最近很多人私信小編,為什么郵件記錄發(fā)件人欄位顯示的地址和點(diǎn)開記錄顯示的發(fā)件人地址是不一樣的?
例如:郵件記錄當(dāng)下看到的發(fā)件人地址是這樣的
而點(diǎn)開記錄看到的發(fā)件人地址卻是這樣的
其實(shí)是貼合客戶端(如Outlook/Foxmail)顯示
當(dāng)客戶端收下郵件后,所呈現(xiàn)的發(fā)件人地址為header-from地址
而實(shí)際郵件產(chǎn)生的發(fā)件人地址為envelope-from,是一串隨機(jī)地址,隱藏在郵件標(biāo)頭中
所以網(wǎng)關(guān)會(huì)顯示出2個(gè)地址以示區(qū)分
當(dāng)存在代發(fā)性質(zhì)郵件,這兩個(gè)地址就往往不一致,例如:google的訂閱郵件
header-from顯示地址可以讓用戶“清晰”地看到發(fā)件人是誰(shuí)
envelope-from顯示地址是隨機(jī)的
正是這種“便利性”給了攻擊者可乘之機(jī)。所以用戶第一眼看到的也并非是真實(shí)的,在郵件標(biāo)頭中同樣存在著這樣一個(gè)欄位,Reply-To,它由郵件的創(chuàng)建者生成,有時(shí)它和from地址也不相同。
攻擊者會(huì)使用header-from客戶端顯示地址進(jìn)行迷惑,從而用戶直接原郵件回復(fù)時(shí),不注意其實(shí)是回給Reply-To地址。
例如outlook客戶端選項(xiàng)中的發(fā)送答復(fù)至欄位,就可以讓對(duì)方回復(fù)時(shí)直接回給另一個(gè)地址。
收到涉及轉(zhuǎn)賬信息的郵件時(shí),守內(nèi)安建議回復(fù)郵件時(shí)一定要多次確認(rèn)收件人地址。
為了加強(qiáng)企業(yè)內(nèi)部安全和企業(yè)現(xiàn)狀的環(huán)境分析,守內(nèi)安SPAM SQR郵件安全網(wǎng)關(guān)新版首頁(yè)顯示,可以讓IT管理者初步了解企業(yè)自身是否存在潛在的風(fēng)險(xiǎn),哪些用戶是攻擊者重點(diǎn)攻擊的目標(biāo)。
高級(jí)防御模塊(Advanced Defense Module)提供了相關(guān)數(shù)據(jù)分析顯示,可以讓IT管理者初步了解企業(yè)內(nèi)部哪些人員的信息安全意識(shí)較弱,當(dāng)用戶通過攔截隔離通知,預(yù)覽郵件時(shí)點(diǎn)擊威脅郵件中的鏈接,即會(huì)被標(biāo)記統(tǒng)計(jì)顯示。
·關(guān)于守內(nèi)安電子郵件安全網(wǎng)關(guān)SPAM SQR與ADM高級(jí)防御模塊
守內(nèi)安SPAM SQR內(nèi)置多種引擎(惡意文檔分析引擎、威脅感知引擎、智能詐騙引擎)、惡意網(wǎng)址數(shù)據(jù)庫(kù),并可整合防毒與動(dòng)態(tài)沙箱等機(jī)制,以多層式的運(yùn)行過濾方式,對(duì)抗惡意威脅郵件的入侵。
SPAM SQR的ADM高級(jí)防御模塊(Advanced Defense Module),可防御魚叉式攻擊、APT等新型進(jìn)階攻擊手法郵件。研究團(tuán)隊(duì)經(jīng)長(zhǎng)時(shí)間的追蹤黑客攻擊行為,模擬產(chǎn)出靜態(tài)特征。程序自動(dòng)解封裝文檔進(jìn)行掃描,可發(fā)掘潛在代碼、隱藏的邏輯路徑及反組譯代碼,以利進(jìn)行進(jìn)階惡意程序分析比對(duì)??商岣邤r截夾帶零時(shí)差(Zero-day)惡意程序、APT攻擊工具及含有文件漏洞的攻擊附件等攻擊手法郵件的能力。