Monitor Email For Brand Abuse-钓鱼邮件检测

2019-12-29 走过路过 3518 0

通过伪造电子邮件地址进行诈骗攻击,发件人的域类似于指定的域,容易欺骗到收件人。

防止邮件诈骗的方法:
SPF
SPF是 Sender Policy Framework 的缩写,一种以IP地址认证电子邮件发件人身份的技术。 接收邮件方会首先检查域名的SPF记录,来确定发件人的IP地址是否被包含在SPF记录里面,如果在,就认为是一封正确的邮件,否则会认为是一封伪造的邮件进行退回。
SPF可以防止别人伪造你来发邮件,是一个反伪造性邮件的解决方案。当你定义了你域名的SPF记录之后, 接收邮件方会根据你的SPF记录来确定连接过来的IP地址是否被包含在SPF记录里面,如果在,则认为是一封正确的邮件,否则则认为是一封伪造的邮件。

DKIM
DKIM让企业可以把加密签名插入到发送的电子邮件中,然后把该签名与域名关联起来。签名随电子邮件一起传送,而不管是沿着网络上的哪条路径传送, [1]  电子邮件收件人则可以使用签名来证实邮件确实来自该企业。

splunk查询:查找表brandMonitoring_lookup配置相似邮件域名
| tstats `summariesonly` values(All_Email.recipient) as recipients, min(_time) as firstTime, max(_time) as lastTime from datamodel=Email by All_Email.src_user, All_Email.message_id | `drop_dm_object_name("All_Email")` | `ctime(firstTime)` | `ctime(lastTime)` | eval temp=split(src_user, "@") | eval email_domain=mvindex(temp, 1) | lookup update=true brandMonitoring_lookup domain as email_domain OUTPUT domain_abuse | search domain_abuse=true | table message_id, src_user, email_domain, recipients, firstTime, lastTime

earliest=-70m@m   latest=-10m@m

全部评论 最新评论 最早评论
还没有用户评论

联系我们

微信公众号
打赏作者