Wie eine gefälschte E-Mail die SPF-Prüfung bestanden hat und in meinem Posteingang gelandet ist

Vor zwanzig Jahren, Paul Vixie veröffentlichte eine Bitte um Stellungnahme zu Ablehnung von MAIL FROM Dies hat dazu beigetragen, dass die Internet-Community eine neue Methode zur Spam-Bekämpfung entwickelt hat Sender-Richtlinien-Framework (SPF). Das Problem war damals wie heute, dass die Simple Mail Transfer Protocol (SMTP), das zum Versenden von E-Mails im Internet verwendet wird, bietet keine Möglichkeit, gefälschte Absenderdomänen zu erkennen.  

Bei Verwendung von SPF können Domänenbesitzer jedoch DNS-Einträge (Domain Name System) veröffentlichen, die die IP-Adressen definieren, die berechtigt sind, ihren Domänennamen zum Senden von E-Mails zu verwenden. Auf der Empfängerseite kann ein E-Mail-Server die SPF-Einträge des abfragen ersichtlich Absenderdomäne, um zu prüfen, ob die IP-Adresse des Absenders berechtigt ist, E-Mails im Namen dieser Domäne zu versenden. 

Übersicht über SMTP-E-Mail und SPF 

Leser, die mit den Mechanismen zum Versenden von SMTP-Nachrichten und der Interaktion von SPF mit ihnen vertraut sind, möchten diesen Abschnitt vielleicht lieber überspringen, obwohl er glücklicherweise kurz ist. 

Stellen Sie sich vor, dass Alice bei example.com möchte eine E-Mail-Nachricht an Bob senden example.org. Ohne SPF würden die E-Mail-Server von Alice und Bob an einer SMTP-Konversation wie der folgenden teilnehmen, die mithilfe von HELO anstelle von EHLO vereinfacht wird, jedoch nicht auf eine Weise, die die grundlegenden Konstrukte wesentlich verändert: 

Auf diese Weise erfolgt das Senden und Empfangen von Internet-E-Mails (SMTP). seit den frühen 1980s, aber es gibt – zumindest nach den Maßstäben des heutigen Internets – ein großes Problem. Im Diagramm oben, Chad at beispiel.net könnte sich genauso gut mit dem verbinden example.org SMTP-Server, nehmen Sie an genau demselben SMTP-Gespräch teil und erhalten Sie eine E-Mail-Nachricht, die anscheinend von Alice stammt example.com an Bob geliefert um example.org. Schlimmer noch: Für Bob gibt es keinen Hinweis auf die Täuschung, außer vielleicht IP-Adressen, die zusammen mit Hostnamen in den Kopfzeilen der Diagnosenachrichten aufgezeichnet sind (hier nicht gezeigt), aber diese sind für Laien nicht leicht zu überprüfen und hängen von der Anwendung Ihres E-Mail-Clients ab , sind oft sogar schwer zugänglich. 

Solche E-Mail-Fälschungstechniken wurden zwar in den frühen Tagen des E-Mail-Spams nicht missbraucht, als sich Massen-Spam zu einem etablierten, wenn auch zu Recht verachteten Geschäftsmodell entwickelte, doch sie wurden weithin eingesetzt, um die Chancen zu erhöhen, dass Spam-Nachrichten gelesen und sogar darauf reagiert werden. 

Zurück zum hypothetischen Tschad beispiel.net Das Versenden dieser Nachricht „von“ Alice … Das würde zwei Ebenen des Identitätswechsels (oder der Fälschung) beinhalten, wobei viele Leute jetzt der Meinung sind, dass automatisierte, technische Überprüfungen durchgeführt werden können oder sollten, um solche gefälschten E-Mail-Nachrichten zu erkennen und zu blockieren. Der erste befindet sich auf der Ebene des SMTP-Umschlags und der zweite auf der Ebene des Nachrichtenheaders. SPF Bietet Prüfungen auf SMTP-Umschlagebene und später Anti-Fälschungs- und Nachrichtenauthentifizierungsprotokolle DKIM und DMarc Bereitstellung von Prüfungen auf Nachrichtenkopfebene. 

Funktioniert SPF? 

Nach einem Studie Im Jahr 2022 veröffentlicht, verfügten rund 32 % der 1.5 Milliarden untersuchten Domains über SPF-Einträge. Davon hatten 7.7 % eine ungültige Syntax und 1 % verwendeten den veralteten PTR-Eintrag, der IP-Adressen auf Domänennamen verweist. Die Einführung von SPF verlief in der Tat langsam und fehlerhaft, was zu einer weiteren Frage führen könnte: Wie viele Domains verfügen über übermäßig freizügige SPF-Einträge?  

Aktuelle Forschung gefunden dass allein 264 Organisationen in Australien ausnutzbare IP-Adressen in ihren SPF-Datensätzen hatten und so unabsichtlich die Bühne für groß angelegte Spam- und Phishing-Kampagnen bereiten könnten. Auch wenn es nichts mit dem zu tun hat, was diese Untersuchung herausgefunden hat, hatte ich kürzlich selbst Probleme mit potenziell gefährlichen E-Mails, die falsch konfigurierte SPF-Einträge ausnutzten. 

Gefälschte E-Mail in meinem Posteingang 

Kürzlich erhielt ich eine E-Mail, die angeblich von der französischen Versicherungsgesellschaft Prudence Cr stammteéole, hatte aber alle Merkmale von Spam und Spoofing: 

 

Obwohl ich weiß, dass es trivial ist, den Nachrichtenheader „Von:“ einer E-Mail zu fälschen, wurde meine Neugier geweckt, als ich mir die vollständigen E-Mail-Header ansah und feststellte, dass die Domäne im SMTP-Umschlag die Adresse „MAIL FROM:“ enthielt Reply@prudencecreole.com hatte den SPF-Check bestanden: 

Also habe ich den SPF-Eintrag der Domain nachgeschlagen prudencecreole.com: 

Das ist ein riesiger Block an IPv4-Adressen! 178.33.104.0/2 enthält 25 % des IPv4-Adressraums im Bereich von 128.0.0.0 zu 191.255.255.255. Über eine Milliarde IP-Adressen sind zugelassene Absender für den Domainnamen von Prudence Creole – ein Paradies für Spammer. 

Um sicherzugehen, dass ich mir nichts vormachen wollte, richtete ich zu Hause einen E-Mail-Server ein, bekam von meinem Internetanbieter eine zufällige, aber zulässige IP-Adresse zugewiesen und schickte mir eine gefälschte E-Mail prudencecreole.com:  

Success! 

Um das Ganze abzurunden, habe ich den SPF-Eintrag einer Domain aus einer anderen Spam-E-Mail in meinem Posteingang überprüft, die Spoofing enthielt wildvoyager.com: 

Siehe da, die 0.0.0.0/0 Der Block ermöglicht es dem gesamten IPv4-Adressraum, der aus über vier Milliarden Adressen besteht, die SPF-Prüfung zu bestehen und sich dabei als Wild Voyager auszugeben. 

Nach diesem Experiment habe ich Prudence Cr benachrichtigtéole und Wild Voyager über ihre falsch konfigurierten SPF-Einträge. Prudence Créole hat ihre SPF-Einträge vor der Veröffentlichung dieses Artikels aktualisiert. 

Überlegungen und gewonnene Erkenntnisse 

Das Erstellen eines SPF-Eintrags für Ihre Domain ist kein Todesstoß gegen die Spoofing-Bemühungen von Spammern. Bei sicherer Konfiguration kann die Verwendung von SPF jedoch viele Versuche, wie die, die in meinem Posteingang eingehen, zunichte machen. Die vielleicht größte Hürde, die einer sofortigen, umfassenderen Nutzung und strengeren Anwendung von SPF im Wege steht, ist die Zustellbarkeit von E-Mails. Es braucht zwei, um das SPF-Spiel zu spielen, denn sowohl Absender als auch Empfänger müssen ihre E-Mail-Sicherheitsrichtlinien harmonisieren, falls E-Mails aufgrund zu strenger Regeln auf beiden Seiten nicht zugestellt werden können. 

Angesichts der potenziellen Risiken und Schäden durch Spoofing Ihrer Domain durch Spammer können die folgenden Ratschläge jedoch angemessen angewendet werden: 

• Erstellen Sie einen SPF-Eintrag für alle Ihre HELO/EHLO-Identitäten, falls SPF-Prüfer dies befolgen Empfehlung in RFC 7208 um diese zu überprüfen 
• Es ist besser, das zu verwenden alle Mechanismus mit der "-" or "~" Qualifikationsmerkmale statt der "?" Qualifikationsmerkmal, wie Letzteres ermöglicht es effektiv jedem, Ihre Domain zu fälschen 
• Richten Sie eine „Alles fallen lassen“-Regel ein (v=spf1 -all) für jede Domäne und Subdomäne, die Sie besitzen, die niemals (über das Internet weitergeleitete) E-Mails generieren oder im Domänennamenteil der HELO/EHLO- oder MAIL FROM:-Befehle erscheinen sollten 

• Stellen Sie als Richtlinie sicher, dass Ihre SPF-Einträge klein sind, vorzugsweise bis zu 512 Byte, um zu verhindern, dass sie von einigen SPF-Prüfern stillschweigend ignoriert werden 
• Stellen Sie sicher, dass Sie in Ihren SPF-Einträgen nur einen begrenzten und vertrauenswürdigen Satz von IP-Adressen zulassen 

Die weitverbreitete Verwendung von SMTP zum Versenden von E-Mails hat eine IT-Kultur geschaffen, die sich auf die zuverlässige und effiziente Übertragung von E-Mails konzentriert, statt auf sichere und vertrauliche Übertragung. Die Neugewöhnung an eine sicherheitsorientierte Kultur mag ein langsamer Prozess sein, der aber unternommen werden sollte, um deutliche Vorteile im Kampf gegen eine der Übel des Internets zu erzielen – Spam.