我们的办公室处理大量电汇和其他电子资金转账。我们的电子邮件门户启用了 MFA,还设置了 SPF 和 DKIM。我们正在运行 Office 365 业务。
最近,我们的财务人员和 EA 发现来自“有效”电子邮件地址的电子邮件数量有所增加([电子邮件保护]例如,哪一个是有效的电子邮件地址并且通过了安全检查),其中包括看起来确实来自我们的首席执行官、首席财务官、我、财务团队的消息。
我们会收到一封看起来像是来自我们首席执行官的电子邮件:
CEO NAME <[email protected]>
message:
Please respond with the information for this wire transfer that we sent this morning, i need the confirmation # or a picture of the transfer.
/首席执行官姓名
或者我:
ME ME <[email protected]>
Hey guys, i need you to email me a zipped copy of our SSL private keys, password of o3haw3hfa32f. I lost them.
我不知道如何阻止这些类型的电子邮件,因为它们没有链接,没有附件,只有带有有效电子邮件地址的简单文本。
我已经培训了我的员工,教他们如何始终查看电子邮件地址。始终如此。然而,在我看来,这仍然是一个潜在的错误,一旦发生,很可能是一个大错误。
我告诉我的开发人员不要回复恶意软件或 nswf 图像,因为这可能会只会鼓励发件人。
有什么想法吗?
答案1
您的 SPF/DKIM 不会保护您免受传入邮件的侵害,因为它用于使出站邮件合法化,以表明“这封邮件确实来自我,看看这是我们的域名密钥和我们的 SPF 等” - 这会将您的邮件与垃圾邮件“分开”(仅适用于一些更严格的接收域,如雅虎)
对于入站邮件,完全阻止这些邮件非常困难,因为欺骗性电子邮件来自与其实际显示的地址不同的地址(在您的示例中,它显示为 CEO)。在某些情况下,您实际上可以在邮件头中找到发送地址,我通过阻止发送域成功过几次。您可以在 env-sender 或 return-path 字段下找到它(如果存在)。然而,这是一场持续的战斗,因为这个后端标头地址会不断变化。因此,任何最好的努力都是利用某种电子邮件安全性或邮件防护,并希望他们的启发式检测方法可以检测到不合法的电子邮件。除此之外,没有可用的解决方案 - 并非每个企业都设置了 SPF,因此 ISP 仍在没有任何 SPF/DKIM 的情况下中继邮件,因此垃圾邮件将继续通过。
你不可能防范一切,因为恶意内容在不断演变,因此安全性也必须如此。对于欺骗者使用的每个方法,我们都必须尽最大努力抢先一步,准确阻止你要求的内容。我相信他们现在甚至已经将机器学习融入其中。