Carder
Professional
- Messages
- 2,620
- Reaction score
- 2,038
- Points
- 113
Электронные письма, созданные с помощью социальной инженерии, содержащие вредоносные вложения и встроенные ссылки, обычно используются для целевых кибер-вторжений против организаций. Этот документ был разработан, чтобы предоставить стратегии снижения рисков безопасности, создаваемых этими вредоносными электронными письмами.
Не каждая стратегия смягчения последствий в этом документе подойдет для всех организаций. Организациям следует учитывать свои уникальные бизнес-требования и среду рисков при принятии решения о том, какие стратегии снижения рисков следует реализовать. Кроме того, перед внедрением какой-либо стратегии смягчения последствий необходимо провести всестороннее тестирование, чтобы свести к минимуму любые непреднамеренные сбои в деятельности организации.
Стратегии смягчения и соображения по реализации кратко изложены в Приложении A.
Анализ может быть выполнен в инструментальной песочнице, расположенной либо в среде шлюза, на рабочей станции пользователя, либо в облаке, с учетом проблем, связанных с конфиденциальностью данных, конфиденциальностью и безопасностью канала связи.
Организации должны блокировать любые вложения, обнаруженные как вредоносные, уделяя при этом особое внимание до того, как к ним будут обращаться пользователи, с помощью продукта, который регулярно обновляется поставщиком для смягчения развивающихся методов уклонения, которые ставят под сомнение эффективность этой стратегии смягчения.
Продукты для удаления активного содержимого должны сканировать вложения на предмет нежелательного активного содержимого на основе ключевых слов или эвристики и переписывать эти элементы, делая их инертными. Полная и всесторонняя санация насадки - сложный процесс.
Организации должны настроить Microsoft Office на отключение всех макросов по умолчанию и запускать только те макросы, которые проверены как заслуживающие доверия и помещены в «надежные места», в которые типичные пользователи с низкими привилегиями не могут писать.
Архивный контент следует проверять контролируемым образом, чтобы избежать эксплойтов, связанных с архивными файлами, таких как обход каталога и отказ в обслуживании через рекурсию. Например, текстовый файл размером 1 ГБ, состоящий только из пробелов, может сжиматься до 1 МБ, но потреблять значительные вычислительные ресурсы при обработке фильтром содержимого электронной почты. В качестве другого примера, zip-файл, содержащий 16 zip-файлов, каждый из которых содержит 16 zip-файлов, каждый из которых содержит 16 zip-файлов и т.д. На глубину 5, может заставить фильтр содержимого электронной почты обработать более миллиона файлов. Чтобы смягчить это, квоты и значения тайм-аута могут использоваться для ЦП, памяти и дисков, чтобы распаковка блокировалась или завершалась неудачно, если она занимает больше указанного времени или использует чрезмерные вычислительные ресурсы.
Файлы архива распаковываются, начиная с конца файла и останавливаясь, когда все файлы извлечены. В результате этого файл архива может быть добавлен в конец легитимного файла изображения и при этом оставаться действующим архивом, из которого можно извлечь файлы. В этом случае, в зависимости от проверки типа файла, файл может пройти проверку типа файла как изображение. Это поведение может быть использовано злоумышленниками, чтобы избежать контролируемой проверки архивных файлов. Чтобы смягчить это, организациям следует попытаться распаковать все вложения, при этом все распакованные файлы будут переданы в средства управления безопасностью для вложений, а исходное вложение заблокировано, если какие-либо распакованные файлы не сработают.
Активные веб-адреса следует заменить неактивными версиями, чтобы пользователи должны были скопировать и вставить веб-адрес в свой веб-браузер - надеюсь, при этом заметив, что это вредоносный веб-адрес.
Организации должны настроить запись DMARC, указав, что электронные письма из домена и субдоменов организации будут отклоняться, если они не пройдут проверку SPF и / или DKIM. Организации, у которых в настоящее время опубликована только запись SPF, по-прежнему могут внедрять DMARC без необходимости внедрения DKIM. В этой ситуации сбой SPF сам по себе все равно приведет к сбою DMARC.
При внедрении проверок SPF организации должны убедиться, что они публикуют записи SPF для своего собственного домена, и убедиться, что проверки SPF проводятся для сообщений электронной почты, которые якобы отправляются из их домена. Это предотвратит отправку злоумышленниками электронных писем в организации и подделку отправителя так, чтобы он выглядел так, как если бы он исходил из организации, в которую отправляется электронное письмо, - тактика, распространенная во многих случаях кибер-мошенничества.
Заметки
Введение
Электронные письма, созданные с помощью социальной инженерии, содержащие вредоносные вложения и встроенные ссылки, обычно используются для целевых кибер-вторжений против организаций. Этот документ был разработан, чтобы предоставить стратегии снижения рисков безопасности, создаваемых этими вредоносными электронными письмами.Не каждая стратегия смягчения последствий в этом документе подойдет для всех организаций. Организациям следует учитывать свои уникальные бизнес-требования и среду рисков при принятии решения о том, какие стратегии снижения рисков следует реализовать. Кроме того, перед внедрением какой-либо стратегии смягчения последствий необходимо провести всестороннее тестирование, чтобы свести к минимуму любые непреднамеренные сбои в деятельности организации.
Стратегии смягчения и соображения по реализации кратко изложены в Приложении A.
Определения
В этом документе используются термины «блокировка» и «карантин». В контексте этого документа «блокировка» означает предотвращение того, чтобы электронное письмо достигло пользователя и было удалено с почтового сервера, в то время как «карантин» означает предотвращение доставки электронной почты пользователю, но безопасное хранение его, чтобы к нему можно было получить доступ при необходимости.Фильтрация вложений
Вложения представляют собой значительную угрозу безопасности, связанную с электронной почтой. Эффективная фильтрация вложений снижает вероятность попадания вредоносного содержимого на рабочую станцию пользователя. Стратегии смягчения последствий, связанные с фильтрацией вложений, обсуждаются ниже.Преобразование вложений в другой формат
Преобразование вложений в другой формат - очень эффективный метод удаления вредоносного содержимого или его неэффективности, например, путем преобразования документов Microsoft Office в документы PDF. Чтобы уменьшить воздействие на пользователей, но за счет повышенного риска безопасности, исходные электронные письма и вложения могут быть помещены в карантин с возможностью выпуска на случай, если оригиналы необходимы для редактирования.Разрешить вложения в зависимости от типа файла
Тип файла проверяет содержимое файла, чтобы определить его тип, а не полагаться на его расширение. Должны быть разрешены только типы файлов, которые имеют законную деловую цель и приемлемый профиль риска для организаций. Поскольку расширения файлов могут быть изменены, несоответствие между типом файла и его заявленным расширением следует рассматривать как подозрительное и помещать в карантин.Блокировать защищенные паролем архивы и неопознанные или зашифрованные вложения
Контенту в архивах, защищенных паролем, нельзя доверять, поскольку фильтры содержимого электронной почты не могут расшифровать и проверить их содержимое. Любой защищенный архив или иным образом зашифрованные вложения следует заблокировать до тех пор, пока они не будут считаться безопасными. Неидентифицируемый контент представляет меньшую угрозу безопасности, если позволяет прикреплять вложения только на основе набора файлов. Если организации одобрили зашифрованные сообщения электронной почты, такие как S / MIME или PGP, это может быть разрешено для предотвращения нарушения законной деятельности.Автоматический динамический анализ вложений, запущенных в песочнице.
В динамическом анализе используются возможности обнаружения на основе поведения вместо использования сигнатур, что позволяет организациям обнаруживать вредоносные программы, которые еще не были идентифицированы поставщиками. Выполнение автоматического динамического анализа вложений, запущенных в изолированной программной среде, может обнаруживать подозрительное поведение, включая сетевой трафик, новые или измененные файлы или изменения в реестре Windows.Анализ может быть выполнен в инструментальной песочнице, расположенной либо в среде шлюза, на рабочей станции пользователя, либо в облаке, с учетом проблем, связанных с конфиденциальностью данных, конфиденциальностью и безопасностью канала связи.
Организации должны блокировать любые вложения, обнаруженные как вредоносные, уделяя при этом особое внимание до того, как к ним будут обращаться пользователи, с помощью продукта, который регулярно обновляется поставщиком для смягчения развивающихся методов уклонения, которые ставят под сомнение эффективность этой стратегии смягчения.
Очистите вложения, чтобы удалить активное или потенциально опасное содержимое
Активный контент, например макросы в файлах Microsoft Office и JavaScript, следует удалить из вложений перед доставкой пользователям. Это должно включать в себя встроенный контент, такой как исполняемый файл, помещенный в документ Microsoft Word, встроенный Flash-контент, помещенный в электронную таблицу Microsoft Excel, и файлы ссылок (LNK), которые вызывают исполняемый контент, который должен включать исполняемый контент на компьютере конечного пользователя, такой как mshta. exe и rundll32.exe . Организациям также следует учитывать случаи, когда активный контент вызывает высокий уровень подозрений из-за ограниченного законного использования; в этих случаях вложение следует заблокировать.Продукты для удаления активного содержимого должны сканировать вложения на предмет нежелательного активного содержимого на основе ключевых слов или эвристики и переписывать эти элементы, делая их инертными. Полная и всесторонняя санация насадки - сложный процесс.
Отключить или контролировать макросы в файлах Microsoft Office
Наблюдается рост использования макросов в файлах Microsoft Office, используемых в качестве вектора доставки вредоносных программ. Эти макросы написаны на языке программирования Visual Basic для приложений (VBA), который встроен в приложения Microsoft Office. Макросы обычно используются для автоматизации задач; однако злоумышленники также используют макросы для выполнения различных вредоносных действий, включая загрузку и выполнение вредоносных программ на главном компьютере.Организации должны настроить Microsoft Office на отключение всех макросов по умолчанию и запускать только те макросы, которые проверены как заслуживающие доверия и помещены в «надежные места», в которые типичные пользователи с низкими привилегиями не могут писать.
Контролируемая проверка архивных файлов
Файлы архива можно использовать для обхода плохо настроенных фильтров содержимого электронной почты. Помещая вредоносный файл в архивный файл и отправляя его адресату, архивный файл может обойти проверки фильтрации содержимого. Чтобы смягчить это, содержимое архивных файлов должно подвергаться тому же уровню проверки, что и неархивированные вложения. Файлы архива следует распаковать, а находящиеся в них файлы проверить. Список каталогов файлов внутри архивного файла не всегда является точным представлением файлов, фактически находящихся в архивном файле, поскольку атрибуты файлов, такие как имя файла, могут храниться в двух местах для каждого файла.Архивный контент следует проверять контролируемым образом, чтобы избежать эксплойтов, связанных с архивными файлами, таких как обход каталога и отказ в обслуживании через рекурсию. Например, текстовый файл размером 1 ГБ, состоящий только из пробелов, может сжиматься до 1 МБ, но потреблять значительные вычислительные ресурсы при обработке фильтром содержимого электронной почты. В качестве другого примера, zip-файл, содержащий 16 zip-файлов, каждый из которых содержит 16 zip-файлов, каждый из которых содержит 16 zip-файлов и т.д. На глубину 5, может заставить фильтр содержимого электронной почты обработать более миллиона файлов. Чтобы смягчить это, квоты и значения тайм-аута могут использоваться для ЦП, памяти и дисков, чтобы распаковка блокировалась или завершалась неудачно, если она занимает больше указанного времени или использует чрезмерные вычислительные ресурсы.
Файлы архива распаковываются, начиная с конца файла и останавливаясь, когда все файлы извлечены. В результате этого файл архива может быть добавлен в конец легитимного файла изображения и при этом оставаться действующим архивом, из которого можно извлечь файлы. В этом случае, в зависимости от проверки типа файла, файл может пройти проверку типа файла как изображение. Это поведение может быть использовано злоумышленниками, чтобы избежать контролируемой проверки архивных файлов. Чтобы смягчить это, организациям следует попытаться распаковать все вложения, при этом все распакованные файлы будут переданы в средства управления безопасностью для вложений, а исходное вложение заблокировано, если какие-либо распакованные файлы не сработают.
Разрешить вложения на основе расширения файла
Разрешение вложений на основе расширения файла менее надежно, чем типизация файла, поскольку расширение можно тривиально изменить, чтобы скрыть истинный характер файла, например, переименовав readme.exe в readme.doc . Должны быть разрешены только расширения файлов с законной деловой целью.Блокировать вложения на основе набора файлов
Блокировка вложений на основе набора файлов является менее проактивной и тщательной, чем разрешение вложений на основе набора файлов или расширения файла, и накладные расходы на ведение списка всех известных плохих типов файлов намного больше, чем ведение списка всех известных хороших типов файлов.Проверять вложения с помощью антивирусного ПО
Вложения должны сканироваться с помощью поддерживаемого поставщиком антивирусного программного обеспечения с актуальными сигнатурами, рейтингами репутации и другими возможностями эвристического обнаружения. Чтобы максимизировать вероятность обнаружения вредоносного содержимого, следует использовать антивирусное программное обеспечение от поставщика, отличного от того, которое используется для рабочих станций пользователей.Блокировать вложения на основе расширения файла
Блокировка вложений на основе расширения файла менее проактивна и тщательна, чем разрешение вложений на основе ввода или расширения файла. Блокировка вложений на основе расширения файла менее надежна, чем типизация файла, поскольку расширение можно тривиально изменить, чтобы скрыть истинный характер файла, например, переименовав readme.exe в readme.doc .Фильтрация основного сообщения электронной почты
Фильтрация содержимого электронной почты, выполняемая в теле электронного письма, помогает обеспечить комплексный подход к фильтрации содержимого электронной почты. Возможная поверхность атаки, представленная телом электронного письма, меньше вложений; однако содержимое тела сообщения электронной почты может по-прежнему представлять вредоносное содержимое в сети. Ниже описаны стратегии смягчения последствий, связанные с фильтрацией тела письма.Заменить активные веб-адреса в теле письма неактивными версиями
Активный веб-адрес позволяет пользователям щелкнуть гиперссылку в теле письма и перейти на указанный веб-сайт. Активные веб-адреса могут показаться безопасными, но на самом деле могут направлять пользователей на вредоносный веб-сайт. Если навести указатель мыши на адрес, можно увидеть фактический веб-сайт.Активные веб-адреса следует заменить неактивными версиями, чтобы пользователи должны были скопировать и вставить веб-адрес в свой веб-браузер - надеюсь, при этом заметив, что это вредоносный веб-адрес.
Удалить активное содержимое из тела письма
Электронные письма с активным содержимым, таким как VBScript или JavaScript, представляют угрозу безопасности, если почтовый клиент или веб-браузер в организациях, где используется веб-почта, может запускать активное содержимое. Тела электронной почты, содержащие активный контент, должны быть очищены или электронная почта заблокирована, чтобы минимизировать риск безопасности. При дезинфекции тела письма активное содержимое должно быть переписано в теле, чтобы сделать его инертным.Проверка отправителя
Возможность проверки подлинности и целостности электронного письма может помешать организациям получать некоторые формы вредоносных писем. При реализации проверки отправителя следует проявлять особую осторожность, поскольку это может повлиять на законный почтовый трафик. Стратегии смягчения последствий для проверки отправителя обсуждаются ниже.Внедрите DMARC для улучшения SPF и / или DKIM
Аутентификация сообщений на основе домена, отчетность и соответствие (DMARC) позволяет владельцу домена указывать политику, в которой указывается, какие действия должен предпринять почтовый сервер получателя, если он не прошел проверку структуры политики отправителя (SPF) и / или почту с идентификацией ключей домена (DKIM). ) проверить. Владелец домена может указать действие, которое должен предпринять почтовый сервер получателя, включив в него «отклонить» (отклонение электронного письма почтовым сервером получателя), «карантин» (пометить письмо как спам) или «нет» (никаких конкретных действий не требуется. взятый). DMARC также предоставляет функцию отчетности, которая позволяет владельцу домена получать отчеты о действиях DMARC, предпринятых принимающими серверами электронной почты. Хотя эта функция не защищает от вредоносных писем, отправляемых в организацию владельца домена,Организации должны настроить запись DMARC, указав, что электронные письма из домена и субдоменов организации будут отклоняться, если они не пройдут проверку SPF и / или DKIM. Организации, у которых в настоящее время опубликована только запись SPF, по-прежнему могут внедрять DMARC без необходимости внедрения DKIM. В этой ситуации сбой SPF сам по себе все равно приведет к сбою DMARC.
Блокировать электронную почту при "жестком сбое" SPF
Проверка SPF будет проверять, исходят ли электронные письма из домена, из которого они утверждают, что они исходят, и позволяет организациям блокировать их, если проверки не пройдут. «Жесткий сбой» SPF происходит, когда получено электронное письмо, которое было подтверждено как отправленное не из домена, откуда оно, как утверждается, исходит. «Жесткие отказы» SPF должны быть заблокированы и исследованы. «Жесткий сбой» SPF может указывать на попытку фишинга, особенно если сбойный адрес электронной почты подделан так, чтобы он выглядел как отправленный с законного домена.При внедрении проверок SPF организации должны убедиться, что они публикуют записи SPF для своего собственного домена, и убедиться, что проверки SPF проводятся для сообщений электронной почты, которые якобы отправляются из их домена. Это предотвратит отправку злоумышленниками электронных писем в организации и подделку отправителя так, чтобы он выглядел так, как если бы он исходил из организации, в которую отправляется электронное письмо, - тактика, распространенная во многих случаях кибер-мошенничества.
Блокировать электронную почту при сбое DKIM
DKIM - это метод проверки домена отправителя электронного письма с использованием подписей, предоставленных доменом отправителя. Если электронное письмо не проходит проверку DKIM, оно должно быть заблокировано и исследовано. Это также должно быть зарегистрировано и, возможно, сообщено в организацию, от которой якобы исходило электронное письмо.Блокировать известных отправителей спама
Известные отправители спама и адреса должны быть заблокированы без проверки электронной почты.Поместить электронную почту в карантин на SPF 'soft fail'
Проверка SPF будет проверять, исходят ли электронные письма из домена, из которого они утверждают, что они исходят, и позволяет организациям блокировать их, если проверки не пройдут. «Мягкий сбой» SPF возникает, когда домен с включенным SPF не может гарантировать, что электронное письмо было отправлено с авторизованного сервера этого домена. Когда происходит «мягкий сбой» SPF, электронное письмо следует поместить в карантин, а не заблокировать, чтобы пользователи могли получить его, если оно считалось законным.Пометить электронную почту на SPF как soft fail
Проверка SPF позволит проверить, поступают ли электронные письма из домена, из которого они утверждают, что они исходят, и позволит организациям блокировать или помещать их в карантин, если проверки не пройдут. «Мягкий сбой» SPF возникает, когда домен с включенным SPF не может гарантировать, что электронное письмо было отправлено с авторизованного сервера этого домена. Вместо того, чтобы блокировать или помещать электронное письмо в карантин, оно должно быть помечено как потенциально вредоносное перед отправкой пользователям, чтобы проинформировать пользователей об угрозах безопасности и позволить им принять основанное на оценке риска решение о том, принимать ли электронное письмо. Например, строка темы электронного письма может быть изменена, чтобы выделить и указать пользователю, что письмо отправлено непроверенным или неподтвержденным отправителем.Отметить внешние электронные письма
Электронные письма, полученные от внешних организаций, должны быть помечены дополнительным заголовком, чтобы побудить получателей проявлять дополнительную осторожность при работе со ссылками или вложениями, связанными с электронным письмом.Другие стратегии смягчения последствий
Блокировать неавторизованные сторонние почтовые службы
Учитывая возможность, многие пользователи хотели бы иметь доступ к сторонним учетным записям электронной почты из корпоративной сети. Этот доступ может включать добавление сторонних сервисов к корпоративным почтовым клиентам или доступ к личным учетным записям веб-почты. Поскольку это сторонние поставщики услуг, организации не могут контролировать данные, поступающие и исходящие от этих услуг. Блокирование доступа к неутвержденным сторонним службам электронной почты может помочь предотвратить проникновение вредоносного контента в сеть через стороннюю службу, предотвратить утечку корпоративных данных из сети через некорпоративные службы и вести учет официальной переписки, обеспечивая использование корпоративных данных. электронная почта.Журнал и аудит действий и событий, связанных с электронной почтой
Должна быть реализована регистрация действий и событий из фильтра содержимого электронной почты и серверов электронной почты, при этом эти журналы должны регулярно проверяться. Эффективное ведение журнала и аудит помогут в случае текущего или прошлого инцидента кибербезопасности.Внедрить дополнительную функцию фильтрации содержимого электронной почты
Хотя в этом документе основное внимание уделяется стратегиям снижения риска для рабочих станций, сетей и связанной с ними конфиденциальной информации, которые могут быть скомпрометированы вредоносными сообщениями электронной почты, следующие дополнительные стратегии предотвращения повышают эффективность фильтра содержимого электронной почты и упрощают управление им.Сведите к минимуму накладные расходы системного администратора на выпуск сообщений, помещенных в карантин
Сведение к минимуму накладных расходов системного администратора на оценку и выпуск электронного письма для пользователя, когда это электронное письмо было помещено в карантин, может быть достигнуто путем предоставления им простого и быстрого доступа к безопасной среде для изучения помещенных в карантин электронных писем.Реализовать самовосстановление писем, помещенных в карантин (по причине карантина)
Разрешение пользователям самостоятельно освобождать помещенное в карантин электронное письмо без необходимости проходить через системного администратора может быть сделано доступным для выбранных помещенных в карантин сообщений электронной почты на основе триггеров фильтра содержимого электронной почты, которые считаются меньшим риском безопасности. Даже в этом случае все сообщения по электронной почте должны регистрироваться для целей аудита.Приложение A. Стратегии защиты от вредоносных писем
| Стратегия смягчения последствий | Эффективность безопасности | Сопротивление пользователей | Первоначальная стоимость (персонал, оборудование, сложность) | Стоимость обслуживания (персонал) | Предотвращение или обнаружение целевого кибер-вторжения | Помогает снизить выполнение кода | Помогает уменьшить распространение сети | Помогает предотвратить утечку данных |
| Фильтрация вложений | ||||||||
| Преобразование вложений в другой формат | Отлично | Высокая 1 | Средняя | Средний 1 | Предотвращать | Да | Нет | Нет |
| Разрешить вложения в зависимости от типа файла | Отлично | Средняя | Средняя | Низкий | Предотвращать | Да | Нет | Да |
| Блокировать защищенные паролем архивы и неопознанные или зашифрованные вложения | Отлично | Средняя | Средняя | Низкий | Предотвращать | Да | Нет | Да |
| Автоматический динамический анализ вложений, запущенных в песочнице. | Отлично | Низкий | Средняя | Низкий | Предотвращать | Да | Нет | Нет |
| Очистите вложения, чтобы удалить активное или потенциально опасное содержимое | Отлично | Средний 1 | Высоко | Средний 1 | Предотвращать | Да | Нет | Нет |
| Отключить или контролировать макросы в файлах Microsoft Office | Отлично | Средний 1 | Высоко | Низкий 1 | Предотвращать | Да | Нет | Нет |
| Контролируемая проверка архивных файлов | Хорошо | Низкий | Средняя | Низкий | Предотвратить и обнаружить | Да | Нет | да |
| Разрешить вложения на основе расширения файла | Средний | Средняя | Низкий | Низкий | Предотвращать | Да 3 | Нет | Да |
| Блокировать вложения на основе набора файлов | Минимальный | Низкий | Низкий | Средняя | Предотвращать | Да | Нет | Да 2 |
| Проверять вложения с помощью антивирусного ПО | Минимальный | Низкий | Низкий | Низкий | Предотвратить и обнаружить | Да | Нет | Нет |
| Блокировать вложения на основе расширения файла | Минимальный | Низкий | Низкий | Средняя | Предотвращать | Да 3 | Нет | Да 2 |
| Фильтрация основного сообщения электронной почты | ||||||||
| Заменить активные веб-адреса в теле письма неактивными версиями | Хорошо | Низкий | Средняя | Низкий | Предотвращать | Да | Нет | Нет |
| Удалить активное содержимое из тела письма | Средний | Низкий | Средняя | Низкий | Предотвращать | да | Нет | Нет |
| Проверка отправителя | ||||||||
| Внедрите DMARC для улучшения SPF и / или DKIM | Хорошо | Низкий | Низкий | Низкий | Предотвращать | Да | Нет | Нет |
| Блокировать электронную почту при "жестком сбое" SPF | Средний | Низкий | Низкий | Низкий | Предотвращать | Да | Нет | Нет |
| Блокировать электронную почту при сбое DKIM | Средний | Низкий | Низкий | Низкий | Предотвращать | Да | Нет | Нет |
| Блокировать известных отправителей спама | Минимальный | Низкий | Низкий | Низкий | Предотвратить и обнаружить | Да | Нет | Нет |
| Поместить электронную почту в карантин на SPF 'soft fail' | Минимальный | Средняя | Низкий | Низкий | Предотвращать | Да | Нет | Нет |
| Пометить электронную почту на SPF как soft fail | Плохо | Низкий | Низкий | Низкий | Предотвращать | Да | Нет | Нет |
| Отметить внешние электронные письма | Плохо | Низкий | Низкий | Низкий | Предотвращать | Да | Нет | Нет |
Заметки
- Потенциально ниже, если выпуск документа прост.
- При условии, что злоумышленники пытаются извлечь заблокированный тип файла.
- При условии, что злоумышленники отправляют файл с заблокированным расширением.
- Если стратегия смягчения применяется как к входящей, так и к исходящей электронной почте, то это «Предотвращение и обнаружение», в противном случае просто «Предотвращение».
