限制使用者電子郵件網域控制

控制名稱

限制使用者電子郵件網域

建議組態

定義允許清單,以限制使用者「電子郵件」欄位中允許的電子郵件網域。設定>已授權的電子郵件網域>新授權的電子郵件網域。

控制概觀

定義允許清單以限制使用者「電子郵件」欄位中允許的電子郵件網域,以確保信任使用的網域。在經授權的電子郵件網域上具有電子郵件地址的新使用者可以透過 Salesforce 從該地址傳送電子郵件,而無須額外驗證。

若要使用此功能,請新增授權的電子郵件網域,然後驗證網域的擁有權。網域驗證需要等於驗證代碼的網域名稱 DNS TXT 記錄。

未設定安全性風險

離線程序和資料管理造成重大風險,因為公司無法監視或撤銷對傳送重要安全性警示和公司資訊 Inbox 的存取權。

威脅情況

惡意使用者可能會將其 Salesforce 電子郵件變更為個人地址,以透過密碼重設維持存取權,或接收公司監督之外的敏感資料匯出和系統通知。

估計 CVSS 分數範圍

嚴重 (9.0–10.0)。

風險影響考量事項

風險嚴重性取決於使用者類型、使用者族群大小、平台電子郵件用量。

風險愈高時機

授與所有使用者的「不受限制傳送電子郵件」權限。

低風險或無風險的時機

實作下列一或多個控制項時,可以將此控制項視為低度風險:

• 具有「傳送電子郵件」權限的使用者數量有限:傳送電子郵件權限佈建規則有嚴格的範圍,以強制執行最低權限。
• IP 登入限制:具有修改設定權限之使用者的 IP 登入限制
• MFA 強制執行:為 Salesforce 使用者強制執行 MFA

業務與整合考量事項

客戶應針對擁有「傳送電子郵件」權限的每個使用者和設定檔評估業務理由。

建議的補救措施

將「傳送電子郵件」權限限制為已授權的設定檔,並限制可使用的網域。

安全性健康檢閱指南

使用者電子郵件網域限制是客戶根據其需求設定的控制項。此變更會影響新使用者和對現有使用者的變更。沒有變更的現有使用者不會受到影響。