Порой возникает необходимость пересылать все письма, которые приходят на одну из ваших электронных почт, на другую почту, в автоматическом режиме. Чтобы было понятнее, вот пример. У вас есть почта на Яндекс и на Google (Gmail). Почтой GMail вы пользуетесь постоянно, это ваша основная почта, а Яндекс время от времени. Так вот, чтобы не заходить периодически на вашу почту Яндекс, вы можете сделать так, чтобы письма оттуда пересылались на GMail автоматически и тогда вам вообще не придётся заходить в аккаунт Яндекса для очередной проверки новых писем.

В этой статье я покажу, как настроить пересылку писем с одной почты на другую на примере разных почтовых сервисов.

Всё это одинаково работает во всех почтовых сервисах, отличие лишь в их интерфейсах, т.е. соответствующие настройки располагаются по-разному.

Ранее, в серии статей мной был рассмотрен ещё один способ получения писем на нужную почту с других почт. Он заключается в том, что вы не настраиваете автоматическую пересылку писем, о которой я сегодня расскажу, а подключаете в настройках нужный почтовый ящик (функция называетс «Сбор почты»), например, по протоколу POP3 и оттуда начинается постоянный сбор новых писем. Способ схож, но в некоторых случаях настроить его получается сложнее, чем обычную пересылку.

Если интересен способ именно сбора почты, то об этом рассказано в соответствующих статьях: сбор в GMail , в Яндекс , в Mail.ru

Ниже я подробно покажу, как настроить пересылку писем с почты Яндекс. А затем кратко затрону ещё 2 почтовых сервиса (GMail и Mail.ru), на которых всё выполняется аналогично, с отличием лишь в интерфейсе.

Настройка пересылки писем с Яндекс на любую другую почту

Перейдите в настройки почты и выберите “Правила обработки писем” .

Нажмите “Создать правило”.

Теперь нашей задачей будет создать правило, по которому почтовый сервис будет определять, что все письма нужно передавать на другой адрес, который вы укажете.

Если вы хотите, чтобы пересылались ещё и те письма, которые отмечаются как “Спам”, то на Яндекс придётся создать 2 отдельных правила.

Создание 1-го обязательного правила. Пересылка всех писем кроме спама

В настройках правила удалите условие “Если”, которое будет добавлено изначально, нажав на крестик рядом с ним. Потому что условий для выборки каких-то определённых писем нам задавать не нужно. Ведь пересылать будем всё, что приходит на почту во «Входящие».

Вверху , где настраивается, для каких писем применять создаваемое правило должно быть выбрано “ко всем письмам, кроме спама” и “с вложениями и без вложений”.

Ниже поставьте галочку “Переслать по адресу” и укажите ту вашу почту, на которую хотите пересылать все письма с текущей открытой почты. Также включите опцию “Сохранить копию при пересылке”.

Нажмите кнопку “Создать правило”.

Яндекс запросит от вас ввод пароля. Ведите свой пароль от текущей почты и нажмите “Подтвердить”.

Правило будет создано, но вы увидите надпись “Ждём подтверждения адреса” рядом с ним.

Теперь вам нужно перейти в ту почту, которую вы указали для пересылки писем и подтвердить пересылку туда. Это делается в почтовых сервисах для того, чтобы вы не смогли пересылать письма на какие попало адреса, к которым не имеете доступа.

В той почте найдите письмо от “Яндекс.Почта”, откройте его и перейдите оттуда по ссылке.

Нажмите “Подтвердить пересылку”.

Готово! Теперь все письма, которые попадают на вашей второй почте (Яндекс) в папку “Входящие” будут автоматически пересылаться на вашу основную почту, которую вы указали в правиле.

Обратите внимание! Согласно созданному выше правилу, письма из папки “Спам” пересылаться не будут! Потому что в правиле указано “ко всем письмам, кроме спама”, а сразу включить в правило и “Спам” не получится, потому что пересылка для спамовых писем не работает и вы бы получили ошибку “Для писем из папки “Спам” пересылка писем с помощью фильтра невозможна”.

Но можно сделать, чтобы спам тоже пересылался. Для этого нужно создать ещё одно правило, которое будет перекладывать автоматически весь спам в папку “Входящие”. Поэтому, если вам нужно пересылать и спам тоже, то смотрите ниже информацию о создании 2-го правила.

Иногда в спам попадают нужные письма, поэтому если совсем не планируете заходить и проверять вторую вашу почту, рассчитывая только на автоматическую пересылку писем оттуда, то я рекомендую обязательно настроить пересылку спамовых писем в том числе!

Создание 2-го правила. Если нужно пересылать “Спам”

Создаём ещё одно правило.

Здесь нам нужно указать, что все письма, которые отмечаются сервисом как “Спам” должны перекладываться во входящие.

Для этого вверху, где “Применять” выберите “только к спаму” и “с вложениями и без вложений”.

Удалите условие “Если” , оно по-прежнему нам здесь не нужно.

Отметьте пункт “Положить в папку” и выберите “Входящие”.

Нажмите “Создать правило” .

Правило готово!

После всех проделанных манипуляций, все письма, которые приходят к вам на вторую почту (где настраивали пересылку) будут обрабатываться согласно созданным правилам. То есть, если на почту пришло письмо, которое сервис определил как спам, то это письмо автоматически будет помещено во входящие, согласно созданному правилу №2 (если вы решили его настроить). А всё что находится в папке “Входящие”, в свою очередь, будет уже пересылаться на указанную вами почту, согласно правилу №1.

Настройка пересылки на примере почты Mail.ru

Перейдите в настройки почты и выберите раздел “Правила фильтрации”.

Выберите “Добавить пересылку”.

Укажите, на какой адрес пересылать письма и нажмите “Сохранить”.

Подтвердите своё действие, введя пароль от своей почты Mail.ru.

Перейдите на ту почту, куда будете пересылать письма, найдите там письмо от Mail.ru и кликните по ссылке из письма (это нужно чтобы подтвердить пересылку).

В следующем окне нажмите “Подтвердить” и появится сообщение, что пересылка подтверждена.

На почте Mail.ru вернитесь в раздел “Правила фильтрации” и включите пересылку:

Если нужно пересылать и письма, помеченные как “Спам”, то нужно создать такое же правило, как в примере с почтой Яндекс. В разделе “Правила фильтрации” добавьте новое правило, где укажите вот такие настройки.

Привет habr! В данной заметке решил затронуть тему защиты от поддельных писем (Email spoofing, Forged email). Речь пойдёт о письмах, в которых так или иначе подделывается информация об отправителях. Получатель видит письмо, отправленное якобы доверенным лицом, но на самом деле, письмо отправлено злоумышленником.

В последнее время всё чаще слышим о проблеме поддельных писем от наших заказчиков, да и просто от знакомых. Эта проблема не только актуальна, но, похоже, набирает обороты. Вот реальная история от знакомого, который был близок к тому, чтобы потерять сумму с четырьмя нулями в долларовом эквиваленте. В компании велась переписка на английском языке с зарубежной компанией о приобретении дорогостоящего специализированного оборудования. Сперва нюансы возникли на стороне нашего знакомого – потребовалось изменить реквизиты счёта отправителя (компанию-покупателя). Через некоторое время, после успешного согласования новых реквизитов, поставщик оборудования также сообщил о необходимости изменения реквизитов счёта получателя (компанию-продавца). Вот только письма об изменении данных получателя шли уже от злоумышленников, удачно подменявших адрес отправителя. На фоне некоторой общей суматохи, усугубляющейся ещё и тем, что обе стороны не являлись носителями языка переписки, заметить подмену писем было практически невозможно. Нельзя не отметить и тот факт, что злоумышленники старательно копировали стили, шрифты, подписи и фотографии в письмах. Как именно утекла информация о сделке – скорее всего была скомпрометирована почтовая переписка. За неделю до финального согласования сделки, о которой идет речь в этой статье, на почту знакомого пришло письмо с трояном, в виде счета-фактуры в *.exe архиве. На момент прихода письма антивирус не отловил зловреда, и тот, некоторое время успел “поработать” на компьютере, и даже подтянуть на подмогу пару своих собратьев.

Через несколько дней сигнатуры антивируса обновились и зловред с собратьями был удален, но к тому моменту в переписку уже вклинились, отправителя подделали, деньги ушли на чужой счёт.
В данном примере подмена адреса отправителя была сделана крайне незамысловато. Реальные адреса мы не опубликуем, но приведём аналогичный пример.

Правильный адрес отправителя: [email protected]
Поддельный адрес отправителя: [email protected].

Почтовая учётная запись злоумышленника включала имя “best@bestofall” и фамилию “.com”. Часть переписки знакомый вел с мобильного устройства, почтовый клиент которого отображал в поле отправителя только имя и фамилию отправителя. А так делают все мобильные почтовые клиенты. Поэтому, входящее письмо в этом почтовом клиенте виделось как от best@bestofall «пробел» .com. Что очень похоже на оригинал. Ниже письмо от злоумышленника и под ним легитимное письмо в интерфейсе Яндекс.Почты:

В Outlook письмо от злоумышленника тоже выглядело достаточно похоже на оригинал, если внимательно не всматриваться, то тоже можно и не заметить подделку.

Всё всплыло, когда позвонил поставщик и спросил: «Веэр из май мани?». К счастью знакомого, из-за двойной смены реквизитов (получателя и отправителя) относительно изначального подписанного соглашения $$$$$ не были окончательно зачислены на счет злоумышленников, а зависли на транзитном счете банка-получателя, и их удалось вернуть.

Компании по всему миру терпят существенные убытки из-за Email-атак (). Так с октября 2013 по август 2015 совокупный убыток от компрометаций корпоративной электронной почты компаний по всему миру составил 1,2 миллиарда долларов США. А атаки с поддельными письмами находятся среди самых распространённых видов атак на корпоративные почтовые системы.

Особое внимание уделяется атакам, при которых злоумышленник отправляет поддельное письмо от имени высокопоставленного руководителя компании. В тексте письма злоумышленник требует незамедлительного ответа, или какой-либо срочной реакции от сотрудника или группы сотрудников компании. Например, может потребовать ответить на письмо отправкой какой-либо конфиденциальной информации. Это может привести к утечке данных. Или злоумышленник может потребовать срочный банковский перевод какой-либо крупной суммы. В описанных сценариях сотрудник ощущает давление: высокопоставленный руководитель требует безотлагательных действий. Этот факт повышает вероятность успеха атаки. Кроме того, атаке может предшествовать рекогносцировка методами социальной инженерии, чтобы наиболее эффективно сформировать текст письма и наиболее точно выявить целевую группу сотрудников, которые получат поддельное письмо. Данный подход также благотворно влияет на успех атаки.

Для того, чтобы разобраться с механизмом подделки адреса отправителя, вспомним структуру электронного письма, передаваемого по протоколу SMTP. Электронное письмо состоит из конверта (envelope), заголовков (headers) и тела письма (message body). Информация об отправителе содержится в конверте. Эта информация формируется SMTP-командой mail from и оказывает непосредственное влияние на процесс пересылки сообщения по мере прохождения почтовых cерверов Mail Transfer Agent (MTA). Однако, информация об отправителе также содержится в некоторых заголовках письма, таких как “From:”, “Return-Path:”, возможно “Reply-To:”. Заголовок “From:” не обязательно должен совпадать с тем, что написано в конверте письма и может представлять некоторое «дружеское имя» (friendly name, friendly from). Заголовок “Return-Path:” копирует отправителя из конверта. Заголовок “Reply-To:” содержит адрес для ответа. Заголовки значимы для почтового клиента (например, MS Outlook), по заголовкам заполняются соответствующие поля.

Рассмотрим пример SMTP-команд для отправки письма с поддельными заголовками “From:” и “Reply-To:”. Подключаемся к почтовому серверу Exchange с помощью telnet:

Telnet 10.1.2.3 25 220 Exchange Microsoft ESMTP MAIL Service ready at Wed, 26 Oct 2016 10:28:00 +0300 helo 250 Exchange Hello mail from: [email protected] 250 2.1.0 Sender OK rcpt to: [email protected] 250 2.1.5 Recipient OK data 354 Start mail input; end with . From: Ivanov Ivan To: Boris Reply-To: [email protected] Subject: Urgent! Need your credit card information. Ivanov Ivan Ivanovich, CEO, Computer Business Systems . 250 2.6.0 Queued mail for delivery quit 221 2.0.0 Service closing transmission channel
В данном примере мы отправляем с реального адреса [email protected] письмо, но в заголовке “From:” указываем имя и адрес руководителя компании, а в заголовке “Reply-to” адрес на mail.yandex, куда невнимательный сотрудник отправит конфиденциальную информацию. В итоге письмо в почтовом клиенте Outlook будет выглядеть следующим образом:

А если нажать «Ответить» автозаполнится адрес получателя:

Как видно из предыдущего примера, отправить поддельное письмо не составляет большого труда, если почтовый сервер не защищён. В худшем случае, значение в конверте письма mail from также может быть подменено на легитимное. Если тело письма составлено аккуратно и с применением результатов социальной инженерии, выявить поддельное письмо становится всё сложнее для конечного пользователя. Ситуация ещё более усугубляется для пользователей мобильных устройств. Концепция мобильности предполагает, что все действия выполняем быстро, «на ходу», да ещё и на небольшом экране, не обращая внимание на мелочи/несоответствия. Кстати говоря, в примере про сделку с зарубежной компанией у знакомого тоже не обошлось без фактора «мобильности». Часть переписки проходила с мобильного устройства, почтовый клиент в поле отправителя отображал только имя/фамилию отправителя, но скрывал полный почтовый адрес.

Не существует единого метода борьбы с подменёнными письмами. Защита от данного вида атак требует комплексного и многоуровневого подхода. Попробую выделить основные подходы борьбы с поддельными письмами:

1. Фильтрация на основе репутации сервера-отправителя.
2. Фильтрация на основе проверок DNS-записей сервера отправителя.
3. Фильтрация на основе проверок DNS-записей домена отправителя из конверта письма.
4. Фильтрация на основе проверок SPF-записей .
5. Фильтрация на основе DKIM .
6. Фильтрация на основе DMARC .
7. Создание гранулярных фильтров «вручную».

Из перечисленных методов первые три являются фильтрами грубой очистки, позволяющими бороться с массовыми рассылками спама, вредоносной почты, в том числе с подменённым отправителем. В данном случае злоумышленники используют эффект массовости, не осуществляя до атаки какой-либо специальной рекогносцировки и не стараясь точно подобрать контент под получателя. Например, письма от лица Сбербанка с просьбой сообщить какую-либо конфиденциальную информацию (логин/пароль от личного кабинета, номера карт, PIN-коды), рассылаемые на огромное число получателей. По принципу, кто-нибудь да клюнет.

Методы 4-6 помогают бороться с точными подменами отправителей, то есть ситуациями, когда в заголовках письма злоумышленник указывает с точностью до знака подменяемый отправитель.
К методу 7 предстоит прибегать в случаях как в примере про переписку с зарубежной компанией в начале статьи, когда заголовок письма модифицируется таким образом, чтобы стать похожим на реального отправителя. Но при этом, заголовок в подменённом письме всё же отличается от заголовка реального отправителя, что позволяет обойти проверки методами 4-6.

Рассмотрим перечисленные методы более подробно.

1. Фильтрация на основе репутации сервера-отправителя. Если система защиты корпоративной почты обеспечивает качественную базу репутаций отправителей, мы можем фильтровать значительный процент распространителей спама и вредоносной корреспонденции любого вида уже на этапе установления TCP-сессии, не заглядывая ни в тело, ни в конверт письма. Такой подход существенно экономит ресурсы системы. Как только отправитель пытается установить TCP-сессию на порт 25, система защиты определяет репутацию для IP-адреса отправителя, и принимает решение.

Пример Cisco ESA. Репутационная фильтрация.

Немного конкретики на примере Cisco ESA. Решение использует репутационную базу Sender Base. Мы видим, что репутационная фильтрация помогает останавливать в районе 80% вредоносных писем. Причём по многолетнему опыту внедрения и сопровождения данного решения могу сказать, что количество ложных срабатываний репутационной фильтрации Cisco ESA стремится к нулю.

Ниже сводка по нашей организации:

В зависимости от репутации отправителя Cisco ESA не только принимает решение отбросить письмо или пропустить далее, но и определяет дальнейший сценарий обработки письма. Для различных значений репутации мы можем применять различные политики:

2. Фильтрация на основе проверок DNS-записей сервера отправителя. Отправитель почтовых сообщений должен быть корректно зарегистрирован в DNS. Для отправителя должны существовать корректные PTR запись, А-запись. Отправитель должен корректно представляться в SMTP-команде HELO. При массовых рассылках спама и вредоносов злоумышленники постоянно меняют IP-адреса рассылающих серверов. Адреса меняются каждый день и даже чаще. Регистрировать необходимые записи в DNS сложно и даже невозможно. Поэтому, многие распространители спама и вредоносных сообщений пренебрегают данными требованиями, соответственно, появляется возможность их фильтровать по признакам DNS.

Пример Cisco ESA. DNS-проверки IP-адреса отправителя.

Рассмотрим DNS-проверки на примере Cisco ESA. При установлении TCP-сессии выполняются следующие проверки отправителя по DNS:

1. Проверка наличия PTR-записи. PTR запись должна быть единственной и возвращать корректное каноническое имя хоста отправителя.
2. Проверка наличия А-записи для имени хоста, найденного на первом шаге (по PTR-записи).
3. Проверка совпадения forward DNS lookup для А-записи из предыдущего шага с IP-адресом отправителя.

Если PTR-запись не существует, или найденная A-запись указывает на сторонний IP-адрес, с наибольшей долей вероятности мы принимаем сессию от нелегитимного отправителя. Для таких отправителей на Cisco ESA мы можем применять ограничивающие политики (отбрасываем письмо, отправляем в карантин, модифицируем заголовок, ограничиваем количество сессий и т.д.), в зависимости от поставленных требований.

Хочу обратить внимание, на данном этапе проверок ESA не контролирует легитимность отправителя, то есть не проверяет, имеет ли право отправитель слать письма от указанного домена. Более того, на данном этапе ни конверт письма, ни заголовки не просматриваются. Отрабатывает только проверка по IP-адресу. Например, если письма от домена mycompany.ru будут идти с «левого» IP-адреса с корректными A- и PTR-записями в DNS, например, «smtp.spamer.ru», проверка пройдёт успешно и письмо будет пропущено для дальнейшей обработки. Проверка легитимности отправителей осуществляется другими методами (см. далее SPF-записи, DKIM, DMARC).

3. Фильтрация на основе проверок DNS-записей домена отправителя из конверта письма. Информация в mail from также подлежит проверке по DNS. На примере Cisco ESA письмо может быть отброшено если:

1. Информация о домене отправителя отсутствует в конверте.
2. Имя домена не разрешается в DNS.
3. Имя домена не существует в DNS.

Данный тип проверок не особенно эффективен, отбрасываются письма с заведомо неверно сформированными конвертами.

4. Фильтрация на основе проверок SPF-записей. SPF – Sender Policy Framework – система проверки отправителей электронных сообщений. Проверка методом 2 «DNS-записи сервера отправителя» говорит только о том, что для IP-адреса отправителя существуют необходимые записи в DNS (PTR- и A-записи). Однако данные проверки не помогают определить, имеет ли право сервер отправитель слать письма от указанного домена. Стоит заметить, часто A-записи почтовых серверов содержат в себе имя домена компании, например, smtp01.mycompany.ru. Если этот же сервер используется для приёма почты, то эта же A-запись будет входить и в MX-запись. Можно предположить, что если письмо от mycompany.ru отправлено с сервера smtp01.mycompany.ru, то это письмо не поддельное, в противном случае, если письмо отправлено с smtp01.anythingelse.ru, письмо поддельно. Но на самом деле часто компании отправляют электронную корреспонденцию не напрямую со своих почтовых серверов, а через какие-либо дополнительные серверы MTA, например, через сервера своих провайдеров. В этом случае получаем, что письмо от домена mycompany.ru отправляется через серверы, к примеру, smtp01.provider.com, smtp02.provider.com и т.д. Канонические имена серверов отправителей не принадлежат домену компании mycompany.ru. Как на стороне получателя в данном случае понять, являются ли серверы-отправители легитимными или нет? Эту задачу решает система проверок SPF.

Задача решается опять же с помощью DNS. Для домена отправителя публикуется TXT-запись специального формата. В данной TXT-записи перечисляются IP-адреса, подсети или А-записи серверов, которые могут отправлять корреспонденцию, серверы, которые не являются легитимными отправителями. Благодаря системе SPF получатель может обратиться к DNS и уточнить, можно ли доверять серверу отправителю письма, или же сервер отправитель пытается выдать себя за кого-то другого.

На данный момент SPF-записи формируют далеко не все компании.

5. Фильтрация на основе DKIM. DKIM - DomainKeys Identified Mail – технология аутентификации электронных сообщений. Вернёмся к примеру из рассмотрения SPF-записей, когда компания mycompany.ru отправляет корреспонденцию наружу через провайдерские MTA smtp01.mycompany.ru и smtp02.provider.com. Для MTA существуют SPF-записи, поэтому письма от mycompany.ru, отправленные через эти серверы, успешно проходят проверку. Но что если данные MTA окажутся скомпрометированными, и злоумышленник также получит возможность отправлять поддельные письма через эти серверы? Как установить подлинность отправителя в этом случае? На помощь приходит аутентификация писем.

Для аутентификации используется ассиметричная криптография и хеш-функции. Закрытый ключ известен исключительно серверу отправителю. Открытый ключ публикуется опять же с помощью DNS в специальной TXT-записи. Сервер отправитель формирует отпечаток заголовков письма с помощью хэш-функции и подписывает его, используя закрытый ключ. Подписанный отпечаток вставляется в заголовок письма “DKIM-Signature:”. Теперь получатель письма с помощью открытого ключа может получить расшифрованный отпечаток и сравнить его с отпечатком полей полученного письма (хеш-функция известна). Если отпечатки совпадают, подписанные заголовки не были изменены при передаче, а отправитель письма, сформировавший заголовок “DKIM-Signature:”, является легитимным.

6. Фильтрация на основе DMARC. DMARC - Domain-based Message Authentication, Reporting and Conformance - техническая спецификация, описывающая как именно следует использовать результаты проверок SPF и DKIM. Политики DMARC публикуются как обычно с помощью DNS в TXT-записи. Политики DMARC указывают, что именно нужно делать с письмом на стороне получателя (доставить, отбросить, отправить в карантин), в зависимости от результатов проверок SPF и DKIM. Кроме того, DMARC обеспечивает обратную связь отправителя с его получателями. Отправитель может получать отчёты о всех электронных письмах, имеющих домен отправителя. Информация включает IP-адреса серверов-отправителей, количество сообщений, результат в соответствии с политиками DMARC, результаты проверок SPF и DKIM.

7. Создание гранулярных фильтров «вручную». К сожалению, далеко не все организации используют SPF, DKIM, DMARC при отправке электронной почты. Кроме того, в некоторых случаях проверки SPF, DKIM и DMARC могут пройти успешно, но письма оказываются всё равно подделанными (Cousin domain, Free Email Accounts). Для таких случаев помогают настройки фильтров. Возможности различных систем по созданию правил фильтрации разнятся. Фильтры настраиваются под различные сценарии проведения атаки и зависят от особенностей организации почтовых систем в компаниях. Например, в каких-то компаниях могут приходит из вне письма с доменом-отправителем этой же компании. Хотя в большинстве случаев такие письма должны пересылаться только в пределах периметра организации.

Мы более ориентированы на Cisco ESA, поэтому в заключении рассмотрим несколько примеров настройки фильтров на этом решении, а также интересную функциональность, появившуюся в релизе 10.0 (от июня 2016) программного обеспечения для Cisco ESA - Forged Email Detection. Данная функциональность как раз позволяет бороться с неточной подделкой отправителей, как в примере из начала статьи. Если заинтересовало, велкам в подкат.

Пример Cisco ESA. Фильтры.

Cisco ESA предлагает два типа фильтров: Content Filters и Message Filters. Первые настраиваются с помощью GUI и предлагают конечный (хотя и достаточно обширный) список условий и действий. Пример из GUI:

Если Content Filters не достаточны, чтобы описать условия попадания письма под действие фильтра, можно использовать Message Filters. Message Filters настраиваются из командной строки, используют регулярные выражения для описания условий и позволяют создавать сложные условия (например, If (((A and B) and not C) or D) ). Message Filters обрабатывают письмо до Content Filters и позволяют создавать более гранулярные правила.

Рассмотрим несколько сценариев подделки отправителя и соответствующие фильтры Cisco ESA для борьбы с атакой.

Пример 1. Письма с доменом организации в отправителе не должны приходить из вне. Пример взят из с cisco.com: ссылка . Пример актуален в том случае, когда организация не готова публиковать свои SPF и Domain Keys в DNS. В данном примере используется следующий Message Filter:

MarkPossiblySpoofedEmail: if ((recv-listener == "InboundMail") AND (subject != "\\{Possibly Forged\\}$")) // Если письмо получено из вне и в заголовке ещё не помечено, что письмо как «Possibly Forged» { if (mail-from == "@yourdomain\\.com$") OR (header("From") == "(?i)@yourdomain\\.com") // Если в конверте в mail from присутствует домен организации или в заголовке From присутствует домен организации { strip-header("Subject"); insert-header("Subject", "$Subject {Possibly Forged}"); } } // Добавляем к заголовку запись «Possibly Forged»
В качестве действия могут быть выбраны и другие варианты: отправить в карантин, отбросить письмо и т.д.

Пример 2. В начале статьи мы рассматривали пример, когда mail from из конверта письма был не поддельный ([email protected], то есть атакующий пишет свой верный адрес), однако в заголовке From указывался поддельный адрес ([email protected]). При этом, ничто не мешает атакующему завести SPF и Domain Keys в DNS для домена spoofed.ru. Получаем, что поддельное письмо пройдёт проверки SPF и DKIM. Также, проверки SPF и DKIM будут успешно пройдены, если злоумышленник использует бесплатную почту (free mail accounts – gmail.com, mail.ru и т.д.).

Бороться с данной ситуацией можем, проверяя равенство значений в mail from и заголовке From. Сразу стоит оговориться, в общем случае RFC совершенно не требует, чтобы mail from равнялся From. Поэтому применять такой фильтр нужно только к некоторым отправителям.

У Cisco ESA на данный момент (ноябрь 2016) есть ограничение: нельзя сравнивать значения полей между собой, то есть нельзя просто написать if mail from != header (From). Задачу можно решить другим способом. Создаём словарь имён отправителей Spoofed_senders, в который будем заносить отправителей, подверженных подмене. В фильтре ставим условие: если mail from не содержит отправителя из словаря, а заголовок From содержит отправителя из словаря, выполнять действие. Можно отправить письмо в карантин или отбросить, но cisco рекомендует записать подделанное значение заголовка From в новый заголовок X-Original-From, а поле From вообще удалить. В этом случае Cisco ESA автоматически сформирует заголовок From из значения mail from. Пример такого фильтра:

SpoofedSendersFilter: if (header-dictionary-match("Spoofed_Senders","From", 1)) AND (NOT (mail-from-dictionary-match("Spoofed_Senders", 1))) // Если поле From содержит имя из словаря, а значение mail from не содержит имя из словаря { insert-header("X-Original-From", "$From"); strip-header("From"); } // Формируем заголовок X-Original-From и удаляем заголовок From
Пример 3. Злоумышленники используют адреса, похожие на адреса отправителей, так называемые “Cousin domains” и “Cousin addresses”. Например, адрес [email protected] заменяется на [email protected]. Для домена cbc.ru формируются SPF и Domain Keys в DNS, поэтому письма проходят соответствующие проверки SPF и DKIM успешно, а получатель письма видит знакомого отправителя. Бороться с такой подменой сложнее. Придётся заносить в словарь Spoofed_senders из предыдущего примера все похожие варианты имён отправителей и названий домена, что едва-ли возможно.

Для борьбы с данным видом подмены отправителей у Cisco ESA, начиная с релиза AsyncOS 10.0 (от июня 2016 года), появилась интересная функциональность “Forged Email Detection”. Сперва создаётся словарь имён отправителей (в примерах используется имя словаря FED), как и в предыдущем примере, в который будем заносить отправителей, подверженных подмене. Этот словарь формируется из имён отправителей, а не из имён почтовых ящиков. То есть нужно писать Olivia Smith вместо [email protected]. Система Forged Email Detection будет сверять заголовок From с именами из словаря FED и выдавать вероятность (от 1 до 100), с которой отправителя можно считать подделанным.

Например, если в словаре есть “John Simons”, а в заголовке From фигурирует [email protected], система выдаст вероятность подделки 82. Если в заголовке From фигурирует [email protected] (то есть то же имя, но другой домен), система выдаст вероятность подделки 100.

Forged Email Detection настраивается через Content Filters или Message Filters. Ниже скриншот настройки Content Filter:

Необходимо указать имя словаря, и пороговое значение вероятности, после которого считаем отправителя подделанным. Для данного условия можно выбрать любое из доступных действий (отбросить, отправить в карантин, модифицировать тему письма и т.д.). Кроме того, появилось новое дополнительное действие для Forged Email Detection: заменить значение заголовка From на значение из mail from. Данное действие не предлагает каких-либо опций:

Заключение

Атаки на электронную почту с подделкой отправителя, к сожалению, повседневная реальность. А последствия успешного проведения такого рода атаки могут быть крайне плачевными как для каждого человека в отдельности, так и для атакуемой организации в целом. Возможны существенные материальные потери и утечки конфиденциальной информации. Надеюсь, статья поможет разобраться как с анатомией атак поддельными письмами, так и со способами защиты. В примерах я оперировал решением Cisco ESA, однако, инструменты защиты, упомянутые в статье, реализуемы и на других системах защиты корпоративной электронной корреспонденции.

К удивлению, многие люди, когда им требует отправить письмо сразу нескольким людям, просто перечисляют адреса в поле "Кому", это нормально, когда это письмо адресовано вашим коллегам или друзьям, но вот при рассылке писем группе клиентов, - вы таким образом показываете всем адреса и других получателей, фактически раскрывая свою адресную базу.

Любому из клиентов достаточно переслать это письмо вашему конкуренту и ваши контакты тут же утекут.

Странно, но многие далеко не глупые люди, с удивлением узнают, что если вам нужно отправить письмо множеству адресатов, чтобы они не знали друг о друге то для этого существует поле "Скрытая копия".

Например, для mail.ru это будет выглядеть так:

И так еще раз коротко: указали адреса в "кому" - всем видно кому вы отправили письма, указали в "скрытая копия" - каждый думает что письмо только ему.

И каждый получатель получит письмо где в поле "кому" будет только его адрес . Для других программ, если вы не можете найти где указать скрытую копию, то попросите кого-нибудь вам показать. Еще маленький момент, обязательно нужно указать один адрес в поле "кому", большинство программ или почтовых серверов вам не дадут отправить письмо без этого параметра.

И так, когда речь идет о рассылке предложения, новостей группе ваших клиентов - здесь практика использования скрытой копии однозначна, вы должны скрывать вашу адресную базу. Интересный момент с рассылкой письма вашим коллегам, здесь рекомендуют поступать по ситуации, например рассылка письма с просьбой прислать предложения (например по совершенствованию обслуживания клиентов) и если каждый коллега увидит, что такое же письмо получили и другие люди, то скорей всего отвечать не будет - понадеется на других, значит нужно использовать скрытую копию. Если же это поручение выполнить, то например указание в "кому" начальника вашего коллеги - просто сотворит чудеса, и ваше поручение будет выполнено.

Отдельный вопрос с поставщиками. С одной стороны указание всех получателей в копии, должно показать поставщику, что у вас есть выбор и он должен вам предложить хорошие цены. С другой стороны, менеджер получивший ваше письмо, видя что прислано не только ему, скорей всего отнесется к вашему запросу "прохладно". Лично по моему мнению, считаю что и в случае с поставщиками нужно использовать скрытую копию, хотя бы для защиты коммерческой тайны, но больше скорей для хороших отношений с менеджером поставщика.

Можете почитать недавний случай ошибки специалиста, когда все получатели увидели и других адресатов: Всем чмоки в этом чате , там правда народ солидный был - директора, но все же спама многие получили в ответ.

Ну и как всегда обсуждение в комментариях приветствуется.

Без деловой переписки в бизнесе никуда, независимо от того, пишете ли вы от имени компании, или от себя как частного предпринимателя. А точнее то, как вы соблюдаете её правила. Ваши потенциальные бизнес партнеры или клиенты будут во многом судить о вас и по тому, как вы умеете общаться с ними. Деловое письмо – это, можно сказать, «лицо» бизнесмена. И чтобы его не потерять, важно знать о золотых правилах общения в таком формате.

Правила деловой переписки по email

Так как сейчас электронной почтой пользуются гораздо чаще, чем обычной, мы решили уделить внимание тому, как правильно вести деловую переписку именно в сети. Вот вам несколько рекомендаций, соблюдение которых не даст вам ударить в грязь лицом перед собеседником.

Имя почтового ящика

Первое, что бросается в глаза, когда мы открываем новое сообщение – это тот адрес, с которого оно отправлено. Многие недооценивают важность этого момента, и отправляют деловые письма с личных почтовых аккаунтов. Ничего страшного в этом нет, если электронный адрес содержит только ваше имя в удобочитаемом формате. Но если там есть различные прозвища типа «kissa1988» или «pupsik-26», то отправка сообщения с такого ящика просто недопустима. Представьте, какие эмоции будут у человека, когда он получит деловое предложение от «пупсика» или «солнышка».

Также не приветствуются в бизнес переписке почтовые адреса, которые начинаются с info@, inbox@ и тому подобное. Они просто не воспринимаются всерьез, и есть большая вероятность, что письмо даже не откроют. Самый лучший вариант – это вести деловую переписку с почтового ящика [email protected], где name – это ваши имя и фамилия, company – название компании.

Получатели

В электронной переписке есть возможность отправить письмо на прямого адресата и поставить других получателей в копию. Предполагается, что получатели в копии сообщения не должны на него отвечать. Они являются как бы приглашенными наблюдателями. Поэтому, заранее перед отправкой определите, от кого именно вы хотите получить ответ, и правильно расставьте адресатов. Однако, по возможности, не ставьте в прямые получатели письма нескольких человек. Может случиться такая ситуация, что вам не ответит никто из них, если каждый мысленно решит «переложить» эту обязанность на другого адресата.

Если же вы сами оказались в копии делового письма, то, как вы уже поняли, вашего ответа отправитель не ждет. Но если возникла необходимость ответить именно вам, то вы можете это сделать, но вежливым будет извиниться в начале сообщения за то, что «вмешиваетесь».

Оформление письма

Официально-деловой стиль. В деловой переписке, естественно, используется официальный стиль. В нем отсутствуют прилагательные, ненужные уточнения и детали. Только конкретика, ясность и логика. После написания делового сообщения полезно прочесть его еще раз и убрать все фразы, которые не несут в себе особой смысловой нагрузки и не меняют суть изложенного. Только когда вы убедились, что все подобные слова и фразы удалены, тогда можно сказать, что это правило составления делового письма соблюдено.

Грамотность. Говорить, что сообщение важно писать грамотно и без ошибок – это всё равно, что сказать «снеговик должен быть сделан из снега». Тем не менее, не упомянуть об этом правиле нельзя. Грамотность – это основа любой переписки. Человек, пишущий деловое письмо с орфографическими ошибками, вряд ли кем-то может быть воспринят серьезно.

Тема письма. Её писать нужно обязательно. Старайтесь делать её короткой, но емкой, чтобы получателю при одном взгляде сразу стало ясно, о чем будет идти речь в письме. Тема не должна состоять из одного слова. «Информация», «Вопрос» и т.д. – неправильные темы делового письма. «Торговое предложение от компании X» - правильная тема. Если информация в вашем письме особо важная, то можно пометить его специальным флажком «важности», которые есть практически во всех сервисах e-mail.

Шрифт. Текст сообщения должен быть, в первую очередь, читабельным. Поэтому используйте шрифт Arial или Times New Roman, размер подбирайте средний (например, в почте mail.ru оптимальный размер шрифта – 3). Не экспериментируйте со шрифтами или цветами. В деловой переписке это неуместно. Не используйте Caps Lock, восклицательные знаки и разные специальные символы (в том числе смайлики). Единственное, что допускается – это выделение некоторых фраз курсивом или жирным шрифтом. Но и это старайтесь использовать только при большой необходимости.

Для удобства чтения и лучшего донесения мысли можно использовать подзаголовки по тексту письма. Но их не должно быть слишком много – не более 3-4.

Один абзац не должен быть растянут более, чем на 4 строки. Когда мы читаем очень длинные абзацы, текст сливается, и основная мысль может быть потеряна.

Любые перечисления и списки стоит оформлять с помощью специальных маркеров.

Фирменный шаблон. Будет отлично, если вы разработаете фирменный шаблон электронных писем в своем корпоративном стиле. И будете отправлять все деловые сообщения только с таким шаблоном. Это позволит вам выделиться среди остальных и соблюсти положенную деловому сообщению официальность. Однако, не стоит переусердствовать с «фирменностью» - излишняя креативность только навредит. Всё-таки, речь идет о деловом общении, а не развлекательном. Не забывайте также и о том, что получатели могут читать ваши сообщения не только на компьютере, но и на мобильных устройствах. Поэтому шаблон должен быть оптимизирован под разные разрешения экранов.

В одном письме должен быть только один информационный повод. И соответственно, от получателя должно подразумеваться только одно целевое действие. Вмещать в одно сообщение сразу несколько вопросов, предложений или просьб к получателю считается некорректным.

Оно должно разбиваться на следующие части:
- введение;
- основная часть;
- заключение.

Во введении кратко указывайте цель сообщения и причины его написания. Основная часть – это сама суть письма. В заключении нужно резюмировать вышесказанное – это могут быть выводы, просьбы, указания, предложения и так далее. Никаких «постскриптумов» в деловой переписке использовать крайне нежелательно. Избегайте также афоризмов, метафор, пословиц и так далее.

Если вам необходимо подать в письме графическое изображение, то не вставляйте его в сам текст сообщения, а прикрепляйте отдельным файлом. Изображения могут некорректно отображаться на разных устройствах либо быть вовсе отключены в интерфейсе почтовой программы получателя. В тексте, где это необходимо, просто укажите «информация находится в прикрепленном файле». Если таких файлов несколько, но обязательно пишите их названия.

Если вы используете аббревиатуры и сокращения слов, вы должны быть на 100% уверены, что получатель поймет, что подразумевается под ними. А вообще, лучше перестраховаться и не использовать таких вещей.

Отсутствие эмоций. Деловые письма не должны содержать никакой эмоциональной окраски. Вообще. Даже если вы пишете жалобу и вам очень хочется показать всю полноту своего негодования, или вы наоборот сердечно благодарите партнера за успешную сделку. Сообщение должно быть сдержанным и даже в какой-то степени хладнокровным. Каждый человек ценит свою индивидуальность, но деловая переписка – не лучший способ её проявлять. Официальное письмо веселого или грустного человека, уборщика или генерального директора должно быть одинаковым.

Использование лексики. Для связки предложений в деловой переписке используются такие устойчивые выражения:

1. по той причине;
3. на основании чего;
4. в силу (чего-либо);
5. в соответствии с;
6. исходя из;
7. принимая во внимание;
8. учитывая;
9. что послужило.

И так далее. Также в деловых письмах допускается использование аббревиатур и сокращений, являющихся общепринятыми в отрасли, в рамках которой пишется сообщение. Если же вы сомневаетесь, поймет ли адресат специфическое сокращение, то лучше написать фразу полностью.

Приветствие. Пожалуйста, никогда не используйте избитое клише «Доброго времени суток». Это, можно сказать, дурной тон не только деловой переписки, но и электронных писем в принципе. Оптимальное приветствие – «Здравствуйте, Имя/Имя Отчество». Кстати, хорошо обращаться к получателю сообщения по имени не только в приветствии, но и дальше по ходу текста. Если вы пишете человеку, с которым лично не знакомы, нужно обязательно указать в самом начале, откуда у вас адрес получателя.

Размер письма. Это не художественное произведение и не ваши личные размышления «на тему». Сообщение должно быть настолько кратким, насколько это возможно, чтобы передать всю полноту информации в нем. Оптимально, если текст письма поместится в один «экран». Чтение длинных писем утомительно, к тому же многих это раздражает.

Ответы на письма. Когда вы отвечаете на полученное сообщение, всегда нажимайте кнопку «Ответить», а не «Написать». При первом варианте в ваш ответ автоматически подтянется вся история переписки. Это правильно, потому что человек может и не вспомнить сразу, кто вы и что от него хотите, если не увидит предыстории. Особенно, если после последней переписки прошло уже более пяти дней. Можете смело цитировать своего собеседника во время ответа на его сообщение. Это даст ему возможность вспомнить, о чем вы говорили прежде.

Всегда благодарите собеседника там, где это уместно. Например, можно написать «Владимир, спасибо за Ваше письмо» или «Ирина Алексеевна, благодарю за столь быстрый ответ». Такие нюансы покажут ваше уважение к собеседнику и смягчат настроение электронного общения.

Если собеседник прислал вам сообщение, в котором выразил свое недовольство или даже откровенно нахамил вам, постарайтесь не отвечать ему тем же, как бы сильно этого не хотелось. Ситуации бывают разные, но всегда отвечайте вежливо и сдержанно.

Конечно, чем быстрее вы ответите, тем лучше. Отлично, если сможете отреагировать в течение нескольких часов. Такой срок является оптимальным. Но допустим ответ и в течение нескольких дней. Психологи говорят, что комфортное для человека время ожидания ответа на электронное письмо – 48 часов, то есть, двое суток. Если ждать приходится дольше, то это уже может восприняться как неуважение или игнорирование. Если же вопрос, который затронут в сообщении, требует от вас большего времени на ответ, то обязательно напишите, что письмо вы получили, приняли в рассмотрение и ответите, как только сможете. Так отправитель, по крайней мере, не будет чувствовать себя проигнорированным.

Заключение письма. Не стоит писать фразы, которые могут быть восприняты как попытка манипуляции: «Очень надеюсь на выгодное сотрудничество», «Заранее спасибо за ответ» и так далее. Прощаться в электронной переписке лучше фразами «С уважением», «Мои искренние пожелания» и тому подобное. Да, такие фразы шаблонны, но они как нельзя лучше подходят для делового общения. В подписи напишите своё имя, фамилию, должность и название компании. Также оставьте контакты, по которым с вами можно связаться, кроме электронной почты.

Время отправки. Конечно, электронные письма не подразумевают, что их нужно прочесть сразу же при получении. Но в деловой этике электронной переписки считается некорректным отправлять почтовые сообщения в выходные, праздничные дни, поздно вечером или ночью. Старайтесь придерживаться стандартного рабочего времени.

И конечно же, перед тем, как нажать кнопку «отправить» внимательно проверьте правильность написания имени получателя и его электронного адреса. Перечитайте весь текст сообщения и проверьте его на предмет опечаток или некорректных фраз.

Если вы активно используете почту при общении с клиентами и коллегами, редкий день обходится без копий. Они являются неотъемлемой частью рабочей переписки. Поэтому многие клиенты, перебираясь на Омнидеск со старой доброй почты, часто спрашивали о поддержке Cc и Bcc. До появления этой функциональности мы получили 47 (!) просьб добавить её. Цифра внушительная, ведь о своих потребностях и вопросах в лучшем случае пишут 5-7% желающих.

Перед тем, как перейти к подробностям нашей реализации копий, давайте разберёмся, что они собой представляют.

Типы получателей письма

To : (кому ) - основной получатель письма.

Cc : (копия, carbon copy ) - вторичные получатели письма, которым направляется копия. Они видят и знают о наличии друг друга.

Bcc : (скрытая копия, blind carbon copy ) - скрытые получатели письма, чьи адреса не показываются другим получателям.

Примеры использования копий

а. Пользователь обратился за помощью и попросил отправлять ответы как на рабочую, так и личную почту. Вы указываете его личный адрес в копии (Cc), чтобы он смог отвечать с любого адреса и в каждом из них видеть всю переписку.

б. Клиент оплатил консалтинг/поддержку/разработку, и вы регулярно общаетесь с его сотрудниками. Вы добавляете его в копию (Cc), чтобы он получал все ваши ответы, мог в любой момент вклиниться в переписку и оценить качество предоставляемых вами услуг.

в. Руководитель хочет следить за общением поддержки с VIP-клиентами. В обращениях от этих клиентов руководитель добавляется в скрытую копию (Bcc), чтобы он всегда получал ваши ответы (с историей переписки).

Прелесть в том, что клиент не знает о «слежке», а руководитель может ответить лично вам и, к примеру, сделать замечание:)

г. Клиент обращается к вам, чтобы обсудить получение скидки и способы оплаты. Он сразу добавляет своего бухгалтера в копию (Cc), чтобы тот мог следить за ходом общения и принять эстафету в нужный момент.

Как мы реализовали поддержку копий?

Приведённые выше примеры описывают лишь некоторые сценарии, которые клиенты «продавали» нам, аргументируя необходимость поддержки копий на сервисе. Мы реализовали все стандартные моменты, но не забыли добавить и несколько полезных фишек. Рассмотрим всё по порядку.

Базовая функциональность

1) Справа от названия поля «Получатель» мы разместили две ссылки для добавления копий - «Сс» и «Bcc».

2) При нажатии на «Cc» появляется поле «Копия», и пропадает ссылка «Cc».

3) При нажатии на «Bcc» появляется поле «Скрытая копия», и пропадает ссылка «Bcc».

5) Когда сотрудник добавляет адрес в обычную копию (Cc) , его ответ отправляется на основной адрес из поля «Получатель» и на адрес из поля «Копия». В этом случае оба пользователя видят, что письмо было доставлено на два адреса. Каждый из них может ответить как сотруднику, так и сотруднику + другому пользователю.

6) Когда сотрудник добавляет адрес в скрытую копию (Bcc) , его ответ отправляется на основной адрес из поля «Получатель» и на адрес из поля «Скрытая копия». В этом случае основной пользователь видит, что письмо пришло только ему, поэтому его ответ может быть отправлен только сотруднику.

При этом пользователь из скрытой копии видит, кто был основным получателем, и может отправить письмо как сотруднику, так и сотруднику + основному получателю.

7) Поддержка копий работает и в обратном направлении. Если пользователь отправляет запрос (или новый ответ в текущую переписку) и добавляет другой адрес в Cc, мы автоматически прописываем этот адрес в поле «Копия», чтобы при ответе сотрудника письмо отправлялось на оба адреса.

Полезные фишки

8) Все изменения в полях «Получатель», «Копия» и «Скрытая копия» фиксируются в истории действий.

9) Для каждого обращения мы запоминаем все адреса, которые указывались в полях «Получатель», «Копия» и «Скрытая копия». Поэтому после удаления адреса из поля его можно легко вернуть. Достаточно кликнуть в нужном поле, и мы предложим выбрать адрес из выпадающего списка.

10) Когда пользователь из скрытой копии отвечает сотруднику и основному пользователю, его письмо добавляется в обращение в виде обычного ответа. Если же он отвечает только сотруднику, тогда его письмо добавляется в обращение в качестве заметки , которая не видна основному пользователю (при просмотре переписки по обращению в своём аккаунте).

11) В правилах для входящих обращений мы добавили условие «Копия (Cc) обращения» , чтобы можно было отслеживать наличие определённого адреса (или домена) в копии и автоматически выполнять нужные действия.

12) Во всех типах правил появились два новых действия - «Добавить в копию» и «Добавить в скрытую копию» на случай, если требуется добавить адреса в копии, когда обращение соответствует условиям правила.