限制用户电子邮件域

控件名称

限制用户电子邮件域

推荐配置

定义允许列表，以限制用户电子邮件字段中允许的电子邮件域。设置>授权电子邮件域>新建授权电子邮件域。

控制概览

定义允许列表以限制用户电子邮件字段中允许的电子邮件域，并确保使用的域是可信的。在授权电子邮件域上拥有电子邮件地址的新用户可以通过 Salesforce 从该地址发送电子邮件，而无需额外验证。

要使用此功能，请添加授权的电子邮件域，然后验证域的所有权。域验证需要域名的 DNS TXT 记录，该记录等于验证码。

安全风险（如果未配置）

离职程序和数据治理方面的重大风险,因为公司无法监控或撤销对发送关键安全警报和公司信息的 Inbox 的访问权限。

威胁场景

恶意用户可能会将 Salesforce 电子邮件更改为个人地址，以通过密码重置来保持访问权限，或者收到公司监管之外的敏感数据导出和系统通知。

估计的 CVSS 得分范围

关键 (9.0–10.0)。

风险影响注意事项

风险严重性取决于用户类型、用户群体大小、平台电子邮件使用情况。

高风险

授予所有用户的无限制发送电子邮件权限。

低风险或无风险

当实施以下一项或多项时，此控制可视为低风险：

• 具有发送电子邮件权限的用户数量有限：发送电子邮件权限配置规则的范围严格，以强制执行最低权限。
• IP 登录限制：具有修改设置权限的用户的 IP 登录限制
• MFA 执行：为 Salesforce 用户强制执行 MFA

业务和集成注意事项

客户应评估拥有发送电子邮件权限的每个用户和简档的业务理由。

建议的补救措施

将发送电子邮件权限限制为授权简档，并限制可使用的域。

安全健康审查指导

用户电子邮件域限制是客户根据需求配置的控件。此更改会影响新用户，并更改现有用户。没有更改的现有用户将不受影响。