Omschrijving
- Type: CUSTOMER
- Severity: WARNING
- Bescherming tegen: SOCIAL ENGINEERING
- FIX Beschikbaar: JA
Deze Customer Check controleert of bescherming tegen misleidende e-mails is geconfigureerd.
Waarom deze check?
Inkomende e-mails kunnen kenmerken bevatten op basis waarvan ze als verdacht worden aangemerkt. Dit kan bijvoorbeeld aan de hand zijn in gevallen van zogenaamde BEC-fraude. Als de verdenking nog beperkt is, komen die e-mails wellicht toch in de mailbox van een medewerker terecht. Het is dan zinvol om dergelijke e-mails zichtbaar te voorzien van een waarschuwing dat er mogelijk sprake is van misleiding. Zodat medewerkers extra alert worden gemaakt om voorzichtig te zijn met de inhoud.
Zolder biedt een aantal specifieke transportregels aan voor Exchange Online om die zichtbare kenmerken aan e-mails toe te voegen, namelijk:
- [ATTIC] SPF Fail – Triggert wanneer het e-mail adres van de afzender niet voldoet aan SPF regels. (zie ook onze uitleg over SPF) – Let op: Deze regel wordt niet ingeschakeld indien uw e-mail via een andere, externe e-mailserver ontvangen wordt.
- [ATTIC] Typosquatted Domains – Triggert wanneer het e-maildomein van de afzender sterk lijkt op het HOOFDdomein van de ontvanger, maar net anders is.
E-mails die 1 of meerdere van deze rules triggeren, worden voorzien van een waarschuwing aan de bovenkant ervan. Die er ongeveer zo uit ziet:
Credits
Deze check is geïnspireerd op het werk en de publicatie van Kelvin Tegelaar, CTO bij Lime Networks, op CyberDrain.com: https://www.cyberdrain.com/automating-with-powershell-deploying-spoofing-warnings/
Welke mogelijke uitkomsten heeft de check?
Deze check heeft twee mogelijke uitkomsten. In de Attic komt dit als volgt tot uiting:
- Okay: De [ATTIC] spoofing warning transportregels zijn ingeschakeld
- Warning: 1 of meerderen van de [ATTIC] spoofing warning transportregels ontbreken in de configuratie
Hoe moet dit worden opgevolgd?
Indien de output Warning is, adviseren wij om de [ATTIC] spoofing warning transportregels in te schakelen.
Voor deze check is een Fix beschikbaar, deze zullen wij via Attic aanbieden.