charge utile « données » dans l'en-tête SMTP.
CommandRéponse du serveurDescription
hôte de messagerie telnet : 25Exécutez une connexion telnet à l'adresse IP ou au nom d'hôte du serveur de messagerie sur le port TCP 25
220 noms d'hôtes…Réponse 220Confirme que le service SMTP est prêt pour les commandes
Bonjour250 ...Identifiez-vous avec ehlo ou helo handshake. S'il vous plaît, vous rencontrer. Acceptation du commandement confirmée. Sinon, réexécutez la commande helo ou ehlo.
courrier de: [email protected]250 ...Précisez le 821 « expéditeur de l’enveloppe » du message. Expéditeur ok. Acceptation du commandement confirmée. Dans le cas contraire, SPF ou d'autres règles AntiSpoofing appliquées peuvent bloquer la tentative de remise du message.
rcpt à:[email protected]250 ...Précisez le 821 « destinataire de l’enveloppe » du message. Destinataire ok. Acceptation du commandement confirmée. Dans le cas contraire, le destinataire peut être invalide ou le relais n'est pas autorisé.
Sauvegarde de354…La commande « data » indique que vous avez fini de spécifier les destinataires et que vous êtes prêt à transmettre le contenu du message. Envoyer un message. Le serveur est prêt à accepter le message. REMARQUE : un nouveau saut de ligne suivi d'un point « ». et un autre saut de ligne marquera la fin du message.
De : « Bill Gates » [email protected]Spécifiez le 822 « SMTP Header From »
À : « Biche vierge »[email protected]Spécifiez le 822 « SMTP Header To » – Facultatif
Objet : Une description accrocheusePrécisez le sujet du message
-Ceci indique la fin de l'en-tête 822
Spécifier le contenu du corps du messageSpécifiez le corps du message
.250 ...Indiquez que le contexte du corps est terminé et que le message est prêt à être mis en file d'attente pour le traitement. En file d'attente. Acceptation du message confirmée.
quitter221 ...Cette commande indique que vous avez fini d'envoyer des messages. Au revoir. Le serveur a accepté la commande pour fermer la session SMTP.

Règle d'usurpation d'identité Fortimail

Fortimail produit Cloud ve On-Premises Vous pouvez l'utiliser comme . Exchange Server, Exchange en ligne et travaille en harmonie avec d'autres fournisseurs. Fortimail Spoofing propose de nombreuses méthodes pour empêcher le phishing, les deux règles les plus importantes sont :

  • Expéditeur d'enveloppe (rejet du contrôle d'accès)
  • En-tête SMTP de (Regex)

Création d'une règle d'usurpation d'identité Fortimail

Expéditeur d'enveloppe (rejet du contrôle d'accès)

Fortimail – Politique – Contrôle d’accès Nous suivons vos pas.

image
Menu Fortimail

Nous devons créer une nouvelle règle avec le bouton Nouveau dans la section Règle de contrôle d'accès. La règle que nous allons créer devrait être la suivante.

Expéditeur – Interne

Destinataire – ​​Interne

Source – IP/masque de réseau « 0.0.0.0 »

Modèle DNS inversé – *

Statut d'authentification – Non authentifié

Profil TLS – –Aucun–

Action – Rejeter

Commentaire – Facultatif

Image 1
Règle de contrôle d'accès Fortimail
Remarque : Si un service Mail Relay est acheté pour les domaines que nous utilisons activement ou est hébergé sur un MTA supplémentaire, Fortimail rejettera les e-mails provenant d'autres MTA. Par conséquent, une règle supplémentaire doit être créée en ajoutant des adresses IP sur d'autres fournisseurs et la section Action doit être Safe/Relay.

Méthode de prévention contre l'usurpation d'identité à l'aide de l'en-tête SMTP

Fortimail'aussi En-tête SMTP Kullanarak Spoofing Pour bloquer les e-mails, créez un nouveau Dictionnaire Nous devons créer et j'ai partagé ci-dessous expression régulièreNous devons l'activer.

Nous suivons les étapes Fortimail – Profil – Dictionnaire et créons une nouvelle règle Dictionnaire avec le bouton Nouveau.

Image 2
Dictionnaire Fortimail

La règle que nous allons créer devrait être la suivante.

Modèle : [EHeAdEr]^de :.*[email protected]

Type de modèle : expression régulière

En-tête de recherche : activé

Image 3

Le RegEx ci-dessus recherche les e-mails contenant le domaine que vous avez ajouté dans le champ « De ». Si vous utilisez plusieurs domaines, il est recommandé d'ajouter un nouveau dictionnaire pour chaque domaine unique que vous essayez de faire correspondre..

REMARQUE : Le RegEx ci-dessus utilise une condition de correspondance spécifique à FortiMail '[EHeAdEr]' et, comme les outils de test RegEx, www.regex101.com doit être supprimé lors du test du ou des modèles avec .

Étape 2 : Vous devez appliquer un nouveau dictionnaire. Ce dictionnaire peut être appliqué à un profil de contenu ou à un profil antispam.

Ouvrez un profil Inbound en suivant les étapes Fortimail – Profil – AntiSpam.

Image 4

Après avoir développé l'onglet Dictionnaire dans le profil AntiSpam, ajoutez simplement la règle de dictionnaire que vous avez créée à l'étape « Avec le profil de dictionnaire ».

Image 5

Parallèlement aux opérations que nous avons effectuées ci-dessus, nous avons parlé du blocage du courrier usurpé sur Fortimail et fourni des informations sur le courrier usurpé. J'espère que cela vous a été utile, rendez-vous dans un autre article.


Articles similaires – Règles anti-usurpation de FortiMail

Commenter