Nastavení výjimek v antiSPAMových a antivirových enginech je stěžejní pro nezkreslené výsledky phishingových testů. V tomto článku si ukážeme, jak jednotlivé výjimky nastavit.
- Přehled výjimek (IP adresy a domény)
- Nastavení MS Exchange / Microsoft 365
- Nastavení produktu ESET
- Nastavení produktu Bitdefender
Výjimky v antiSPAMu
Výjimky v antiSPAMu by měly být tyto:
Doména mailserveru: mail.phishondemand.com
IP mailserveru: 37.205.13.44
A volitelně na doménu/adresu odesílatele:
Vždy záleží na tom, jakou doménu se rozhodneme použít - toto je obecný návod a název domény Vám vždy pošleme e-mailem.
URL:
Pokud má mailserver i antivirový modul, přidejte prosím domény i do něj se znakem „*“ před i za doménou. ( *ceskapocta.cz*, *doména_dle_scénáře*,...)
V momentě kdy nastavíte výjimky na Exchange/mailserveru, přijde e-mail normálně do doručené pošty. Je nezbytně nutné nastavit výjimky a přidat domény na whitelist / do bezpečných odesílatelů.
Nastavení v MS Exchange
V případě phishingové simulace je pravděpodobné, že některé z těchto emailů jsou identifikovány jako spam/phishing a přesunuty do složky Nevyžádaná pošta v aplikaci MS Outlook. Je tedy třeba je přidat na whitelist – seznam povolených domén, kdy takto označené domény obcházejí spamový/phishingový filtr.
Byť většinou je uživatelské rozhraní v angličtině, stejně jako přiložené screenshoty, textový návod uvádíme pro ty co preferují mateřský jazyk v češtině.
V prostředí Office 365 – Exchange online je třeba provést přidání pravidla pro příchozí poštu pomocí Centra pro správu Exchange. V položce tok pošty – pravidla zvolte nové pravidlo s názvem Vynechat filtrování spamu….
Nové pravidlo si nazvěte dle potřeby, například „Viruslab whitelist“ a v sekci podmínek zvolte možnost Odesílatel – doména je .
Do seznamu domén zadejte výše uvedené adresy. Jako akci vyberte Nastavit hodnotu úrovně spolehlivosti spamu (SCL) = 0 (případně -1).
Dále nastavte, aby se při splnění neaplikovala žádná další pravidla.
Pravidlo uložte a umístěte jej na začátek seznamu.
Poznámka k M365:
V případě vyšších plánů Microsoft 365 může navzdory výše nastavenému pravidlu docházet k zachytávání ze strany "Advanced filtru". V takovém případě výjimky nastavte přímo do Simulátoru útoku v sekci Rozšířené doručení.
Při zjišťování, která vrstva ochrany zprávu zachytila, se podívejte do detailů zprávy v Karanténě.
Výjimky v antivirových programech
V antiviru (na koncových stanicích) prosím nastavte v modulech HTTP skenování a AntiPhishing modulu tyto adresy – i se znakem * aby došlo k vyloučení subdomén a dalších částí URL. Toto nastavení provádějte prosím v centrální konzoli, tak aby došlo k propsání výjimek na všechny koncové stanice.
Standardní domény které používáme:
*nase-benefity.cz*
*maildelivery.cz*
*mailingserver.eu*
*ceskapocta.cz*
*mlcrosoft365.cz *
Konkrétní domény závisí vždy na dohodnutém scénáři.
Toto zabrání detekci na koncových stanicích a umožní načtení obsahu e-mailů a přesměrování na stránky v případě ,že by antimalware řešení lokálně rozpoznalo phishing a dalo to vědět ostatním stanicím v síti.
ESET
Výjimku lze přidat v rozšířeném nastavení (Vyvoláte stiskem F5) a pak v sekci Web a mail – Ochrana přístupu na web – Správa URL adres klikněte na Změnit u Seznamu adres. Zde přidejte *maildelivery.cz* (včetně hvězdiček!) do Seznamu adres vyloučených z kontroly obsahu.
Současně vypněte také samostatný Anti-Phishing modul který se nachází v sekci Anti-Phishingová ochrana.
Ukázka je na koncové stanici, nicméně změny provádějte ideálně z konzole ESET Protect pomocí politiky, kterou aplikujte na všechny stanice, na které bude phishingový test probíhat.
Aby uživatelům ESET nehlásil, že je modul Antiphishing vypnutý (GUI pak svítí červeně), nastavte politikou vypnutí tohoto Stavu aplikace.
Stáhnout politiku do ESET PROTECT
Bitdefender
Řešení Bitedefenderu spolupracuje s Exchange, takže výjimky v AntiSPAMu stačí mít nastavené tam. Nicméně je možné je nakonfigurovat i přímo v GravityZone: Configuration (bitdefender.com)
Co se týče blokace anti-phishing modulem, tak jeho nastavení je popsáno zde: Configuration (bitdefender.com)
Výjimky ve Firewallu
Pokud filtrujete odchozí komunikaci, povolte prosím port 8443.
Všechny uvedené typy výjimek považujte prosím za dočasné! Po ukončení kampaně je potřeba je deaktivovat či odstranit, aby nedošlo k otevření potenciálního vektoru pro zneužití.
Byl tento článek užitečný?
To je skvělé!
Děkujeme Vám za zpětnou vazbu
Je ním líto, že jsme vám nepomohli
Děkujeme Vám za zpětnou vazbu
Zpětná vazba odeslána
Oceňujeme vaši snahu a pokusíme se článek opravit