我们在办公室处理大量电汇和其他电子资金转账。我们在我们的电子邮件门户上启用了 MFA,还设置了 SPF 和 DKIM。我们正在运行 Office 365 业务。
最近,我们的财务人员和 EA 发现来自“有效”电子邮件地址(例如 [email protected],这是一个有效的电子邮件地址并通过了安全检查)的电子邮件有所增加,其中包含看起来确实来自我们的邮件首席执行官,首席财务官,我,财务团队。
我们会收到一封看起来像是来自我们 CEO 的电子邮件:
CEO NAME <[email protected]>
message:
Please respond with the information for this wire transfer that we sent this morning, i need the confirmation # or a picture of the transfer.
/首席执行官姓名
或者我:
ME ME <[email protected]>
Hey guys, i need you to email me a zipped copy of our SSL private keys, password of o3haw3hfa32f. I lost them.
我不确定如何阻止这些类型的电子邮件,因为没有链接,没有附件,只有带有有效电子邮件地址的简单文本。
我培训了我的员工,教他们如何始终查看电子邮件地址。总是。然而,在我看来,这仍然是一个等待发生的错误,当它发生时,很可能会是一个大错误。
我已经告诉我的开发人员不要通过电子邮件发回恶意软件或 nswf 图像,因为这可能只会鼓励发件人。
有什么想法吗?
您的 SPF/DKIM 不会保护您免受传入邮件的侵害,因为它用于使出站邮件合法化,作为一种表达“这封邮件真的来自我,看这里是我们的域密钥和我们的 SPF 等”的方式 - 这将“分离”您的邮件来自垃圾邮件(仅适用于一些更严格的接收域,例如 Yahoo)
对于入站邮件,很难完全阻止这些邮件,因为欺骗性电子邮件来自与实际显示的地址不同的地址(例如,它显示为 CEO)。在某些情况下,您实际上可以在邮件标头中找到发送地址,我曾多次通过阻止发送域来幸运地做到这一点。如果存在,您可以在 env-sender 或 return-path 字段下找到它。然而,这是一场持续的战斗,因为这个后端标头地址会不断变化。正因为如此,任何最大的努力都是利用某种电子邮件安全或邮件防护,并希望他们的启发式检测方法能够检测到非法电子邮件。除此之外,没有可用的解决方案——并非每个企业都有 SPF 设置,因此 ISP 仍在中继邮件而没有任何 SPF/DKIM,
您无法防范一切,因为恶意内容在不断演变,因此安全性也必须如此。对于欺骗者使用的每一种绕过方法,我们都必须尽最大努力领先一步,以准确阻止您的要求。我相信他们现在甚至已经将机器学习纳入其中。