Anti-Phishing-Einstellungen

Alle erweitern | Alle reduzieren

Mithilfe des Schutzmoduls Anti-Phishing können Sie die Postfächer Ihres Unternehmens vor Phishing, Spoofing, Conversation Hijacking, BEC-Angriffen und bösartigen Links schützen, die in E-Mail-Nachrichten versendet werden können.

Phishing-Links führen auf betrügerische Websites, die es zum Ziel haben, die persönlichen Daten der Benutzer wie Informationen über Bankkonten zu stehlen. Ein Beispiel für Phishing-Angriffe ist eine E-Mail, die scheinbar von Ihrer Bank stammt und einen Link zur offiziellen Website der Bank enthält. Wenn Sie auf den Link klicken, werden Sie zu einer exakten Kopie der Website der Bank weitergeleitet, und der Browser kann sogar die echte Internetadresse der Bank anzeigen. In Wirklichkeit jedoch befinden Sie sich auf einer fingierten (gefälschten) Website. Alle Aktionen, die Sie auf dieser Website ausführen, werden mitverfolgt und können zum Diebstahl Ihrer persönlichen Daten missbraucht werden.

Für Angriffe mittels Spoofing und Conversation Hijacking fälschen bösartige Absender die E-Mail-Adressen und den Inhalt der Nachrichten, um dadurch von den Empfängern als vertrauenswürdig eingestuft zu werden.

Um sich anhand des Spoofings von E-Mail-Adressen oder mittels Conversation Hijacking illegale Vorteile zu verschaffen geben sich BEC-Angreifer als Personen aus, denen die E-Mail-Empfänger vertrauen sollen.

Bösartige Links führen zu Webressourcen, die zur Verbreitung von Schadsoftware dienen.

Das Programm erkennt Phishing, Spoofing und bösartige Links anhand der von den Kaspersky-Experten entwickelten Erkennungsregeln. Kaspersky aktualisiert regelmäßig die Regeln und Methoden für die Erkennung von Phishing und bösartigen Links.

Bei der Untersuchung von E-Mails auf Phishing, Spoofing, BEC-Angriffe und bösartige Links analysiert das Programm nicht nur die Links selbst, sondern auch den Betreff und den Inhalt der E-Mails, sowie deren Gestaltungselemente und andere Nachrichtenattribute. Bei der Untersuchung werden die Cloud-Dienste von Kaspersky Security Network (KSN) verwendet. Durch die Verwendung von KSN erhält das Programm aktuelle Informationen über Phishing-Links und bösartige Links noch vor deren Eintrag in die Kaspersky-Datenbanken.

Beim Erstellen einer Sicherheitsrichtlinie können Sie die Anti-Phishing-Einstellungen angeben.

Anti-Phishing-Modus

Sie können eine der folgenden Betriebsarten aktivieren:

• Empfohlener Modus: gewöhnlicher Erkennungsmodus

  Nachrichten, die Phishing und bösartige Links enthalten, sowie Spoofing, Conversation Hijacking und BEC-Angriffe werden erkannt.

• Verstärkter Modus: zusätzliche Erkennung unklarer Inhalte ähnlich wie bei Phishing

  Nachrichten, die Phishing- und bösartige Links enthalten, sowie unklare Inhalte, die dem Phishing ähneln, werden erkannt.

  Wenn Sie diesen Modus aktivieren, wird er in allen aktiven Sicherheitsrichtlinien aktiviert.

Vom Programm zu ergreifende Maßnahmen

Im Bereich Aktion geben Sie an, was das Programm mit Nachrichten tun soll, in denen es Phishing-Links und bösartige Links zusammen mit unklarem, phishing-ähnlichem Inhalt erkennt:

• Nachricht löschen und in Quarantäne verschieben

  Die gesamte Nachricht wird aus dem E-Mail-Postfach des Benutzers gelöscht und in Quarantäne verschoben.

• In Junk-E-Mail-Ordner verschieben

  Die E-Mail wird aus dem ursprünglichen Ordner in den Junk-E-Mail-Ordner verschoben.

• Durchlassen

  Die Nachricht verbleibt unverändert im E-Mail-Postfach des Benutzers.

• Tag zum Betreff hinzufügen

  Sie können dem Betreff betroffener Nachrichten ein benutzerdefiniertes Tag hinzufügen. Ändern Sie bei Bedarf das Tag im Eingabefeld unterhalb des Kontrollkästchens Tag zum Betreff hinzufügen.

  Diese Option ist nur für die Aktionen Durchlassen und In Junk-E-Mail-Ordner verschieben verfügbar.

• Unwiderruflich löschen: Gelöschte Nachrichten können nicht wiederhergestellt werden

  Um diese Option anzuzeigen, müssen Sie die Dropdown-Liste Sonstige Optionen öffnen. Die gesamte Nachricht wird unwiederbringlich aus dem E-Mail-Postfach des Benutzers gelöscht.

  Beachten Sie, dass bei Auswahl von Verstärkter Modus: zusätzliche Erkennung unklarer Inhalte ähnlich wie bei Phishing Nachrichten, die nur unklare phishing-ähnliche Inhalte enthalten, nicht dauerhaft gelöscht, sondern in die Quarantäne verschoben werden.

Benachrichtigungen

Im Bereich Benachrichtigungen konfigurieren Sie Benachrichtigungen, die automatisch gesendet werden:

• Administratoren über Funde benachrichtigen

  Mit dieser Option können Sie Benachrichtigungen über erkannte Elemente aktivieren und konfigurieren. Standardmäßig sind Benachrichtigungen deaktiviert.

  Um Benachrichtigungen zu aktivieren und zu konfigurieren:

  1. Aktivieren Sie das Kontrollkästchen Administratoren über Funde benachrichtigen.
  2. Klicken Sie auf die Schaltfläche Auswählen, um Empfänger hinzuzufügen.

     Das Fenster Benachrichtigung für Administratoren wird angezeigt.

  3. Geben Sie die E-Mail-Adressen der Benachrichtigungsempfänger ein.

     Sie können bis zu 25 E-Mail-Adressen angeben.

  4. Klicken Sie auf die Schaltfläche Plus ().

     Die ausgewählten E-Mail-Adressen werden unter dem Feld E-Mail-Adresse angeben angezeigt.

  5. Um eine E-Mail-Adresse aus der Liste zu löschen, klicken Sie in der entsprechenden Zeile auf die Schaltfläche Löschen ().
  6. Klicken Sie auf Speichern.

     Die Liste der Adressen wird gespeichert. Die Benachrichtigungen werden an die angegebenen Adressen gesendet.

• Postfachinhaber über gelöschte E-Mails benachrichtigen

  Mit dieser Option können Sie Benutzer benachrichtigen, aus deren Postfach eine komplette Nachricht gelöscht wurde. Standardmäßig sind Benachrichtigungen deaktiviert.

  Um Benachrichtigungen zu aktivieren und zu konfigurieren:

  1. Aktivieren Sie das Kontrollkästchen Postfachinhaber über gelöschte E-Mails benachrichtigen.
  2. Sie können die Benachrichtigungsvorlage bei Bedarf an die Anforderungen der Sicherheitsrichtlinie Ihres Unternehmens anpassen:
     1. Klicken Sie auf die Schaltfläche Benachrichtigungsvorlage bearbeiten.

        Das Fenster Benachrichtigungsvorlage wird geöffnet.

     2. Bearbeiten Sie die Felder Betreff und/oder Körper.
     3. Wenn Sie die Standardvorlage wiederherstellen möchten, klicken Sie auf die Schaltfläche Zurücksetzen.
     4. Klicken Sie auf Speichern.

     In Ihrer benutzerdefinierten Vorlage können Sie weiterhin die in der Standardvorlage enthaltenen Variablen verwenden, um dem Benutzer detaillierte Informationen über die gelöschten Nachrichten zur Verfügung zu stellen.

     Benachrichtigungen an Postfachinhaber werden im Auftrag des Security Service gesendet, der im Von-Feld der entsprechenden E-Mail angezeigt wird. Sie können keine Antwort an diesen Absender schicken.

     %FROM%. Absender der Nachricht.

     %TO%. Empfänger der Nachricht, einschließlich der Empfänger im Cc.

     %SUBJECT%. Betreff der Nachricht.

     %FOLDER%. Postfachordner des Benutzers, in dem die Nachricht erkannt wurde.

     %MSG_TIME%. Empfangsdatum und -uhrzeit für eingehende Nachrichten, Datum und Uhrzeit des Nachrichtenversands für ausgehende Nachrichten sowie Datum und Uhrzeit der Erstellung des Entwurfs für Entwürfe. Es wird die in den Programmeinstellungen festgelegte Zeitzone verwendet.

     %DETECTED_FILES%. Liste der Dateien, die im Anhang der Nachricht gefunden wurden.

  Diese Option ist nur für die Aktionen Nachricht löschen und in Quarantäne verschieben und Unwiderruflich löschen: Gelöschte Nachrichten können nicht wiederhergestellt werden verfügbar.

Allow-Liste

Konfigurieren Sie im Bereich Allow-Liste Absender für die Allow-Liste:

• Nachrichten von folgenden Absendern zulassen

  Mit dieser Option konfigurieren Sie Absender für die Allow-Liste. Diese Absender werden als vertrauenswürdig eingestuft, und Nachrichten von ihnen werden bei der Verarbeitung übersprungen.

  Gehen Sie zum Konfigurieren von Absendern für die Allow-Liste wie folgt vor:

  1. Aktivieren Sie das Kontrollkästchen Nachrichten von folgenden Absendern zulassen.
  2. Klicken Sie auf die Schaltfläche Auswählen.

     Es öffnet sich das Fenster Allow-Liste mit Absendern.

  3. Klicken Sie auf die Schaltfläche Absender hinzufügen.

     Es öffnet sich das Fenster Absender zur Allow-Liste hinzufügen.

  4. Geben Sie im Eingabefeld Geben Sie eine komplette E-Mail-Adresse oder eine Maske an eine E-Mail-Adresse oder mehrere E-Mail-Adressen an, die durch Semikolon oder Zeilenumbruch getrennt in die Allow-Liste aufgenommen werden sollen.

     Wenn Sie mehrere Absender gleichzeitig in die Allow-Liste aufnehmen möchten, können Sie Masken verwenden. Wenn Sie zum Beispiel die Maske *@beispiel.de angeben, enthält die Allow-Liste alle E-Mail-Adressen der Domäne @beispiel.de. Sie können auch eine Liste von E-Mail-Adressen / Masken durch Semikolon oder Zeilenumbruch getrennt in das Eingabefeld kopieren und einfügen.

     Darstellung eines Dateinamens unter Verwendung von Platzhaltern. Die Standard-Platzhalter für Dateimasken sind * und ?, wobei * für eine beliebige Anzahl beliebiger Zeichen steht und ? für ein beliebiges einzelnes Zeichen.

  5. Klicken Sie auf Validieren.

     Die angegebenen E-Mail-Adressen / Masken werden in der Liste angezeigt.

     Wenn die E-Mail-Adressen / Masken falsch eingegeben wurden, werden sie in der Liste in roter Schrift angezeigt und Sie müssen Änderungen vornehmen, um sie zu speichern.

  6. Klicken Sie auf Speichern um die Liste der bereitgestellten Adressen / Masken zu speichern.
  7. Wenn Sie eine E-Mail-Adresse / Regel aus der Liste löschen möchten:
     1. Klicken Sie auf die Schaltfläche Löschen () neben der E-Mail-Adresse / Regel.
     2. Klicken Sie auf Speichern.
• SPF von zugelassenen Absendern nicht untersuchen

  Diese Option ermöglicht es Ihnen, Ergebnisse der Überprüfung des Sender Policy Framework (SPF) für Absender in der Allow-Liste zu ignorieren.

  Neue Nachrichten mit dem Phishing-Status von Absendern in der Allow-Liste bleiben im ursprünglichen Ordner. Dies gilt allerdings nur, wenn die SPF-Überprüfung die Authentizität des Absenders bestätigt.

  Bei einer SPF-Überprüfung wird geprüft, ob eine von einer Domäne erhaltene E-Mail-Nachricht von einem Host stammt, der von den Administratoren dieser Domäne autorisiert ist. Bei einer SPF-Überprüfung wird die IP-Adresse des Absenders der Nachricht mit der Liste der Hostnamen und IP-Adressen möglicher Nachrichtenquellen für die Domäne verglichen.

  Besteht die Nachricht die SPF-Prüfung und befindet sich der Absender in der Allow-Liste, bleibt die Nachricht unverändert im E-Mail-Postfach des Benutzers.

  Falls nicht, wird davon ausgegangen, dass die SPF-Überprüfung die Authentizität des Absenders der Nachricht nicht bestätigt hat. Daher wird die Nachricht gemäß den Richtlinieneinstellungen für Phishing verarbeitet.

  So deaktivieren Sie die Überprüfung des SPF für Absender in der Allow-Liste:

  1. Aktivieren Sie das Kontrollkästchen SPF von zugelassenen Absendern nicht untersuchen.
  2. Klicken Sie auf Speichern.

Zum Anfang