Phishing is een poging om gevoelige informatie te verkrijgen, zoals gebruikersnamen, wachtwoorden, gegevens van uw bankrekening of creditcard, en pincodes via e-mail of webpagina's die als een betrouwbare entiteit zijn vermomd. Deze activiteit vindt doorgaans met kwade bedoelingen plaats.
Het gaat hierbij om een vorm van 'sociaal engineering' (manipulatie van gebruikers met als doel het verkrijgen van vertrouwelijke informatie).
ESET Mail Security biedt antiphishingbeveiliging, waarmee wordt voorkomen dat gebruikers toegang hebben tot webpagina's waarvan bekend is dat er phishing plaatsvindt. In het geval van
e-mailberichten waarin koppelingen naar phishingwebpagina's zijn opgenomen, maakt ESET Mail Security gebruik van een geavanceerde parser die het tekstgedeelte van het bericht en het onderwerp van inkomende e-mailberichten doorzoekt om dergelijke koppelingen (URL's) te
identificeren. De koppelingen worden vergeleken met een phishingdatabase. Als het resultaat van de beoordeling positief is, wordt de e-mail als phishingbericht beschouwd en gaat ESET Mail Security ermee om zoals is gedefinieerd in de instelling van Uit te voeren actie bij phishingbericht voor elke beveiligingslaag (Beveiliging van e-mailtransport, Beveiliging van postvakdatabase en On-demand databasescan van postvak). Ook regelacties worden uitgevoerd.
Ondersteunde standaarden voor e-mailindeling:
• Platte tekst
• Alleen HTML
• MIME
• Meerdelige MIME (een e-mail met zowel HTML als platte tekst)
Ondersteunde HTML-vermeldingen :
In phishingberichten kunnen HTML-entiteiten zijn opgenomen om phishing onzichtbaar te maken voor de antiphishing-engine. Antiphishing-beveiliging parseert ook symbolen van HTML-entiteiten en zet deze om, om onzichtbaar gemaakte URL's te vinden en correct te beoordelen.
Eén teken kan in verschillende vormen tot uitdrukking komen. Een punt kan bijvoorbeeld in de volgende vormen tot uitdrukking komen:
Hoe koppelingen doorgaans worden weergegeven in het e-mailbericht voor de gebruiker
Waarde Onzichtbaar gemaakte koppelingen in het
tekstgedeelte van een bericht Type
http://www.example-phishing-domain.com/Fraud . http://www.example-phishing-domain.com/Fraud teken http://www.example-phishing-domain.com/Fraud . http://www.example-phishing-domain.com/Fraud entiteit naam http://www.example-phishing-domain.com/Fraud
Controleer Logbestanden > Beveiliging van e-mailserver om de activiteit van
Antiphishing-beveiliging te zien. In het logboek vindt u informatie over e-mailberichten en de phishingkoppelingen die erin zijn gevonden.
Een phishingsite rapporteren
Als u op Rapport klikt, kunt u een phishingwebsite of anderszins verdachte website aan ESET melden om te laten analyseren.
Regels
Hiermee kunt u handmatig voorwaarden voor e-mailfiltering en te nemen acties bij gefilterde e-mails definiëren. Ook kunt u bepaalde voorwaarden en acties definiëren die verschillen van regels die specifiek gelden voor Beveiliging van e-mailtransport, Beveiliging van postvakdatabase en On-demand databasescan van postvak. Dit komt doordat elk van deze beveiligingstypen, met name Beveiliging van e-mailtransport, een andere benadering hanteert voor de verwerking van berichten.
OPMERKING
De beschikbaarheid van regels voor Beveiliging van postvakdatabase, On-demand databasescan van postvak en Beveiliging van e-mailtransport op uw systeem, hangt af van de versie van Microsoft Exchange Server die op de server met ESET Mail Security is geïnstalleerd.
BELANGRIJK
Onjuist gedefinieerde regels voor On-demand databasescan van postvak kunnen
onherstelbare schade aan postvakdatabases veroorzaken. Zorg dat u altijd de meest recente back-up van uw postvakdatabases hebt voordat u voor het eerst een on-demand databasescan van een postvak uitvoert met gebruik van regels. Ook adviseren wij ten sterkste om na te gaan of de regels naar verwachting werken. Hiertoe definieert u regels met alleen de actie Registreren in gebeurtenissenlogboek, want alle andere acties kunnen leiden tot wijzigingen in uw postvakdatabases. Na deze controle kunt u destructieve regelacties zoals Bijlage verwijderen toevoegen.
Regels worden in drie niveaus opgedeeld en in deze volgorde beoordeeld:
• Filterregels (1): regel die wordt beoordeeld vóór een antispam-, antivirus- en antiphishingscan
• Regels voor de verwerking van bijlagen (2): regel die wordt beoordeeld tijdens de antivirusscan
• Regels voor de verwerking van resultaten (3): regel wordt beoordeeld na een antispam-, antivirus- en antiphishingscan
Regels met hetzelfde niveau worden beoordeeld in dezelfde volgorde waarin ze in het venster Regels worden weergegeven. U kunt alleen de regelvolgorde wijzigen voor regels van hetzelfde niveau. Als u meerdere filterregels hebt, kunt u de volgorde wijzigen waarin deze worden toegepast. U kunt de volgorde ervan niet wijzigen door regels voor Verwerking van bijlagen vóór Filterregels te
plaatsen, omdat de knoppen Omhoog/Omlaag niet beschikbaar zijn. Met andere woorden, het is niet mogelijk regels van verschillende niveaus te combineren.
In de kolom Treffers wordt het aantal keer weergegeven dat de regel succesvol is toegepast. Als u een selectievakje (links van elke regelnaam) uitschakelt, wordt de overeenkomstige regel
gedeactiveerd tot u het selectievakje weer inschakelt.
Klik op Opnieuw instellen om de teller voor de geselecteerde regel in (de kolom Treffers) opnieuw in te stellen. Met Weergeven kunt u een configuratie bekijken die vanuit ESET Security Management Center-beleid is toegewezen.
BELANGRIJK
Normaliter stop de beoordeling van regels voor regels met een lagere prioriteit als aan de voorwaarden van een regel wordt voldaan. Indien nodig kunt u echter een speciale Regelactie gebruiken met de naam Andere regels beoordelen om de beoordeling te laten doorgaan.
Regels worden toegepast op een bericht wanneer dit wordt verwerkt door Beveiliging van e-mailtransport, Beveiliging van postvakdatabase of On-demand databasescan van postvak. Elke beveiligingslaag heeft een eigen reeks regels.
Wanneer wordt voldaan aan de scanregelvoorwaarden van Beveiliging van postvakdatabase of On-demand databasescan van postvak, kan de regeltelling worden verhoogd met 2 of meer. Dit komt doordat deze beveiligingslagen toegang kijken naar de tekst en naar de bijlagen van een bericht, zodat regels op elk onderdeel afzonderlijk worden toegepast. Regels voor beveiliging van de postvakdatabase worden ook toegepast tijdens scannen op de achtergrond (bijvoorbeeld wanneer ESET Mail Security een postvakscan uitvoert na het downloaden van een nieuwe database met
viruskenmerken), waardoor de regelteller kan worden verhoogd (treffers).
Regelwizard
1.Klik op Toevoegen (in het midden) en het venster Regelvoorwaarde wordt weergegeven, waarin u voorwaardetype, bewerking en waarde kunt opgeven. Definieer eerst een of meer voorwaarden, en daarna de actie(s).
BELANGRIJK
U kunt meerdere voorwaarden definiëren. Als u dat doet, moet aan alle voorwaarden worden voldaan om de regel toe te passen. Alle voorwaarden zijn met elkaar verbonden door de logische operator AND. Zelfs als aan de meeste voorwaarden is voldaan en er slechts één voorwaarde is waaraan niet is voldaan, wordt het resultaat van de beoordeling van de voorwaarden beschouwd als niet voldaan en wordt de actie die bij de regel hoort niet uitgevoerd.
2.Klik op Toevoegen (onderaan) om een Regelactie toe te voegen.
OPMERKING
Het is mogelijk meerdere acties voor een regel toe te voegen.
3.Wanneer voorwaarden en acties zijn gedefinieerd, typt u een Naam voor de regel (iets waaraan u de regel herkent). Deze naam wordt weergegeven in de Lijst met regels. Naam is een verplicht veld. Als het rood is gemarkeerd, typ dan een regelnaam in het tekstvak en klik op knop OK om de regel te maken. De rode markering verdwijnt niet ondanks dat u een regelnaam hebt ingevoerd. De rode markering verdwijnt alleen nadat u op OK hebt geklikt.
4.Als u regels wilt voorbereiden maar deze later wilt gebruiken, kunt u op de schuifregelaar klikken naast Actief om de regel te deactiveren. Om de regel te activeren, schakelt u het selectievakje in naast de regel die u wilt activeren.
OPMERKING
als er een nieuwe regel wordt toegevoegd of een bestaande regel is gewijzigd, worden berichten automatisch opnieuw gescand met de nieuwe/gewijzigde regels.
Zie Regelvoorbeelden om te zien hoe regels kunnen worden gebruikt.
Regelvoorwaarde
Met deze wizard kunt u voorwaarden voor een regel toevoegen. Selecteer het Type voorwaarde en een Bewerking in de vervolgkeuzelijst. De lijst met bewerkingen verandert afhankelijk van het regeltype dat u hebt gekozen. Selecteer vervolgens een Parameter. Parametervelden veranderen en zijn afhankelijk van regeltype en bewerking. Een voorbeeld: kies Bestandsgrootte > is groter dan en geef onder Parameter de waarde 10 MB op. Met deze instellingen wordt elk bestand dat groter is dan 10 MB verwerkt met de regelacties die u hebt opgegeven. Om deze reden moet u de actie opgeven die wordt uitgevoerd wanneer een gegeven regel wordt geactiveerd als u dat niet hebt gedaan toen u de parameters voor die regel instelde.
Als u uw aangepaste lijst wilt importeren vanuit een bestand in plaats van elke vermelding handmatig toe te voegen, klikt u met de rechtermuisknop in het midden van het venster en selecteert u
Importeren in het contextmenu en bladert u naar uw bestand (.xml of .txt) met daarin de
vermeldingen (van elkaar gescheiden door een nieuwe regel) die u aan de lijst wilt toevoegen. Als u uw bestaande lijst naar een bestand wilt exporteren, gaat u op soortgelijke wijze te werk, maar selecteert u Exporteren in het contextmenu.
Of geef Reguliere expressie op, selecteer Bewerking: komt overeen met reguliere expressie of komt niet overeen met reguliere expressie.
OPMERKING
ESET Mail Security gebruikt std::regex. Zie Syntaxis ECMAScript voor de opbouw van reguliere expressies. De syntaxis voor reguliere expressies is niet hoofdlettergevoelig.
BELANGRIJK
U kunt meerdere voorwaarden definiëren. Als u dat doet, moet aan alle voorwaarden worden voldaan om de regel toe te passen. Alle voorwaarden zijn met elkaar verbonden door de logische operator AND. Zelfs als aan de meeste voorwaarden is voldaan en er slechts één voorwaarde is waaraan niet is voldaan, wordt het resultaat van de beoordeling van de voorwaarden beschouwd als niet voldaan en wordt de actie die bij de regel hoort niet uitgevoerd.
De volgende voorwaardetypen zijn beschikbaar voor Beveiliging van het e-mailtransport, Beveiliging van de postvakdatabase en On-demand databasescan van postvak (bepaalde opties worden mogelijk niet weergegeven, afhankelijk van de eerder door u geselecteerde voorwaarden):
Naam van expressie) wel of niet in het onderwerp bevatten.
Naam van met een specifiek domein in zijn e-mailadres.
SMTP-domein van
afzender ✓ ✗ ✗
Is van toepassing op
berichten van een afzender met een specifiek domein in zijn e-mailadres.
Uit koptekst - adres
✓ ✗ ✗
“Van:”-waarde in kopteksten van berichten. Dit is het adres dat zichtbaar is voor de ontvanger, maar er worden geen controles uitgevoerd om na te gaan of het verzendende systeem geautoriseerd is om namens dat adres te verzenden. Dit wordt vaak misbruikt om een andere afzender in berichten van berichten. Dit is de weergavenaam die zichtbaar is voor de ontvanger, maar er worden geen controles uitgevoerd om na te gaan of het verzendende systeem geautoriseerd is om namens dat adres te verzenden. Dit wordt vaak misbruikt om een andere afzender in berichten
Naam van
berichten met een bijlage die niet aan een specifieke berichten die zich in een specifiek postvak bevinden.
Kopteksten van
berichten ✓ ✓ ✗
Is van toepassing op berichten met specifieke gegevens in de koptekst van het bericht.
Naam van de opgegeven frase. U kunt de functie Strip HTML-tags
✓ ✗ ✗ Is van toepassing afhankelijk
van het feit of een bericht intern of niet intern is.
Uitgaand bericht ✓ ✗ ✗ Is van toepassing op
uitgaande berichten.
Ondertekend bericht ✓ ✗ ✗ Is van toepassing op
ondertekende berichten.
Versleuteld bericht ✓ ✗ ✗ Is van toepassing op
versleutelde berichten.
berichten die voor of na een specifieke datum, of tijdens die zijn beschadigd (en zeer waarschijnlijk niet kunnen
✗ ✗ ✓ Is van toepassing op bijlagen
die met een wachtwoord zijn beveiligd.
Naam van
voorwaarde Beveiliging van
e-mailtransportBeveiliging van postvakdatabase
On-demand databasescan
van postvak Beschrijving Bijlage is beschadigd
archief ✗ ✗ ✓
Is van toepassing op bijlagen die zijn beschadigd (en zeer waarschijnlijk niet kunnen worden geopend).
Mapnaam
✗ ✗ ✓
Is van toepassing op berichten die zich in een specifieke map bevinden. Als de map niet bestaat, wordt die gemaakt. Dit is niet van toepassing op Openbare mappen.
DKIM resultaat
✓ ✗ ✗
Is van toepassing op
berichten die voor verificatie door DKIM zijn geslaagd of niet zijn geslaagd, indien niet beschikbaar.
Naam van of de kwalificatie ("-") voor het IP-adres (SPF)
Beperkte werking: het IP-adres kan wel of niet zijn geautoriseerd om vanuit het niet wil beweren dat het IP-adres is geautoriseerd om vanuit het domein (SPF met kwalificatie "?") te verzenden Niet beschikbaar: SPF-resultaat van None betekent dat er geen records zijn gepubliceerd door het domein of dat er geen controleerbaar
afzenderdomein is dat kan worden bepaald op grond van de gegeven identiteit U kunt RFC 4408 lezen voor meer details over SPF.
Als u SPF-resultaten gebruikt, wordt geen rekening gehouden met witte lijsten in Filteren en verificatie voor regels.
DMARC resultaat
✓ ✗ ✗
Is van toepassing op
berichten die voor verificatie door SPF, DKIM of beide zijn geslaagd of niet zijn
Naam van
Aan het voorwaardetype zijn de volgende bewerkingen gekoppeld:
• Tekenreeks: is, is niet, bevat, bevat niet, komt overeen met, komt niet overeen met, is in, is niet in, komt overeen met reguliere expressie, komt niet overeen met reguliere expressie
• Getal: is kleiner dan, is groter dan, is tussen
• Tekst: bevat, bevat niet, komt overeen met, komt niet overeen met
• Datum-tijd: is kleiner dan, is groter dan, is tussen
• Opsomming: is, is niet, is in, is niet in OPMERKING
Als de Bijlagenaam of het Bijlagetype Microsoft Office-bestand (2007+) is, wordt de bijlage door ESET Mail Security behandeld als een archief. Dit houdt in dat de inhoud wordt geëxtraheerd en dat elk bestand in het Office-bestandsarchief (bijvoorbeeld .docx, .xlsx, .xltx, .pptx, .ppsx, .potx enz.) apart wordt gescand.
Als u Antivirusbeveiliging uitschakelt in het menu Instellingen of Geavanceerde instellingen (F5)
> Server > Antivirus en antispyware voor de laag Beveiliging van e-mailtransport en Beveiliging van postvakdatabase, heeft dit gevolgen voor deze regelvoorwaarden:
• Bijlagenaam
• Bijlagegrootte
• Bijlagetype
• Resultaat van antivirusscan
• Bijlage is met een wachtwoord beveiligd
• Bijlage is beschadigd archief
• Bevat beschadigd archief
• Bevat met wachtwoord beveiligd archief
Regelactie
U kunt acties toevoegen die worden uitgevoerd bij berichten en/of bijlagen die aan regelvoorwaarden voldoen.
OPMERKING
Het is mogelijk meerdere acties voor een regel toe te voegen.
De lijst met beschikbare acties voor Beveiliging van e-mailtransport, Beveiliging van postvakdatabase en On-demand databasescan van postvak (bepaalde opties worden mogelijk niet weergegeven, afhankelijk van uw geselecteerde voorwaarden):
Actienaam Beveiliging van kunnen met deze regel e-mails in quarantaine
Plaatst de e-mailbijlage in de bestandsquarantaine. De e-mail wordt bij de
geadresseerde bezorgd met de bijlage afgekapt tot een lengte van nul.
Bijlage verwijderen
✓ ✓ ✓
Verwijdert een
berichtbijlage. Het bericht wordt zonder bijlage bij de ontvanger bezorgd. moet er een NDR (Non-Delivery Report) worden gegenereerd door de verzendende server.
Bericht stil verwijderen
✓ ✗ ✗ Verwijdert een bericht
zonder een NDR te genereren.
SCL-waarde instellen ✓ ✗ ✗ Wijzigt of bepaalt een
specifieke SCL-waarde.
Actienaam Beveiliging van
inschakelen. U kunt dan de indeling van de
gebeurtenismeldingen aanpassen (gebruik de knopinfo voor suggesties) terwijl u de regel maakt. U kunt ook het detailniveau voor gebeurtenismeldingen selecteren. Dit hangt echter af van het minimale
detailniveau dat in het deel E-mailmeldingen is
ingesteld.
Antispamscan
overslaan ✓ ✗ ✗ Bericht wordt niet door de
antispamengine gescand.
Antivirusscan
overslaan ✓ ✓ ✓ Bericht wordt niet door de
antivirusengine gescand. en uit te voeren acties kan definiëren voor bepaalde voorwaarden.
Actienaam Beveiliging van is de kolom Gebeurtenis in Logbestanden leeg voor deze specifieke gebeurtenis.
Dit komt doordat er geen IP-adres is op het niveau Beveiliging van
postvakdatabase. Bepaalde opties zijn niet op alle beveiligingsniveaus
toevoegen ✓ ✗ ✗ Voegt een voorvoegsel toe
aan een onderwerp.
Actienaam Beveiliging van
Vervangt de bijlage door een tekstbestand met uitvoerige informatie over een actie die is ondernomen.
Koptekstvelden
verwijderen ✓ ✗ ✗ Verwijdert velden uit
koptekst volgens opgegeven parameters.
Bericht verwijderen ✗ ✓ ✓ Verwijdert een geïnfecteerd
bericht.
Bericht verplaatsen
naar map ✗ ✗ ✓ Het bericht wordt verplaatst
naar de specifieke map.
Bericht naar
Prullenbak verplaatsen ✗ ✗ ✓
Plaatst een e-mailbericht in de prullenbak van de e-mailclient. volgens het beleid dat is opgegeven in de DMARC DNS-record voor het domein van de afzender.
Als u Antivirusbeveiliging uitschakelt in het menu Instellingen of Geavanceerde instellingen (F5)
> Server > Antivirus en antispyware voor Beveiliging van e-mailtransport, heeft dat gevolgen voor deze regelacties:
• Bijlage in quarantaine plaatsen
• Bijlage verwijderen
Regelvoorbeelden
Quarantaineberichten waarin zich malware bevindt of een bijlage die met een wachtwoord is beveiligd, is versleuteld of is beschadigd
VOORBEELD
Doelstelling: Quarantaineberichten waarin zich malware bevindt of een bijlage die met een wachtwoord is beveiligd, is versleuteld of is beschadigd
Maak de volgende regel voor Beveiliging van e-mailtransport:
Voorwaarde
Berichten die de SPF-controle niet hebben doorstaan overbrengen naar een map Ongewenste e-mail
VOORBEELD
Doelstelling: Berichten die de SPF-controle niet hebben doorstaan overbrengen naar een map Ongewenste e-mail
Maak de volgende regel voor Beveiliging van e-mailtransport:
Voorwaarde
Waarde: 5 (Stel de waarde in op grond van de parameter SCLJunkThreshold van de cmdlet Get-OrganizationConfig van uw Exchange-server. Nadere inlichtingen vindt u in het artikel SCL-drempelacties.)
Berichten van specifieke afzenders verwijderen
VOORBEELD
Doelstelling: Berichten van specifieke afzenders verwijderen Maak de volgende regel voor Beveiliging van e-mailtransport:
Voorwaarde Type: Afzender
Bewerking: is / is een van
Parameter: spammer1@domein.com, spammer2@domein.com Actie
Type: Bericht stil verwijderen
Een vooraf gedefinieerde regel aanpassen
VOORBEELD
Doelstelling: Een vooraf gedefinieerde regel aanpassen
Details: Archiefbijlagen in berichten van gespecificeerde IP-adressen toelaten (bijvoorbeeld voor interne systemen) terwijl de regel Verboden archiefbestandsbijlagen wordt gebruikt
Open de regelreeks Beveiliging van e-mailtransport, selecteer Verboden archiefbestandsbijlagen en klik op Bewerken.
Voorwaarde
Type: IP-adres van afzender Bewerking: is niet / is niet een van Parameter: 1.1.1.2, 1.1.1.50-1.1.1.99 Tekstgedeelte van bericht
VOORBEELD
Doelstelling: Quarantaineberichten waarin zich een bepaalde tekenreeks in het tekstgedeelte van het bericht bevindt
Maak de volgende regel voor Beveiliging van e-mailtransport:
Voorwaarde
Type: Tekstgedeelte van bericht
Bewerking: bevat een van, klik op Toevoegen typ webadres van website of gedeeltelijk webadres
Actie
Type: Quarantainebericht
Berichten voor niet-bestaande ontvangers opslaan
VOORBEELD
Doelstelling: Berichten voor niet-bestaande ontvangers opslaan
Details: Als u wilt dat alle berichten naar niet-bestaande ontvangers in quarantaine worden geplaatst (ongeacht of ze als Antivirusbeveiliging of Antispambeveiliging zijn gemarkeerd) Voorwaarde
Type: Resultaat van validatie van ontvanger Bewerking: is
Parameter: Bevat ongeldige ontvanger Actie
Type: Quarantainebericht