Alley saatke meile sõnumi koopia. Ma saan posti teel kirju raha ülekandmise kohta - mis see on? Mida teha

Hea aeg! Täna räägime SMS-i varundamisest, saates kõik sõnumid oma nutitelefonist meilile. Seda võib vaja minna nii lihtsalt kirjavahetuse salvestamise eesmärgil kui ka sõnumite edasiseks töötlemiseks, näiteks otsides sõnumitest vajalikku teavet (kontaktid, nimed, hinnad jne) kolmandate osapoolte rakendustega, mis omakorda töötavad E-post. Vaatame võimalust selliseks kopeerimiseks Androidiga töötava nutitelefoni abil.

Loo postkast

Kõigi sõnumite saatmiseks ja salvestamiseks e-posti teel peate esmalt registreerima postkasti, yandex.ru kirjad sobivad selleks suurepäraselt. Võite kasutada ka oma olemasolevat postkasti, kuid soovitan registreerida uus. Esiteks koguneb sellesse aja jooksul suur hulk SMS-sõnumeid, mis võivad tavaliste tähtedega töötamist segada, ja teiseks, kui ühendate oma postkasti analüütika jaoks kolmanda osapoole teenusega, ärge märkige sisselogimist ja parooli peamine e-post selles.

Installige oma Android-nutitelefoni rakendus SMS Backup +

Kõigi SMS-sõnumite postkasti saatmiseks peate installima ja konfigureerima spetsiaalse rakenduse SMS Backup +, mille saab alla laadida saidilt play.goole.com või apk-dl.com (alternatiiv nutitelefonidele, mis ei kasuta Google Playd ) või.

Rakendust on testitud Androidis: 3.xx, 4.xx, 5.xx, 6.xx; Versiooni 2.xx tugi on deklareeritud.

SMS Backup + seadistamine

1. Käivitage rakendus;
2. Pärast rakenduse käivitamist valige avanenud menüüst üksus: Täpsemad seaded;
   
3. Järgmisena minge varundusseadetesse;
   
4. Märkige ruudud Varu SMS ja Meili teema prefiks, tühjendage ruudud Varu MMS, Varukõne logi (me ei vaja MMS-i ja kõneajalugu, kuigi saate ka need varundada);
   
5. Naaske eelmisse menüüsse ja minge jaotisse IMAP-serveri sätted;
   
6. Valige menüüelement Autentimine,
   
   määra parameetri väärtuseks Plain text;
   
   
7. Valige menüüelement Serveri aadress, sisestage väärtus: imap.yandex.ru:993
   
   
8. Valige menüüelement Turvalisus ja sisestage väärtus: SSL
   
   
9. Valige menüükäsk Login (Teie IMAP-konto), määrake oma sisselogimine, seejärel valige menüüelement Parool (Teie IMAP-konto parool), määrake yandex.ru meili parool;
10. Peamenüüs märkige ruut Automaatne varundamine;
    
11. Järgmisena minge jaotisse Automaatse varundamise seaded, valige menüükäsk Tavaline ajakava ja määrake ajavahemik, mille järel SMS meie määratud postkastikontole saadetakse (näiteks iga 2 tunni järel).
    

Rakendus SMS Backup + võimaldab teil mitte ainult e-posti varukoopiaid teha, vaid ka sealt sõnumeid taastada. Vastavad taasteseaded leiate jaotisest Täpsemad seaded -> Taasta seaded.

Pärast sõnumite saatmist e-postiga paigutatakse need kõik kausta nimega: SMS.

Meilile saadetud SMS-ide analüüsimine

Pärast SMS-sõnumite loendi saamist oma e-posti aadressile saate neis sisalduvate andmete analüüsimiseks kasutada spetsiaalset tarkvara. Näiteks saate jälgida pangast tulevaid SMS-e sõnumitega sularaha laekumiste ja deebetite kohta, mille alusel saate automaatselt pidada finantsarvestust. Sarnase lahenduse juurutasin ka “ühise ostusaidi jaoks”, kui kõik JV Korraldajate poolt pangalt saadud SMS-teated kogutakse ühte kohta, analüüsitakse ja nende põhjal kuvatakse süsteem juhtpaneelil andmed selle kohta, milline kasutaja paigutas. tellimus tegi makse.

Meili adresseerimine Thunderbirdi abil ei ole keeruline ülesanne, kuid seda saab teha mitmel erineval viisil, mis erineb teistest meiliprogrammidest. Kõige ilmsem muudatus, mida Microsofti toodetelt migreeruvad inimesed märkasid, on see, et Thunderbird paigutab igasse aadressikasti ainult ühe adressaadi, luues mitu adressaadikasti, kui adressaate on mitu. See ei mõjuta mingil viisil seda, kuidas kiri adressaadile kuvatakse; see on lihtsalt Thunderbirdi disainiprotsessi alguses tehtud paigutuse valiku tulemus.

Aadressiväljad

Saaja: Selle meili esmased adressaadid
CC:(Koopia) Selle meili teisesed adressaadid. Saajad näevad väljadel Saaja: ja CC: olevate e-posti aadresse
BCC:(Blind Carbon Copy) Sellel väljal olevatele aadressidele saadetakse kirjad, kuid adressaadid ei tea, kes oli väljal Pimekoopia: st need, kes on väljal Pimekoopia:, saavad meili, kuid väljadel Saaja: ja CC: olevad aadressid ei tea, kes oli BCC: väljal

Kui väljal Saaja: pole kirjet, vaid ainult Pimekoopias:, saadetakse kiri kõigile Pimekoopia saajatele ja kiri kuvatakse adressaatidele kui saadetud "avaldamata adressaatidele" või sarnases sõnastuses. vastuvõttev meiliprogramm.

Erimärkus Google'i kasutajatele

Google'i IMAP-i meilikontod eemaldavad teie saadetud kaustast Pimekoopiate loendis olevad nimed. Sellest tulenevalt saatja – s.t. teil – ei ole andmeid selle kohta, kellele e-kiri on pimekoopiaga saadetud. Kui vajate kirjet selle kohta, kelle kohta e-kirjas BCC lisasite, peate selle enne meili saatmist ise käsitsi salvestama. See on ainult Gmaili funktsioon.

Kirjete valimine aadressiraamatust

Thunderbird pakub kirjutamisvalikut, kui paremklõpsate loendis kontakti.

See on mugav, kui soovite saata ainult ühe kirja, kuid see on üsna kasutu, kui soovite kirja saata mitmele inimesele. Operatsioonisüsteem toetab siiski harva kasutatavat klahvikombinatsiooni, mis võimaldab teil valida mitu kirjet loendis, näiteks aadressiraamatus:

Hoides all nuppu CtrlKäsk klahvi abil saate valida mitu kirjet, ühe hiireklõpsu kohta. Loendis juba valitud kirjel klõpsamine tühistab selle üksuse valiku.

Lisaks sellele on võimalus kasutada klahvi Shift. Klahvi Shift all hoidmine valib hiireklõpsude vahel kõik loendis olevad andmed.

Kasutades kombinatsiooni Shift ja CtrlKäsk samas toimingus, muutes sobival ajal all hoidvat klahvi, saate valitud loendi peenhäälestamisel oma aega väga tõhusalt kasutada.

Kirjete valimine kontaktipaanil

Iga kord, kui klõpsate nuppu Kirjuta, Edasta või Vasta, avab Thunderbird kompositsiooniakna. Koostamisakna üks omadusi on see, et see sisaldab kontaktide külgriba paani, kust näete kõiki oma aadressiraamatu kirjeid. Seda paani saab sisse ja välja lülitada klahviga F9 või kompositsiooniakna menüüst Vaade.

Sellel paanil saate kirjeid valida lihtsalt topeltklõpsuga või paani allosas olevate nuppude abil

või paremklõpsates hiire või Ctrl- ja Shift-klahviga valitud kirjetel ja valides seejärel menüüst sihtkoha.

Pärast lisamisvaliku valimist lisatakse aadressid kirja ülaosas olevasse adressaatide loendisse, üks rida iga adressaadi kohta.

Võite pukseerida ka üksikuid kontakte või mitu kontaktide valikut külgribalt mis tahes aadressikasti. Erinevalt teistest siin kirjeldatud meetoditest lisab see mitu kontakti ühte adresseerimiskasti, kuid pange tähele, et kontaktid sõelutakse vormingusse üks rida adressaadi kohta, kui sisestate adresseerimiskasti Enter.

mustkunstnik_romaan kontseptsioonis "pimekoopia", õppides mitte tegema rumalusi

Üllataval kombel märgivad paljud inimesed, kui neil on vaja saata e-kiri mitmele inimesele korraga, lihtsalt aadressid väljale "Adressaat". See on normaalne, kui see e-kiri on adresseeritud teie kolleegidele või sõpradele, kuid kui saadate kirju grupile. klientidest, näitate seega kõigile teiste adressaatide aadresse, paljastades sisuliselt oma aadressibaasi.

Kõik, mida teie kliendid peavad tegema, on see kiri teie konkurendile edastada ja teie kontaktid lekivad kohe.

See on kummaline, kuid paljud kaugeltki rumalad inimesed on üllatunud, kui saavad teada, et kui peate saatma kirja paljudele adressaatidele, et nad üksteisest ei teaks, siis on selle jaoks väli "Bcc".

Näiteks mail.ru jaoks näeb see välja järgmine:

Ja nii veel kord lühidalt:märkis aadressid "saadaval" - kõik näevad, kellele te kirjad saatsite, märgitud "pimekoopia" - kõik arvavad, et kiri on ainult tema jaoks.

Ja iga adressaat saab kirja, kus on väljal "kuni". ainult tema aadress . Teiste programmide puhul, kui te ei leia BCC-d, paluge kellelgi teile näidata. Veel üks väike punkt, peate väljale "saaja" määrama ühe aadressi; enamik programme või meiliservereid ei luba teil ilma selle parameetrita kirja saata.

Ja nii, mis puudutab pakkumiste, uudiste saatmist oma klientide rühmale - siin on pimekoopia kasutamise praktika selge, peate oma aadressibaasi peitma. Huvitav punkt kolleegidele kirja saatmise kohta, siin on soovitav tegutseda vastavalt olukorrale, näiteks saata kiri palvega saata ettepanekuid (näiteks klienditeeninduse parandamiseks) ja kui iga kolleeg näeb, et teine inimesed on saanud sama kirja, siis suure tõenäosusega nad ei vasta - loodavad teistele, mis tähendab, et peate kasutama peidetud koopiat. Kui see korraldus täidetakse, siis näiteks kolleegi ülemuse näitamine teeb lihtsalt imesid ja teie tellimus täidetakse.

Omaette probleem tarnijatega. Ühest küljest peaks kõigi saajate märkimine koopiasse näitama tarnijale, et teil on valikuvõimalus ja ta peaks pakkuma teile häid hindu. Teisest küljest suhtub teie kirja saanud juht, nähes, et see saadeti mitte ainult talle, teie palvet suure tõenäosusega "lahedalt". Isiklikult arvan ma, et tarnijate puhul peate kasutama varjatud koopiat, vähemalt ärisaladuste kaitsmiseks, kuid tõenäolisemalt heade suhete jaoks tarnija juhiga.

Saate lugeda hiljutist spetsialisti vea juhtumit, kui kõik adressaadid nägid teisi adressaate: Smack kõigile selles vestluses, seal oli tõesti lugupeetud inimesi - direktoreid, kuid siiski said paljud vastuseks rämpsposti.

Noh, nagu alati, on arutelu kommentaarides teretulnud.

Viimasel ajal olen perioodiliselt kokku puutunud selliste sissetulevate kirjadega ja minult sellist sõnumit ei toimetatud sellisesse ja sellisesse kohta, vaid kirja sisu on täis mingi ketserlus koos linkidega jne. Kõik oleks hästi, aga ma pole sinna selliseid sõnumeid saatnud ja esimest korda näen nende sisu.

Mis on võltsimine ja kuidas see toimib

Allolev tekst on võetud kohast.

Kui saate oma kontolt sõnumi saatmisel veateate, leiate oma rämpsposti kaustast kirju, mille saatjaks olete märgitud, või saate vastuse sõnumile, mida te ei saatnud, võite olla võltsimise ohver. Pettus on väljaminevate kirjade tagastusaadresside võltsimine, et varjata kirja tegelikku päritolu.

Kirja saatmisel posti teel märgitakse ümbrikule tavaliselt tagastusaadress. See võimaldab saajal tuvastada saatja identiteedi ja postiteenistusel kiri vajadusel saatjale tagastada. Miski ei saa aga takistada saatjat enda aadressi asemel kellegi teise aadressi märkimast. See tähendab, et teine ​​inimene võib saata kirja ja kasutada ümbrikul teie tagastusaadressi. E-post töötab samamoodi. Kui server saadab meili, määrab see saatja, kuid saatja välja saab võltsida. Kui keegi on teie aadressi sõnumisse valesti paigutanud, kui on probleeme kohaletoimetamisega, saadetakse sõnum teile tagasi, isegi kui te seda ei saatnud.

Kui saate vastuse e-kirjale, mida ei saadetud teie aadressilt, võib sellel olla kaks põhjust.

1. Kiri oli võltsitud ja teie aadress oli kirjas saatja aadressina.
2. Tegelik saatja lisas teie tagastusaadressi, nii et kõik vastused saadetakse teile.

Ükski neist valikutest ei tähenda, et keegi teine ​​on teie kontole juurde pääsenud, kuid kui olete selle turvalisuse pärast mures, saate vaadata sellele hiljutiste juurdepääsude ajalugu. Kerige postkasti lehel alla ja klõpsake lingil Lisainformatsioon joone kõrval.

Järelsõna

Nii et ärge sattuge paanikasse – lihtsalt ründajad üritavad meid taas kord konksu või kelmiga meelitada, kasutades kõikvõimalikke vasakpoolseid linke. Selliseid kirju muidugi ignoreeritakse ja kustutatakse ilma linkidele klõpsamata.

Muide, te ei tohiks seda kunagi unustada.

PS: Hoiatavad küsimused: teemal "lisateave" ja "hiljutised toimingud kontol" - puudutab ainult postkasti Gmail.

Tere habr! Selles märkuses otsustasin puudutada võltskirjade eest kaitsmise teemat (e-posti võltsimine, võltsitud e-kiri). Räägime kirjadest, milles info saatjate kohta on kuidagi võltsitud. Saaja näeb kirja, mille on väidetavalt saatnud usaldusväärne isik, kuid tegelikult saatis kirja ründaja.

Viimasel ajal kuuleme üha sagedamini võltskirjade probleemist oma klientidelt ja just tuttavatelt. See probleem ei ole mitte ainult aktuaalne, vaid tundub, et see kogub hoogu. Siin on tõestisündinud lugu sõbralt, kes oli lähedal dollarites nelja nulli kaotamisele. Firma pidas ingliskeelset kirjavahetust välismaise firmaga kallite eriseadmete ostmise asjus. Alguses tekkisid nüansid meie sõbra poolel - vaja oli muuta saatja (ostjafirma) konto andmeid. Mõni aeg hiljem, pärast uute andmete edukat kokkuleppimist, teavitas seadme tarnija ka vajadusest muuta saaja (müüja ettevõtte) konto andmeid. Kuid kirjad saaja andmete muutmise kohta tulid juba ründajatelt, kes saatja aadressi edukalt asendasid. Teatava üldise segaduse taustal, mida süvendas asjaolu, et kumbki osapool polnud kirjakeele emakeel, oli tähtede asendamist peaaegu võimatu märgata. Samuti tuleb märkida, et ründajad kopeerisid usinasti kirjades olevaid stiile, fonte, allkirju ja fotosid. Kuidas täpselt teave tehingu kohta lekkis - tõenäoliselt rikuti meilikirjavahetust. Nädal enne käesolevas artiklis käsitletud tehingu lõplikku kinnitamist saabus sõbra posti teel kiri troojalasega, *.exe arhiivis oleva arve kujul. Kirja saabudes ei olnud viirusetõrje pahavara kinni püüdnud ja suutis mõnda aega arvutis “töötada” ning värbas isegi paar oma kaaslast appi.

Paar päeva hiljem uuendati viirusetõrjesignatuure ning eemaldati pahavara ja selle vennad, kuid selleks ajaks oli kirjavahetus juba sisse kiilutud, saatja võltsitud ja raha läinud kellegi teise kontole.
Selles näites tehti saatja aadressi asendamine äärmiselt lihtsal viisil. Päris aadresse me ei avalda, kuid toome sarnase näite.

Õige saatja aadress: [e-postiga kaitstud]
Võlts saatja aadress: [e-postiga kaitstud].

Ründaja meilikonto sisaldas nime “best@bestofall” ja perekonnanime “.com”. Sõber viis osa kirjavahetusest läbi mobiilseadmest, mille e-posti klient kuvas saatja väljale ainult saatja ees- ja perekonnanime. Ja kõik mobiili e-posti kliendid teevad seda. Seetõttu nähti selles meilikliendis sissetulevat kirja aadressilt best@bestofall “space” .com. Mis on originaaliga väga sarnane. Allpool on ründaja kiri ja selle all Yandex.Maili liidese seaduslik kiri:

Outlookis nägi ründaja kiri välja ka üsna sarnane originaaliga; kui te tähelepanelikult ei vaata, ei pruugi te võltsingut isegi märgata.

Kõik tuli ilmsiks, kui tarnija helistas ja küsis: "Veer from mai mani?" Sõbra õnneks ei kantud algse allkirjastatud lepingu andmete (saaja ja saatja) kahekordse muutumise tõttu $$$$$ lõpuks ründajate kontole, vaid jäid saaja panga transiidikontole kinni. ja need suudeti tagastada.

Ettevõtted üle maailma kannavad meilirünnakute tõttu märkimisväärset kahju (). Seega ulatus 2013. aasta oktoobrist 2015. aasta augustini kogu maailma ettevõtete korporatiive-posti kompromissidest tulenev kahju 1,2 miljardi USA dollarini. Ja võltskirjadega ründed on üks levinumaid rünnete liike ettevõtete meilisüsteemide vastu.

Erilist tähelepanu pööratakse rünnetele, mille puhul ründaja saadab ettevõtte kõrge juhi nimel võltskirja. Kirja sisus nõuab ründaja kohest reageerimist või mõne töötaja või ettevõtte töötajate rühma kiiret reageerimist. Näiteks võib see nõuda teilt kirjale vastamist konfidentsiaalse teabe saatmisega. See võib põhjustada andmete lekkimist. Või võib ründaja nõuda suure summa kiiret pangaülekannet. Kirjeldatud stsenaariumide puhul tunneb töötaja survet: kõrgel kohal olev juht nõuab kohest tegutsemist. See asjaolu suurendab rünnaku õnnestumise tõenäosust. Lisaks võib ründele eelneda luure, kasutades sotsiaalse manipuleerimise meetodeid, et kõige tõhusamalt sõnastada kirja tekst ja kõige täpsemalt tuvastada töötajate sihtgrupp, kes võltskirja saab. Sellel lähenemisel on kasulik mõju ka rünnaku õnnestumisele.

Saatja aadressi võltsimise mehhanismi mõistmiseks tuletagem meelde SMTP-protokolli kaudu edastatava meili struktuuri. E-kiri koosneb ümbrikust, päistest ja sõnumi kehast. Ümbrikus on teave saatja kohta. See teave genereeritakse SMTP-käsu e-kirjaga ja sellel on otsene mõju sõnumite edastamise protsessile, kui see läbib meiliedastusagendi (MTA) meiliservereid. Teave saatja kohta sisaldub aga ka mõnes sõnumi päises, näiteks "From:", "Return-Path:", võib-olla "Reply-To:". Pealkiri "From:" ei pea ühtima kirjaümbrikusse kirjutatuga ja võib esindada mingit "sõbralikku nime" (sõbralik nimi, sõbralik nimi). Päis „Return-Path:” kopeerib saatja ümbrikust. Päis "Reply-To:" sisaldab vastuse aadressi. Päised on meilikliendi jaoks olulised (näiteks MS Outlook), vastavad väljad täidetakse päiste alusel.

Vaatame SMTP-käskude näidet võltspäistega “From:” ja “Reply-To:” kirja saatmiseks. Ühendage Exchange'i meiliserveriga Telneti abil:

Telnet 10.1.2.3 25 220 Exchange Microsoft ESMTP MAIL Teenus valmis kolmapäeval, 26. oktoobril 2016 10:28:00 +0300 helo 250 Exchange Tere, saatja: [e-postiga kaitstud] 250 2.1.0 Saatja OK rcpt aadressile: [e-postiga kaitstud] 250 2.1.5 Saaja andmed OK 354 Alusta kirja sisestamist; lõpetada .Saatja: Ivanov Ivan Saaja: Boriss Vastama: [e-postiga kaitstud] Teema: Kiireloomuline! Vajate teie krediitkaardi andmeid. Ivanov Ivan Ivanovitš, arvutiärisüsteemide tegevjuht. 250 2.6.0 Edastusjärjekorras kiri lõpeta 221 2.0.0 Teenuse sulgemise edastuskanal
Selles näites saadame reaalselt aadressilt [e-postiga kaitstud] kiri, kuid päises “Saatja:” märgime ettevõtte juhi nime ja aadressi ning päisesse “Reply-to” aadressi aadressil mail.yandex, kuhu tähelepanematu töötaja saadab konfidentsiaalset infot. Selle tulemusel näeb Outlooki meilikliendi kiri välja järgmine:

Ja kui klõpsate nuppu "Vasta", täidetakse adressaadi aadress automaatselt:

Nagu eelmisest näitest näha, ei ole võltskirja saatmine kuigi keeruline, kui meiliserver pole kaitstud. Halvimal juhul saab kirjast saadetud posti ümbrikus oleva väärtuse asendada ka legitiimse väärtusega. Kui e-kirja sisu on hoolikalt koostatud ja kasutades sotsiaalse manipuleerimise tulemusi, muutub võltskirja tuvastamine lõppkasutaja jaoks üha keerulisemaks. Veelgi hullem on olukord mobiilseadmete kasutajate jaoks. Mobiilsuse kontseptsioon eeldab, et teeme kõik toimingud kiiresti, "liikvel olles" ja isegi väikesel ekraanil, pööramata tähelepanu väikestele detailidele/ebakõladele. Muide, välismaise ettevõttega sõlmitud tehingu näites hõlmas ka sõbra tehing „mobiilsuse” tegurit. Osa kirjavahetusest toimus mobiilseadmest; meiliklient kuvas saatja väljale ainult saatja ees-/perenime, kuid peitis täieliku meiliaadressi.

Võltskirjadega toimetulemiseks pole ühtset meetodit. Kaitse seda tüüpi rünnakute eest nõuab integreeritud ja mitmetasandilist lähenemist. Püüan välja tuua peamised lähenemisviisid võltskirjade vastu võitlemiseks:

1. Filtreerimine saatva serveri maine alusel.
2. Filtreerimine, mis põhineb saatva serveri DNS-kirjete kontrollimisel.
3. Filtreerimine, mis põhineb saatja domeeni DNS-kirjete kontrollimisel kirjaümbrikust.
4. Filtreerimine SPF-kirjete kontrollimise alusel.
5. DKIM-põhine filtreerimine.
6. DMARC-põhine filtreerimine.
7. Granuleeritud filtrite käsitsi loomine.

Loetletud meetoditest kolm esimest on jämedad filtrid, mis võimaldavad võidelda rämpsposti, pahatahtlike kirjade, sealhulgas võltsitud saatjate massipostituste vastu. Sel juhul kasutavad ründajad massiefekti ilma enne rünnakut spetsiaalset luuret tegemata ja püüdmata sisu täpselt adressaadile kohandada. Näiteks Sberbanki nimel esitatud kirjad, milles palutakse esitada mis tahes konfidentsiaalset teavet (teie isikliku konto sisselogimine / parool, kaardinumbrid, PIN-koodid), mis saadetakse suurele hulgale adressaatidele. Põhimõte on, et keegi võtab õnge.

Meetodid 4-6 aitavad võidelda täpse saatja võltsimisega, st olukordadega, kus ründaja märgib kirja päises kuni märgini välja võltsitud saatja.
Meetodit 7 tuleb kasutada juhtudel, nagu näiteks artikli alguses välismaise ettevõttega peetud kirjavahetuse näites, kui kirja päist muudetakse nii, et see sarnaneks tegelikule saatjale. Kuid samal ajal erineb võltskirja päis ikkagi tegeliku saatja päisest, mis võimaldab 4-6 meetodite abil kontrollidest mööda minna.

Vaatleme loetletud meetodeid üksikasjalikumalt.

1. Filtreerimine saatva serveri maine alusel. Kui ettevõtte meilikaitsesüsteem pakub kvaliteetset saatjate maine andmebaasi, saame juba TCP-seansi loomise etapis filtreerida märkimisväärse protsendi rämpsposti ja igasuguse pahatahtliku kirjavahetuse levitajatest, ilma et peaks uurima saatja kehasse või ümbrikusse. kiri. Selline lähenemine säästab oluliselt süsteemi ressursse. Niipea, kui saatja üritab pordis 25 TCP-seanssi luua, määrab turvasüsteem saatja IP-aadressi maine ja teeb otsuse.

Cisco ESA näide. Maine filtreerimine.

Mõned täpsustused Cisco ESA näitel. Lahendus kasutab Sender Base maine andmebaasi. Näeme, et maine filtreerimine aitab peatada umbes 80% pahatahtlikest meilidest. Pealegi võin selle lahenduse juurutamise ja hooldamise aastatepikkuse kogemuse põhjal öelda, et Cisco ESA mainefiltreerimise valepositiivsete tulemuste arv kipub olema null.

Allpool on kokkuvõte meie organisatsioonist:

Sõltuvalt saatja mainest ei otsusta Cisco ESA mitte ainult kirja ära visata või edasi jätta, vaid määrab ka kirja edasise töötlemise stsenaariumi. Erinevate maineväärtuste jaoks saame rakendada erinevaid põhimõtteid:

2. Filtreerimine, mis põhineb saatja serveri DNS-kirjete kontrollimisel. Kirjade saatja peab olema DNS-is korrektselt registreeritud. Saatjal peab olema kehtiv PTR-kirje ja A-kirje. Saatja peab olema SMTP HELO käsus õigesti esitatud. Massrämpsposti ja pahavara saatmisel muudavad ründajad pidevalt saatvate serverite IP-aadresse. Aadressid muutuvad iga päev ja veelgi sagedamini. Vajalike kirjete registreerimine DNS-is on keeruline ja isegi võimatu. Seetõttu eiravad paljud rämpsposti ja pahatahtlike sõnumite levitajad neid nõudeid ning vastavalt sellele on võimalik neid DNS-i kriteeriumide alusel filtreerida.

Cisco ESA näide. Saatja IP-aadressi DNS-kontroll.

Vaatame DNS-i kontrolle, kasutades näitena Cisco ESA. Kui TCP-seanss luuakse, tehakse saatjale järgmised DNS-i kontrollid:

1. PTR-kirje olemasolu kontrollimine. PTR-kirje peab olema kordumatu ja tagastama saatja õige kanoonilise hostinime.
2. Esimeses etapis leitud hostinime A-kirje olemasolu kontrollimine (kasutades PTR-kirjet).
3. Kontrollige, kas eelmise sammu A-kirje DNS-i edasiotsing vastab saatja IP-aadressile.

Kui PTR-kirjet pole või leitud A-kirje osutab kolmanda osapoole IP-aadressile, aktsepteerime tõenäoliselt ebaseaduslikult saatjalt pärinevat seanssi. Selliste Cisco ESA saatjate puhul saame sõltuvalt nõuetest rakendada piiravaid eeskirju (viska kiri maha, saata see karantiini, muuta päist, piirata seansside arvu jne).

Juhin tähelepanu asjaolule, et ESA ei kontrolli selles kontrollide etapis saatja legitiimsust ehk ei kontrolli, kas saatjal on õigus saata määratud domeenist kirju. Veelgi enam, selles etapis ei vaadata ei kirja ümbrikut ega päiseid. Ainult IP-aadressi järgi kontrollimine töötab. Näiteks kui domeenist mycompany.ru pärinevad kirjad pärinevad “vasakpoolselt” IP-aadressilt õigete A- ja PTR-kirjetega DNS-is, näiteks “smtp.spamer.ru”, siis kontroll õnnestub ja kiri jäeti edasiseks töötlemiseks vahele. Saatjate legitiimsuse kontrollimiseks kasutatakse muid meetodeid (vt allpool SPF-kirjeid, DKIM, DMARC).

3. Filtreerimine, mis põhineb saatja domeeni DNS-kirjete kontrollimisel kirjaümbrikust. Saatjalt saadetud teave kuulub samuti DNS-i kontrollimisele. Kasutades Cisco ESA näidet, võib tähe ära jätta, kui:

1. Ümbrikust puudub saatja domeeni teave.
2. Domeeninimi ei ole DNS-is lahendatud.
3. Domeeninime DNS-is ei eksisteeri.

Seda tüüpi kontroll pole eriti tõhus, ilmselgelt valesti vormindatud ümbrikuga kirjad lükatakse tagasi.

4. SPF-kirjete kontrollide põhjal filtreerimine. SPF – Sender Policy Framework – süsteem elektrooniliste sõnumite saatjate kontrollimiseks. 2. meetod „Saatja serveri DNS-kirje” kontrollimine näitab ainult seda, et saatja IP-aadressi jaoks on olemas vajalikud DNS-kirjed (PTR- ja A-kirjed). Need kontrollid aga ei aita kindlaks teha, kas saatval serveril on õigus määratud domeenist kirju saata. Väärib märkimist, et sageli sisaldavad meiliserverite A-kirjed ettevõtte domeeninime, näiteks smtp01.mycompany.ru. Kui kirjade vastuvõtmiseks kasutatakse sama serverit, kaasatakse sama A-kirje ka MX-kirjesse. Võime eeldada, et kui serverist smtp01.mycompany.ru saadetakse kiri saidilt mycompany.ru, siis see kiri pole võlts, vastasel juhul, kui kiri saadetakse saidilt smtp01.anythingelse.ru, on kiri võlts. Kuid tegelikult saadavad ettevõtted sageli e-kirju mitte otse oma meiliserveritest, vaid mõne täiendava MTA serveri kaudu, näiteks oma pakkujate serverite kaudu. Sel juhul leiame, et kiri domeenilt mycompany.ru saadetakse serverite kaudu, näiteks smtp01.provider.com, smtp02.provider.com jne. Saatja serverite kanoonilised nimed ei kuulu ettevõtte domeeni mycompany.ru. Kuidas saab saaja pool sel juhul aru saada, kas saatvad serverid on legitiimsed või mitte? Selle probleemi lahendab SPF-i kontrollsüsteem.

Probleem lahendatakse uuesti DNS-i abil. Saatja domeeni jaoks avaldatakse erivormingus TXT-kirje. See TXT-kirje loetleb nende serverite IP-aadressid, alamvõrgud või A-kirjed, mis võivad saata kirjavahetust ja serverid, mis ei ole seaduslikud saatjad. Tänu SPF-süsteemile saab adressaat DNS-iga ühendust võtta ja selgitada, kas kirja saatvat serverit saab usaldada või üritab saateserver esineda kellegi teisena.

Hetkel ei loo kõik ettevõtted SPF-kirjeid.

5. DKIM-põhine filtreerimine. DKIM – DomainKeys Identified Mail – elektrooniliste sõnumite autentimise tehnoloogia. Naaskem SPF-kirjete käsitlemise näite juurde, kui ettevõte mycompany.ru saadab kirjavahetust väljastpoolt pakkuja MTA-de smtp01.mycompany.ru ja smtp02.provider.com kaudu. MTA jaoks on olemas SPF-kirjed, nii et nende serverite kaudu saadetud meilid saidilt mycompany.ru on edukalt kinnitatud. Aga mis siis, kui MTA andmed on rikutud ja ründajal on võimalik ka nende serverite kaudu võltsitud kirju saata? Kuidas sel juhul saatjat autentida? Appi tuleb kirja autentimine.

Autentimiseks kasutatakse asümmeetrilist krüptograafiat ja räsifunktsioone. Privaatvõti on teada ainult saatvale serverile. Avalik võti avaldatakse uuesti DNS-i abil spetsiaalses TXT-kirjes. Saateserver genereerib sõnumi päistest räsifunktsiooni kasutades sõrmejälje ja allkirjastab selle privaatvõtme abil. Allkirjastatud sõrmejälg sisestatakse meili päisesse „DKIM-allkiri:”. Nüüd saab kirja saaja avalikku võtit kasutades hankida dekrüpteeritud sõrmejälje ja võrrelda seda saadud kirja väljade sõrmejäljega (räsifunktsioon on teada). Kui sõrmejäljed ühtivad, siis allkirjastatud päiseid edastamise ajal ei muudetud ja päise „DKIM-allkiri:” genereerinud kirja saatja on seaduslik.

6. DMARC-põhine filtreerimine. DMARC – domeenipõhine sõnumite autentimine, aruandlus ja vastavus on tehniline spetsifikatsioon, mis kirjeldab täpselt, kuidas SPF- ja DKIM-i kontrollide tulemusi tuleks kasutada. DMARC-poliitikad avaldatakse nagu tavaliselt, kasutades DNS-i TXT-kirjes. DMARC-i eeskirjad täpsustavad, mida täpselt tuleb saaja poolel oleva kirjaga teha (tarnida, ära visata, karantiini panna), olenevalt SPF-i ja DKIM-i kontrollide tulemustest. Lisaks annab DMARC saatjalt tagasisidet adressaatidele. Saatja võib saada aruandeid kõigi meilide kohta, millel on saatja domeen. Teave sisaldab saatvate serverite IP-aadresse, sõnumite arvu, DMARC-i poliitikale vastavat tulemust, SPF-i ja DKIM-i kontrollide tulemusi.

7. Granuleeritud filtrite "käsitsi" loomine. Kahjuks ei kasuta kõik organisatsioonid meilide saatmisel SPF-i, DKIM-i, DMARC-i. Lisaks võivad mõnel juhul SPF-i, DKIM-i ja DMARC-i kontrollid edukalt läbida, kuid meilid osutuvad siiski võltsitud (Cousin domain, Free Email Accounts). Sellistel juhtudel aitavad filtri seaded. Erinevate süsteemide võimalused filtreerimisreeglite loomiseks on erinevad. Filtrid on konfigureeritud erinevate rünnakustsenaariumide jaoks ja sõltuvad ettevõtete postisüsteemide konkreetsest korraldusest. Näiteks mõnes ettevõttes võib kiri tulla väljastpoolt sama ettevõtte saatmisdomeeniga. Kuigi enamikul juhtudel tuleks selliseid kirju saata ainult organisatsiooni piires.

Oleme rohkem keskendunud Cisco ESA-le, seega vaatleme kokkuvõttes mitmeid näiteid selle lahenduse filtrite seadistamisest, aga ka huvitavaid funktsioone, mis ilmusid Cisco ESA jaoks mõeldud tarkvara versioonis 10.0 (kuupäev 2016) – võltsitud meilituvastus. See funktsioon võimaldab teil võidelda ebatäpsete võltsitud saatjatega, nagu artikli alguses toodud näites. Kui olete huvitatud, tere tulemast mängule.

Cisco ESA näide. Filtrid.

Cisco ESA pakub kahte tüüpi filtreid: sisufiltrid ja sõnumifiltrid. Esimesed on konfigureeritud GUI abil ja pakuvad lõplikku (ehkki üsna ulatuslikku) tingimuste ja toimingute loendit. Näide GUI-st:

Kui sisufiltritest ei piisa, et kirjeldada tingimusi, mille kohaselt täht filtri alla jääb, võite kasutada sõnumifiltreid. Sõnumifiltrid konfigureeritakse käsurealt, need kasutavad tingimuste kirjeldamiseks regulaaravaldisi ja võimaldavad luua keerulisi tingimusi (nt If (((A ja B) ja mitte C) või D) ). Sõnumifiltrid töötlevad e-kirju enne sisufiltreid ja võimaldavad teil luua üksikasjalikumaid reegleid.

Vaatame mitut saatja võltsimise stsenaariumi ja vastavaid Cisco ESA filtreid rünnaku vastu võitlemiseks.

Näide 1. Kirjad, mille saatjas on organisatsiooni domeen, ei tohiks tulla väljastpoolt. Näide võetud saidilt cisco.com: link. Näide on asjakohane, kui organisatsioon ei ole valmis oma SPF-i ja domeenivõtmeid DNS-is avaldama. See näide kasutab järgmist sõnumifiltrit:

MarkPossiblySpoofedEmail: if ((recv-listener == "InboundMail") AND (subject != "\\(Võimalik võltsitud\\)$")) // Kui e-kiri on saadud väljastpoolt ja pole veel päises märgitud, e-kiri on " Võimalik võltsitud" ( if (mail-from == "@teiedomeen\\.com$") VÕI (header("From") == "(?i)@teiedomeen\\.com") // Kui e-posti ümbrik sisaldab organisatsiooni domeeni või päis From sisaldab organisatsiooni domeeni ( strip-header("Subject"); insert-header("Subject", "$Subject (võimalik, et võltsitud)") ; ) ) // Lisage päisesse "Võltsitud" kirje "Võimalik, et võltsitud"
Toiminguna saab valida ka muid valikuid: saata karantiini, visata kiri ära jne.

Näide 2. Artikli alguses vaatlesime näidet, kui kirjaümbrikust saadetud post ei olnud võlts ( [e-postiga kaitstud], see tähendab, et ründaja kirjutab oma õige aadressi), kuid päis From näitas võltsaadressi ( [e-postiga kaitstud]). Samal ajal ei takista miski ründajal spoofed.ru domeeni DNS-is SPF-i ja domeenivõtmeid seadistamast. Saame aru, et võltsmeil läbib SPF- ja DKIM-i kontrolli. Samuti läbitakse edukalt SPF-i ja DKIM-i kontrollid, kui ründaja kasutab tasuta posti (tasuta meilikontod - gmail.com, mail.ru jne).

Selle olukorraga saame võidelda, kontrollides päises Saatja ja saadetud kirjade väärtuste võrdsust. Broneering tasub teha kohe: üldjuhul ei nõua RFC, et e-posti aadress oleks võrdne saatjaga. Seetõttu peate sellist filtrit rakendama ainult mõnele saatjale.

Cisco ESA-l on praegu (november 2016) piirang: te ei saa väljade väärtusi omavahel võrrelda, see tähendab, et te ei saa lihtsalt kirjutada, kui meil on != päis (From). Probleemi saab lahendada muul viisil. Loome saatjate nimede sõnastiku Spoofed_senders, kuhu sisestame võltsimisele vastuvõtlikud saatjad. Filtris seadsime tingimuse: kui e-kiri aadressilt ei sisalda sõnastikust saatjat ja päis Saatja sisaldab saatjat sõnastikust, sooritage toiming. Saate kirja karantiini panna või sellest loobuda, kuid Cisco soovitab kirjutada rikutud From päise väärtuse uude X-Original-From päisesse ja eemaldada väli From üldse. Sel juhul genereerib Cisco ESA automaatselt päise From mail from email from value. Sellise filtri näide:

SpoofedSendersFilter: if (header-dictionary-match("Spoofed_Saatjad","From", 1)) AND (NOT (mail-from-dictionary-match("Spoofed_Saatjad", 1))) // Kui väli Saatja sisaldab nime sõnastikust ja mail from value ei sisalda sõnastikust nime ( insert-header("X-Original-From", "$From"); strip-header("From"); ) // Moodusta X-Original-From päis ja kustuta päisest
Näide 3. Ründajad kasutavad saatja aadressidega sarnaseid aadresse, nn nõbu domeene ja nõbu aadresse. Näiteks aadress [e-postiga kaitstud] asendatakse [e-postiga kaitstud]. Domeeni cbc.ru jaoks genereeritakse DNS-is SPF- ja domeenivõtmed, nii et kirjad läbivad edukalt vastavad SPF- ja DKIM-kontrollid ning kirja saaja näeb tuttavat saatjat. Sellise asendamise vastu on keerulisem võidelda. Peate sisestama eelmise näite sõnaraamatusse Spoofed_senders kõik sarnased saatjanimede ja domeeninimede variandid, mis on vaevalt võimalik.

Seda tüüpi saatjate võltsimise vastu võitlemiseks tutvustas Cisco ESA alates AsyncOS 10.0 väljalaskmisest (juuni 2016) huvitavat "võltsitud e-posti tuvastamise" funktsiooni. Kõigepealt luuakse saatjate nimede sõnastik (näidetes kasutatakse sõnastiku FED nimetust), nagu eelmises näites, kuhu sisestame võltsimisele vastuvõtlikud saatjad. See sõnastik on moodustatud saatjate, mitte postkastide nimedest. See tähendab, et peate selle asemel kirjutama Olivia Smith [e-postiga kaitstud]. Võltsitud meilituvastussüsteem kontrollib päist Saatja FED-sõnastiku nimedega ja annab tõenäosuse (1 kuni 100), et saatjat võib pidada võltsiks.

Näiteks kui sõnastik sisaldab sõna "John Simons" ja päis From sisaldab [e-postiga kaitstud], kuvab süsteem võltsimise tõenäosuseks 82. Kui päis From sisaldab [e-postiga kaitstud](st sama nimi, kuid erinev domeen), annab süsteem võltsimise tõenäosuseks 100.

Võltsitud meilituvastus konfigureeritakse sisufiltrite või sõnumifiltrite kaudu. Allpool on sisufiltri sätete ekraanipilt:

Vajalik on täpsustada sõnastiku nimi ja lävi tõenäosusväärtus, mille järel loeme saatja võltsitud. Selle tingimuse jaoks saate valida mis tahes saadaolevatest toimingutest (viskamine, karantiini saatmine, kirja teema muutmine jne). Lisaks on võltsitud e-posti tuvastamise jaoks uus lisatoiming: asendage päise väärtus Saatja väärtusega mail from. See toiming ei paku ühtegi valikut:

Järeldus

Saatjate võltsimise rünnakud meili vastu on kahjuks igapäevane reaalsus. Ja sedalaadi eduka rünnaku tagajärjed võivad olla äärmiselt hukatuslikud nii iga inimese kui ka rünnatava organisatsiooni jaoks tervikuna. Võimalik on märkimisväärne materiaalne kahju ja konfidentsiaalse teabe lekkimine. Loodan, et see artikkel aitab teil mõista nii võltsitud e-kirju kasutades rünnakute anatoomiat kui ka kaitsemeetodeid. Näidetes kasutasin Cisco ESA lahendust, kuid artiklis mainitud kaitsetööriistu saab realiseerida ka teistel ettevõtte meilikaitsesüsteemidel.