|
|
|
|
|
|
Caratteristiche messaggi e-mail
|
Descrizione
|
|---|---|
|
Nomi host del mittente incoerenti
|
I nomi host sono incoerenti tra ID-messaggio (<dominio>) e Da (<dominio>).
|
|
Percorso di indirizzamento e-mail interrotto
|
Il percorso di indirizzamento e-mail è interrotto dall'hop (<indirizzo_IP>) all'hop
(<indirizzo_IP>).
|
|
Percorso di indirizzamento della posta contenente un server di posta con cattiva reputazione
|
Il percorso di indirizzamento della posta contiene un server di posta con cattiva
reputazione (<indirizzo_IP>).
|
|
Intervallo di tempo significativo durante la trasmissione del messaggio e-mail
|
Viene rilevato un intervallo di tempo significativo (<durata>) durante la trasmissione
del messaggio e-mail tra hop (<origine> & <destinazione>) dall'ora (<data_ora>) all'ora
(<data_ora>).
|
|
Account dei destinatari incoerenti
|
Il destinatario della busta (<indirizzo_e-mail>) non è coerente con il destinatario
dell'intestazione (<indirizzo_e-mail>).
|
|
Account mittente possibilmente falsificato o relay/inoltro inaspettato
|
L'account probabilmente falsificato del mittente (<indirizzo_e-mail>) sta inviando
messaggi e-mail tramite host o IP (<indirizzo_host>) con (<elenco_ASN>) non coerenti
agli ASN dei destinatari (<elenco_ASN>); in alternativa, potrebbe essersi verificato
un relay/inoltro inaspettato nel server.
|
|
Messaggio e-mail trasmesso tra più fusi orari
|
Il messaggio e-mail viene trasmesso tra più fusi orari (<elenco_fusi_orari>).
|
|
Possibile attacco di ingegneria sociale caratterizzato da set di caratteri sospetti
nelle entità dei messaggi e-mail
|
Sono stati identificati set di caratteri sospetti (<elenco_set_caratteri>) in un singolo
messaggio e-mail; questo significa che il messaggio e-mail proviene da un'area geografica
diversa da quella dell'utente. Tale comportamento è indice di un attacco di ingegneria
sociale.
|
|
Violazione delle intestazioni di ora
|
In un messaggio esistono più intestazioni di ora (<data_ora>, <data_ora>); questa
condizione viola la sezione 3.6 di RFC5322.
|
|
Mittente possibilmente falsificato (Yahoo)
|
Il messaggio e-mail ricevuto da Yahoo (<indirizzo_e-mail>) ha perso le intestazioni
necessarie.
|
|
File eseguibili con nomi di estensioni manomessi nell'allegato
|
I file eseguibili nell'allegato compresso (<nome_file>) tentano di mascherarsi da
file ordinari con nomi di estensioni manomesse.
|
|
Relazioni anomale tra intestazioni di messaggi e-mail relativi a mittenti/destinatari
|
Relazioni anomale tra intestazioni di messaggi e-mail relativi a mittenti/destinatari
(<indirizzo_e-mail>).
|
|
Tentativo di un allegato crittografato di ignorare i motori di scansione antivirus
|
L'allegato crittografato (<nome_file>) con password (<password>) fornita nel contenuto
del messaggio e-mail tenta probabilmente di ignorare i motori di scansione antivirus.
|
|
Allegato del messaggio e-mail possibilmente sfruttabile
|
L'allegato del messaggio e-mail (<nome_file>) potrebbe essere sfruttabile.
|
|
Messaggio e-mail possibilmente inviato da un agente di posta autoscritto a causa dell'anomala
codifica per il trasferimento del contenuto nelle entità dei messaggi e-mail
|
La codifica per il trasferimento del contenuto (<tipo_codifica>) nel messaggio e-mail
è anomala. Il messaggio e-mail potrebbe essere stato inviato da un agente di posta
autoscritto.
|
|
Messaggio e-mail con poche parole significative
|
Il messaggio e-mail è poco significativo e contiene solo alcuni caratteri nel corpo
del testo/HTML (<conteggio_caratteri>).
|
|
Possibile spoofing dei messaggi e-mail
|
Il messaggio e-mail è stato considerato come un messaggio inoltrato o di risposta
con tag nell'oggetto (<oggetto_e-mail>), ma non contiene le rispettive intestazioni
dei messaggi e-mail (RFC 5322).
|
|
Messaggio e-mail trasmesso tra più ASN
|
Il messaggio e-mail viene trasmesso tra più ASN (<elenco_ASN>).
|
|
Messaggio e-mail trasmesso tra più paesi
|
Il messaggio e-mail viene trasmesso tra più paesi (<elenco_codici_paesi>).
|
|
Comportamento anomalo del tipo di contenuto nel messaggio e-mail
|
Il tipo di contenuto nel messaggio e-mail non dovrebbe contenere attributi (<elenco_attributi>).
|
|
File eseguibili archiviati nell'allegato compresso
|
File eseguibili archiviati nell'allegato compresso (<nome_file>).
|
|
Tipi di file sfruttabili rilevati nell'allegato compresso
|
Vengono rilevati tipi di file sfruttabili nell'allegato compresso (<nome_file>).
|