BCC密送(同域):
方案逻辑:
1、邮件系统上配置监控/邮件流规则,所有需要GPT检测的邮件,密送到指定的域内邮箱账号上,相当于每封邮件的收件人中,都会被添加这个密送的邮箱账号,原收件人无感知;
2、GPT通过该邮箱账号,使用IMAP/IMAPS协议,对接邮件系统获取邮件进行检测,同时会删除邮件系统上的邮件(仅删除密送账号下的邮件以节省资源)。
3、精准检出钓鱼事件,在钓鱼GPT页面上展示。
目前已验证对接过的邮件系统包括Coremail、微软Exchange、网易163邮箱、腾讯企业邮箱、阿里企业邮箱、飞书企业邮箱、华为云企业邮箱等,原理上支持BCC密送的邮件系统都适配。以下举例网易163配置示例,更多示例可参照《深信服钓鱼GPT部署和邮件对接最佳实践》。
配置示例——网易163邮箱:
1、GPT上点击<新增>,设备类型选择“BCC密送(同域)”,设备名称可自定义,邮件协议为IMAP,设备IP填入IMAP邮件系统域名/IP(一般为xxx.163.com),端口默认143(勾选启用SSL加密时则为993,由于网易163为SAAS邮箱,出于安全考虑建议使用993端口),邮箱账号密码填入邮件系统中创建的密送账号及授权码。
注意:使用SAAS钓鱼对接需使用主账号对接,不能使用子账号,否则会提示权限不足。
2、在网易163 SAAS服务管理端新建一个邮箱帐号,用于收取转发的邮件,记下对应的账号、密码。
3、在163后台创建收信过滤规则:依次进入163后台、收发信管理、成员收信过滤,配置界面如下所示。
设置如下收信规则:
- 规则适用成员:指定部门和成员(由客户指定需要进行检测的部门)
- 过滤条件:发信时间(开始时间为当前时间,结束时间根据测试周期来定)
- 执行操作:接收并密送至刚创建的那个邮箱
- 规则有效期:指定时间段生效(由客户指定)
4、使用创建的账号密码登录到163的WEB版登录界面,进入设置栏目下,配置imap拉取,并启用授权码,把授权码填入钓鱼GPT配置中的密码栏。
5、若邮件量过大可能会导致邮箱空间被打满,故建议在163邮箱中同步配置定时清空垃圾箱。
BCC密送(跨域):
方案逻辑:
1、原理与BCC密送同域相同,只是密送的账号是非本域的邮箱账号,邮件网关/邮件系统会发起DNS请求解析该域名的IP,并往该IP投递SMTP邮件流量;
2、通过DNS解析配置,该域名指向防钓鱼GPT的IP,确保SMTP流量投递到GPT上;
3、GPT内置SMTP服务接收邮件流量,获取邮件进行检测;
目前已验证对接过的邮件系统/邮件网关包括Coremail、Exchange、亚信邮件网关、绿盟邮件网关、Maildata邮件网关、网际思安邮件网关、守内安Spam SQR、天空卫士等等,原理上支持BCC密送的邮件系统都适配。以下举例网际思安配置示例,更多示例可参照《深信服钓鱼GPT部署和邮件对接最佳实践》。
配置示例——网际思安邮件网关:
1、先配置邮件路由,将测试使用的域名指向钓鱼GPT的IP地址
2、 配置密送发送邮件,此处可以选择发送邮件类型,本次选择全部发送包含隔离邮件和正常邮件,然后钓鱼GPT查看即可收到邮件。
3、GPT上点击<新增>,类型选择<BCC密送(跨域)>,填写设备名称及其地址,点击<确定>。
建议使用Chrome浏览器访问!
