Hvordan en forfalsket e-mail bestod SPF-kontrollen og landede i min indbakke

For tyve år siden, Paul Vixie offentliggjort en anmodning om kommentarer vedr Afviser MAIL FRA som hjalp med at anspore internetsamfundet til at udvikle en ny måde at bekæmpe spam på med Afsenderpolitisk ramme (SPF). Spørgsmålet dengang som nu var, at Enkel mailoverførselsprotokol (SMTP), som bruges til at sende e-mail på internettet, giver ingen mulighed for at opdage forfalskede afsenderdomæner.  

Men når du bruger SPF, kan domæneejere offentliggøre domænenavnesystem (DNS)-registreringer, der definerer de IP-adresser, der er autoriseret til at bruge deres domænenavn til at sende e-mail. I den modtagende ende kan en e-mail-server forespørge SPF-posterne for tilsyneladende afsenderdomæne for at kontrollere, om afsenderens IP-adresse er autoriseret til at sende e-mail på vegne af det pågældende domæne. 

SMTP e-mail og SPF oversigt 

Læsere, der er bekendt med mekanismer til afsendelse af SMTP-meddelelser, og hvordan SPF interagerer med dem, foretrækker måske at springe denne sektion over, selvom den er nådig kort. 

Forestil dig, at Alice kl example.com ønsker at sende en e-mail til Bob på example.org. Uden SPF ville Alice og Bobs e-mail-servere deltage i en SMTP-samtale noget i stil med følgende, som er forenklet ved at bruge HELO frem for EHLO, men ikke på måder, der væsentligt ændrer de grundlæggende konstruktioner: 

Sådan er afsendelse og modtagelse af internet-e-mail (SMTP) sket siden de tidlige 1980'ere, men det har – i hvert fald efter standarderne for nutidens internet – et stort problem. I diagrammet ovenfor, Tchad kl eksempel.net kunne lige så nemt oprette forbindelse til example.org SMTP-server, deltag i nøjagtig den samme SMTP-samtale og få en e-mail-besked tilsyneladende fra Alice kl. example.com leveret til Bob kl example.org. Endnu værre, der ville ikke være noget, der indikerer bedraget til Bob, undtagen måske IP-adresser, der er registreret sammen med værtsnavne i diagnostiske meddelelsesheadere (ikke vist her), men disse er ikke nemme at kontrollere for ikke-eksperter, og afhængigt af din e-mailklientapplikation , er ofte svære selv at få adgang til. 

Selvom det ikke blev misbrugt i de meget tidlige dage med e-mail-spam, da massespam blev en etableret, omend fortjent foragtet, forretningsmodel, blev sådanne e-mail-forfalskningsmetoder bredt brugt for at forbedre chancerne for, at spam-beskeder blev læst og endda handlet. 

Tilbage til det hypotetiske Tchad kl eksempel.net at sende den besked "fra" Alice... Det ville involvere to niveauer af personefterligning (eller forfalskning), hvor mange mennesker nu føler, at der kan eller bør foretages automatiserede, tekniske kontroller for at opdage og blokere sådanne falske e-mails. Den første er på SMTP-konvolutniveau og den anden på meddelelsesheaderniveau. SPF leverer kontrol på SMTP-konvolutniveau og senere anti-forfalskning og meddelelsesgodkendelsesprotokoller dkim udvidelse , DMARC give tjek på meddelelseshovedniveau. 

Virker SPF? 

Ifølge en studere offentliggjort i 2022, havde omkring 32 % af de 1.5 milliarder undersøgte domæner SPF-registreringer. Ud af disse havde 7.7 % ugyldig syntaks, og 1 % brugte den forældede PTR-record, som peger IP-adresser til domænenavne. Optagelsen af ​​SPF har faktisk været langsom og mangelfuld, hvilket kan føre til et andet spørgsmål: hvor mange domæner har alt for eftergivende SPF-registreringer?  

Nyere forskning fundet at 264 organisationer i Australien alene havde udnyttelige IP-adresser i deres SPF-registreringer og derfor uforvarende kunne sætte scenen for storstilede spam- og phishing-kampagner. Selvom det ikke var relateret til, hvad denne forskning fandt, havde jeg for nylig min egen børste med potentielt farlige e-mails, der udnyttede forkert konfigurerede SPF-poster. 

Forfalsket e-mail i min indbakke 

For nylig modtog jeg en e-mail, der hævdede at være fra det franske forsikringsselskab Prudence Créole, men havde alle kendetegn ved spam og spoofing: 

 

Selvom jeg ved, at det er trivielt at forfalske meddelelseshovedet Fra:-adresse i en e-mail, blev min nysgerrighed vakt, da jeg inspicerede de fulde e-mail-headere og fandt ud af, at domænet i SMTP-konvolutten MAIL FRA:-adresse reply@prudencecreole.com havde bestået SPF-kontrollen: 

Så jeg slog SPF-registreringen for domænet op prudencecreole.com: 

Det er en enorm blok af IPv4-adresser! 178.33.104.0/2 indeholder 25 % af IPv4-adresserummet, der spænder fra 128.0.0.0 til 191.255.255.255. Over en milliard IP-adresser er godkendte afsendere til Prudence Creoles domænenavn – en spammers paradis. 

Bare for at være sikker på, at jeg ikke lavede sjov med mig selv, oprettede jeg en e-mail-server derhjemme, blev tildelt en tilfældig, men kvalificeret, IP-adresse af min internetudbyder og sendte mig selv en e-mail-spoofing prudencecreole.com:  

Succes! 

For at toppe det hele tjekkede jeg SPF-registreringen for et domæne fra en anden spam-e-mail i min indbakke, der var spoofing wildvoyager.com: 

Se og se, den 0.0.0.0/0 blok tillader hele IPv4-adresserummet, bestående af over fire milliarder adresser, at bestå SPF-kontrollen, mens de udgiver sig som Wild Voyager. 

Efter dette eksperiment meddelte jeg Prudence Créole og Wild Voyager om deres forkert konfigurerede SPF-poster. Forsigtighed Créole opdaterede deres SPF-registreringer før offentliggørelsen af ​​denne artikel. 

Refleksioner og erfaringer 

At oprette en SPF-record for dit domæne er ikke noget dødsfald mod spammeres spoofing-indsats. Men hvis det er sikkert konfigureret, kan brugen af ​​SPF frustrere mange forsøg som dem, der ankommer i min indbakke. Den måske vigtigste hindring, der står i vejen for øjeblikkelig, bredere brug og strengere anvendelse af SPF, er levering af e-mail. Det kræver to at spille SPF-spillet, fordi både afsendere og modtagere skal harmonisere deres e-mailsikkerhedspolitikker i tilfælde af, at e-mails ikke bliver leveret på grund af alt for strenge regler, der anvendes af begge sider. 

Men i betragtning af de potentielle risici og skader fra spammere, der spoofer dit domæne, kan følgende råd anvendes efter behov: 

• Opret en SPF-post for alle dine HELO/EHLO-identiteter, hvis nogen SPF-verifikatorer følger anbefaling i RFC 7208 at tjekke disse 
• Det er bedre at bruge alle mekanisme med "-" or "~" kvalifikationer frem for "?" kvalifikation, som sidstnævnte giver effektivt enhver mulighed for at forfalske dit domæne 
• Opsæt en "slip alt"-regel (v=spf1 -alle) for hvert domæne og underdomæne, du ejer, og som aldrig må generere (internet-dirigeret) e-mail eller vises i domænenavnsdelen af ​​HELO/EHLO eller MAIL FROM: kommandoerne 

• Som en retningslinje skal du sørge for, at dine SPF-poster er små, fortrinsvis op til 512 bytes, for at forhindre, at de ignoreres af nogle SPF-verifikatorer. 
• Sørg for, at du kun godkender et begrænset og betroet sæt IP-adresser i dine SPF-poster 

Den udbredte brug af SMTP til at sende e-mail har skabt en it-kultur, der fokuserer på at overføre e-mails pålideligt og effektivt frem for sikkert og med privatliv. Gentilpasning til en sikkerhedsfokuseret kultur kan være en langsom proces, men en proces, der bør foretages med henblik på at tjene klart udbytte mod en af ​​internettets ødelæggelser – spam.