|
Schutz der Anzeigenamen |
Scrollen Zurück Oberste Ebene Weiter Mehr |
Dieses Leistungsmerkmal dient der Abwehr von Business E-Mail Compromise (BEC, ein Oberbegriff für die Kompromittierung geschäftlicher E-Mail-Konten) und zum Schutz gegen das Vorspiegeln falscher Identitäten mithilfe des Anzeigenamens. Es sind dies Angriffe, bei denen betrügerisches Auftreten mithilfe manipulierter Anzeigenamen verschleiert wird. Angreifer verwenden hierbei Anzeigenamen, die denen von vertrauten Benutzern ähnlich sind (etwa solchen von Vorstandsmitgliedern und Geschäftsführern, Lieferanten oder Arbeitskollegen), um die Empfänger zu bestimmten Aktionen zu verleiten. Solche Aktionen können etwa Geldüberweisungen oder das Offenlegen geheimhaltungsbedürftiger Informationen sein. Dieses Leistungsmerkmal bietet durch mehrere Abwehrmechanismen umfassenden Schutz:
•Kern-Erkennungsmodul: Dieses Modul nutzt eine fortgeschrittene Erkennungsmethode für ähnliche Namen (es wird der Jaro-Winkler-Algorithmus eingesetzt). Diese Methode erkennt, wenn der Anzeigename in einer E-Mail-Nachricht dem eines geschützten Benutzers ähnelt, aber von einer anderen E-Mail-Adresse stammt. Die Administratoren können einen Ähnlichkeitsschwellwert (von 0.0 - 1.0) konfigurieren. Der Wert 1.0 bedeutet, dass nur eine genaue Übereinstimmung erkannt wird. Niedrigere Werte ermöglichen einen unscharfen ("Fuzzy") Abgleich, durch den Abwandlungen wie "Jon Smith" gegenüber "John Smith" ebenfalls erkannt werden.
•Verwaltung geschützter Benutzer: Die Administratoren können Ziele mit hohem Gefährdungsgrad bestimmen (etwa Vorstandsmitglieder und Geschäftsführer, Beschäftigte im Bereich Finanzen, Beschäftigte im Personalwesen) und besonders überwachen. Jeder geschützte Benutzer kann eine persönliche Liste legitimer alternativer Adressen pflegen und so falschen positiven Treffern vorbeugen, die etwa dann auftreten können, wenn die Benutzer Nachrichten von privaten Benutzerkonten aus senden.
•Aktionen für Freemail-Anbieter: Auf E-Mail-Nachrichten, die von Freemail-Anbietern ausgehen (Gmail, Yahoo, Outlook.com, Hotmail, ProtonMail, iCloud, AOL usw.), können striktere Regeln angewendet werden. Diesem Vorgehen liegt die Annahme zugrunde, dass Angriffe mit vorgetäuschten Identitäten oft von Benutzerkonten bei solchen Anbietern ausgehen. Für diese Hochrisiko-Quellen können besondere Aktionen konfiguriert werden.
•Flexible Aktionen bei Treffern: Sie können mehrere Aktionen konfigurieren, die bei Treffern ausgeführt werden. Hierzu gehören das Abweisen von Nachrichten, das Verschieben von Nachrichten in Quarantäne für eine manuelle Sicherheitsprüfung, das Hinzufügen von Kopfzeilen mit Warnmeldungen (X-DisplayName-Spoof), das Kennzeichnen der Betreffzeilen, etwa durch "ANZEIGENAME GEFÄLSCHT", und das Verschieben in Spam-Ordner. Sie können für Treffer bei Nachrichten von allgemeinen Quellen und für Treffer bei Nachrichten von Freemail-Anbietern getrennte Aktionen konfigurieren.
•Detaillierte Ausnahmen: Sie können falsche positive Treffer mithilfe verschiedener Ausnahmen verhindern. Hierzu gehören IP-Adressen auf einer Freigabeliste, Verbindungen mit Echtheitsbestätigung und Anmeldung, Mailserver der Domänen, und frei konfigurierbare Ausschlusslisten, in denen Sie Muster mithilfe von Jokerzeichen (z.B. *@company.com, benutzer*@domain.com, admin@*.com) definieren können.
•Sieve-Integration: Fortgeschrittene Benutzer können mithilfe der neuen Sieve-Tests vnd.mdaemon.display_name_protection und vnd.mdaemon.sender_is_free_email angepasste Richtlinien erstellen.
Konfiguration
Schutz der Anzeigenamen aktivieren
Aktivieren Sie diese Option, um den Schutz der Anzeigenamen zu aktivieren und die Einstellungen für dieses Leistungsmerkmal zu konfigurieren.
Wenn ein betrügerisches Auftreten erkannt wird:
In diesem Abschnitt wählen Sie die Aktion aus, die dann ausgeführt wird, wenn in Bezug auf einen geschützten Benutzer ein Vorspiegeln falscher Identitäten erkannt wird:
...Nachricht abweisen
Diese Option bewirkt, dass die Nachricht abgewiesen wird.
...Nachricht in Quarantäne geben
Diese Option bewirkt, dass die Nachricht angenommen und zur Prüfung in Quarantäne gegeben wird.
...Nachricht annehmen
Diese Option bewirkt, dass die Nachricht angenommen wird. Es können dann weitere Aktionen ausgeführt werden. Beispielsweise kann eine Kopfzeile in die Nachricht eingefügt werden, oder die Bewertung der Nachricht kann geändert werden, sodass die Nachricht möglicherweise als Spam gekennzeichnet wird.
...Kopfzeile in Nachricht einfügen
Falls Sie oben die Option ausgewählt haben, die Nachricht in Quarantäne zu geben oder anzunehmen, dann können Sie mithilfe dieser Option eine benutzerdefinierte Kopfzeile in die Nachricht einfügen.
Name der Kopfzeile:
Dies ist der Name der einzufügenden Kopfzeile. Die Voreinstellung lautet: X-DisplayName-Spoof
Inhalt der Kopfzeile:
Dies ist der Inhalt der einzufügenden Kopfzeile. Die Voreinstellung lautet: Suspected (Verdächtig)
...Betreff kennzeichnen mit
Falls Sie oben die Option ausgewählt haben, die Nachricht in Quarantäne zu geben oder anzunehmen, wenn eine Vorspiegelung falscher Identitäten erkannt wird, dann können Sie mithilfe dieser Option am Beginn der Betreffzeile der Nachricht einen Text einfügen. Die Voreinstellung lautet *** DISPLAY NAME SPOOFED *** (Anzeigename gefälscht), und Sie können stattdessen auch einen anderen Text eintragen.
...[xx] Punkte zur Nachrichten-Bewertung hinzurechnen
Mithilfe dieser Option können Sie der Nachrichten-Bewertung die hier angegebene Punktzahl hinzurechnen, wenn ein gefälschter Anzeigename erkannt wird. Per Voreinstellung werden 3.0 Punkte hinzugerechnet.
Ähnlichkeitsschwellwert (0.0 - 1.0):
Namen werden gekennzeichnet, wenn ihr Ähnlichkeitswert diesen Schwellwert erreicht oder übersteigt. 1.0 verlangt eine genaue Übereinstimmung. Voreinstellung: 1.0.
Varianten erkennen, die Spitznamen und Verniedlichungsformen sind
Wenn diese Option aktiv ist, werden allgemein übliche Varianten von Vornamen als Übereinstimmungen gewertet. Einige Beispiele hierzu, die jeweils als übereinstimmend gewertet werden: "Bob Smith" und "Robert Smith", "Matt Jones" und "Matthew Jones", "Fritz Mayer" und "Friedrich Mayer", "Willi Berger" und "Wilhelm Berger", "Susi Müller" und "Susanne Müller".
Aktionen für Freemail-Anbieter
Auf Nachrichten von Freemail-Anbietern striktere Aktionen anwenden
Angriffe durch betrügerisches Auftreten gegen oft von den Postfächern von Freemail-Anbietern (Gmail, Yahoo, Outlook.com usw.) aus. Wenn Sie diese Option aktivieren, können Sie besondere Aktionen definieren, die auf Spoofing-Nachrichten aus Postfächern von Freemail-Anbietern angewendet werden.
Wenn ein betrügerisches Auftreten erkannt wird, das von einem Freemail-Anbieter ausgeht:
In diesem Abschnitt wählen Sie die Aktion aus, die dann ausgeführt wird, wenn in Bezug auf einen geschützten Benutzer ein Vorspiegeln falscher Identitäten erkannt wird und der Absender eine E-Mail-Adresse eines Freemail-Anbieters nutzt.
...Nachricht abweisen
Diese Option bewirkt, dass die Nachricht abgewiesen wird.
...Nachricht in Quarantäne geben
Diese Option bewirkt, dass die Nachricht angenommen und zur Prüfung in Quarantäne gegeben wird.
...Nachricht annehmen
Diese Option bewirkt, dass die Nachricht angenommen wird. Es können dann weitere Aktionen ausgeführt werden. Beispielsweise kann eine Kopfzeile in die Nachricht eingefügt werden, oder die Bewertung der Nachricht kann geändert werden, sodass die Nachricht möglicherweise als Spam gekennzeichnet wird.
...Kopfzeile in Nachricht einfügen
Falls Sie oben die Option ausgewählt haben, die Nachricht in Quarantäne zu geben oder anzunehmen, dann können Sie mithilfe dieser Option eine benutzerdefinierte Kopfzeile in die Nachricht einfügen.
Name der Kopfzeile:
Dies ist der Name der einzufügenden Kopfzeile. Die Voreinstellung lautet: X-DisplayName-Spoof
Inhalt der Kopfzeile:
Dies ist der Inhalt der einzufügenden Kopfzeile. Die Voreinstellung lautet: Suspected (Verdächtig)
...Betreff kennzeichnen mit
Falls Sie oben die Option ausgewählt haben, die Nachricht in Quarantäne zu geben oder anzunehmen, wenn eine Vorspiegelung falscher Identitäten erkannt wird, dann können Sie mithilfe dieser Option am Beginn der Betreffzeile der Nachricht einen Text einfügen. Die Voreinstellung lautet *** DISPLAY NAME SPOOFED *** (Anzeigename gefälscht), und Sie können stattdessen auch einen anderen Text eintragen.
...[xx] Punkte zur Nachrichten-Bewertung hinzurechnen
Mithilfe dieser Option können Sie der Nachrichten-Bewertung die hier angegebene Punktzahl hinzurechnen, wenn ein gefälschter Anzeigename erkannt wird. Per Voreinstellung werden 3.0 Punkte hinzugerechnet.
Ähnlichkeitsschwellwert (0.0 - 1.0):
Namen werden gekennzeichnet, wenn ihr Ähnlichkeitswert diesen Schwellwert erreicht oder übersteigt. 1.0 verlangt eine genaue Übereinstimmung. Voreinstellung: 1.0.
Geschützte Benutzer
In diesem Abschnitt sind alle Benutzer aufgeführt, für die der Schutz der Anzeigenamen aktiv ist. Um einen Benutzer zu bearbeiten oder zu entfernen, wählen Sie den gewünschten Benutzer aus, und klicken Sie danach auf Bearbeiten oder Entfernen.
 | Geschützten Benutzer hinzufügen Um die Seite Geschützte Benutzer aufzurufen, klicken Sie auf diese Schaltfläche. Sie können auf dieser Seite Benutzer hinzufügen, die vor gefälschten Anzeigenamen geschützt werden sollen. |
Ausschlüsse
Nachrichten von IP-Adressen auf der Freigabeliste ausnehmen
Per Voreinstellung sind Nachrichten von der Bearbeitung durch den Schutz der Anzeigenamen ausgenommen, wenn sie von IP-Adressen auf der Freigabeliste für IPs aus versandt werden. Falls Sie auch solche Nachrichten durch den Schutz der Anzeigenamen bearbeiten lassen wollen, deaktivieren Sie diese Option.
Nachrichten aus echtheitsbestätigten Verbindungen ausnehmen
Per Voreinstellung sind Nachrichten von der Bearbeitung durch den Schutz der Anzeigenamen ausgenommen, wenn sie über Verbindungen mit Echtheitsbestätigung übermittelt werden. Falls Sie auch solche Nachrichten durch den Schutz der Anzeigenamen bearbeiten lassen wollen, deaktivieren Sie diese Option.
Nachrichten von Mailservern der Domäne ausnehmen
Per Voreinstellung sind Nachrichten von der Bearbeitung durch den Schutz der Anzeigenamen ausgenommen, wenn sie von Ihren Mailservern der Domäne aus übermittelt werden. Falls Sie auch solche Nachrichten durch den Schutz der Anzeigenamen bearbeiten lassen wollen, deaktivieren Sie diese Option.
Ausnahmen - Domänen
Falls Sie in der Auswahlliste "Für Domäne:" am oberen Seitenrand eine Domäne auswählen, wenn Sie diese Einstellungen konfigurieren, so wird nach dem Speichern der Einstellungen diese Domäne im Feld angezeigt. Klicken Sie auf die Verknüpfung Anzeigen/Bearbeiten für die jeweilige Domäne, um die Einstellungen für den Schutz der Anzeigenamen für diese Domäne anzuzeigen und zu bearbeiten. Um die Domäne auf die systemweiten Voreinstellungen zurückzusetzen, klicken Sie auf Zurücksetzen.
