Πώς ένα πλαστό email πέρασε τον έλεγχο SPF και έφτασε στα εισερχόμενά μου

Είκοσι χρόνια πριν, Paul Vixie δημοσίευσε μια Αίτηση για Σχόλια για Αποκήρυξη ΤΑΧΥΔΡΟΜΕΙΟΥ ΑΠΟ που βοήθησε στην ώθηση της διαδικτυακής κοινότητας να αναπτύξει έναν νέο τρόπο καταπολέμησης των ανεπιθύμητων μηνυμάτων με το Πλαίσιο πολιτικής αποστολέα (ΠΑΡΑΓΟΝΤΑΣ ΠΡΟΣΤΑΣΙΑΣ). Το θέμα τότε, όπως και τώρα, ήταν ότι το Απλό πρωτόκολλο μεταφοράς αλληλογραφίας (SMTP), το οποίο χρησιμοποιείται για την αποστολή email στο διαδίκτυο, δεν παρέχει κανέναν τρόπο ανίχνευσης πλαστών τομέων αποστολέα.  

Ωστόσο, όταν χρησιμοποιούν SPF, οι κάτοχοι τομέα μπορούν να δημοσιεύουν εγγραφές συστήματος ονομάτων τομέα (DNS) που ορίζουν τις διευθύνσεις IP που είναι εξουσιοδοτημένες να χρησιμοποιούν το όνομα τομέα τους για την αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου. Στο άκρο λήψης, ένας διακομιστής email μπορεί να ρωτήσει τις εγγραφές SPF του εμφανής τομέα αποστολέα για να ελέγξετε εάν η διεύθυνση IP του αποστολέα είναι εξουσιοδοτημένη να στέλνει email εκ μέρους αυτού του τομέα. 

Επισκόπηση email SMTP και SPF 

Οι αναγνώστες που είναι εξοικειωμένοι με τους μηχανισμούς αποστολής μηνυμάτων SMTP και τον τρόπο με τον οποίο το SPF αλληλεπιδρά μαζί τους μπορεί να προτιμήσουν να παραλείψουν αυτήν την ενότητα, αν και είναι λυπηρά σύντομη. 

Φανταστείτε ότι η Αλίκη στο example.com επιθυμεί να στείλει ένα μήνυμα ηλεκτρονικού ταχυδρομείου στον Bob στο παράδειγμα.org. Χωρίς SPF, οι διακομιστές email της Alice και του Bob θα συμμετείχαν σε μια συνομιλία SMTP κάτι σαν το ακόλουθο, το οποίο απλοποιείται χρησιμοποιώντας το HELO αντί για το EHLO, αλλά όχι με τρόπους που αλλάζουν σημαντικά τις βασικές δομές: 

Αυτός είναι ο τρόπος αποστολής και λήψης email (SMTP) μέσω Διαδικτύου από τις αρχές του 1980, αλλά έχει –τουλάχιστον με τα πρότυπα του σημερινού Διαδικτύου– ένα σημαντικό πρόβλημα. Στο παραπάνω διάγραμμα, το Τσαντ στο παράδειγμα.net μπορούσε εξίσου εύκολα να συνδεθεί με το παράδειγμα.org Διακομιστής SMTP, συμμετάσχετε ακριβώς στην ίδια συνομιλία SMTP και λάβετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου προφανώς από την Αλίκη στο example.com παραδόθηκε στον Μπομπ στις παράδειγμα.org. Ακόμη χειρότερα, δεν θα υπήρχε τίποτα που να υποδεικνύει την εξαπάτηση στον Bob, εκτός ίσως από διευθύνσεις IP που έχουν καταγραφεί μαζί με ονόματα κεντρικών υπολογιστών στις κεφαλίδες διαγνωστικών μηνυμάτων (δεν εμφανίζονται εδώ), αλλά δεν είναι εύκολο να τα ελέγξουν οι μη ειδικοί και, ανάλογα με την εφαρμογή πελάτη ηλεκτρονικού ταχυδρομείου , είναι συχνά δύσκολο να έχουν ακόμη και πρόσβαση. 

Αν και δεν έγινε κατάχρηση στις πολύ πρώτες μέρες του spam email, καθώς το μαζικό spamming έγινε ένα καθιερωμένο, αν και επάξια περιφρονημένο, επιχειρηματικό μοντέλο, τέτοιες τεχνικές πλαστογραφίας email υιοθετήθηκαν ευρέως για να βελτιώσουν τις πιθανότητες ανάγνωσης ανεπιθύμητων μηνυμάτων ή ακόμη και ενεργειών. 

Επιστροφή στο υποθετικό Τσαντ στο παράδειγμα.net αποστολή αυτού του μηνύματος «από» την Αλίκη… Αυτό θα συνεπαγόταν δύο επίπεδα πλαστοπροσωπίας (ή πλαστογραφίας) όπου πολλοί άνθρωποι πιστεύουν τώρα ότι μπορούν ή πρέπει να γίνουν αυτοματοποιημένοι, τεχνικοί έλεγχοι για τον εντοπισμό και τον αποκλεισμό τέτοιων πλαστών μηνυμάτων email. Το πρώτο είναι σε επίπεδο φακέλου SMTP και το δεύτερο σε επίπεδο κεφαλίδας μηνύματος. παράγοντας προστασίας παρέχει ελέγχους σε επίπεδο φακέλου SMTP και αργότερα πρωτόκολλα κατά της πλαστογραφίας και ελέγχου ταυτότητας μηνυμάτων επέκταση dkim και dMarc παρέχουν ελέγχους σε επίπεδο κεφαλίδας μηνύματος. 

Λειτουργεί το SPF; 

Σύμφωνα με ένα μελέτη που δημοσιεύθηκε το 2022, περίπου το 32% των 1.5 δισεκατομμυρίων τομέων που ερευνήθηκαν είχαν εγγραφές SPF. Από αυτά, το 7.7% είχε μη έγκυρη σύνταξη και το 1% χρησιμοποιούσε την καταργημένη εγγραφή PTR, η οποία οδηγεί τις διευθύνσεις IP σε ονόματα τομέα. Η απορρόφηση του SPF ήταν πράγματι αργή και λανθασμένη, κάτι που θα μπορούσε να οδηγήσει σε ένα άλλο ερώτημα: πόσοι τομείς έχουν υπερβολικά επιτρεπτές εγγραφές SPF;  

Βρέθηκε πρόσφατη έρευνα ότι μόνο 264 οργανισμοί στην Αυστραλία διέθεταν εκμεταλλεύσιμες διευθύνσεις IP στα αρχεία τους με SPF και έτσι θα μπορούσαν άθελά τους να δημιουργήσουν το έδαφος για εκστρατείες ανεπιθύμητης αλληλογραφίας και phishing μεγάλης κλίμακας. Αν και δεν σχετίζεται με αυτό που βρήκε αυτή η έρευνα, πρόσφατα είχα το δικό μου πινέλο με δυνητικά επικίνδυνα μηνύματα ηλεκτρονικού ταχυδρομείου που εκμεταλλεύονταν τις εσφαλμένες ρυθμίσεις SPF. 

Παραπλανητικό email στα εισερχόμενά μου 

Πρόσφατα, έλαβα ένα email που ισχυριζόταν ότι ήταν από τη γαλλική ασφαλιστική εταιρεία Prudence Créole, αλλά είχε όλα τα χαρακτηριστικά ανεπιθύμητης αλληλογραφίας και πλαστογράφηση: 

 

Ενώ γνωρίζω ότι η πλαστογράφηση της κεφαλίδας του μηνύματος από: διεύθυνση ενός email είναι ασήμαντη, η περιέργειά μου προκλήθηκε όταν επιθεώρησα τις πλήρεις κεφαλίδες email και διαπίστωσα ότι ο τομέας στον φάκελο SMTP διεύθυνση MAIL FROM: reply@prudencecreole.com είχε περάσει τον έλεγχο SPF: 

Έτσι αναζήτησα την εγγραφή SPF του τομέα prudencecreole.com: 

Αυτό είναι ένα τεράστιο μπλοκ διευθύνσεων IPv4! 178.33.104.0/2 περιέχει το 25% του χώρου διευθύνσεων IPv4, που κυμαίνεται από 128.0.0.0 προς την 191.255.255.255. Πάνω από ένα δισεκατομμύριο διευθύνσεις IP είναι εγκεκριμένοι αποστολείς για το όνομα τομέα του Prudence Creole – ο παράδεισος των spammers. 

Απλώς για να βεβαιωθώ ότι δεν αστειεύομαι, έφτιαξα έναν διακομιστή email στο σπίτι, μου ανατέθηκε μια τυχαία, αλλά κατάλληλη, διεύθυνση IP από τον πάροχο υπηρεσιών διαδικτύου μου και έστειλα στον εαυτό μου μια πλαστογράφηση email prudencecreole.com:  

Επιτυχία! 

Για να το ολοκληρώσω, έλεγξα την εγγραφή SPF ενός τομέα από άλλο ανεπιθύμητο email στα εισερχόμενά μου που ήταν πλαστογράφηση wildvoyger.com: 

Ιδού, το 0.0.0.0/0 Το μπλοκ επιτρέπει σε ολόκληρο τον χώρο διευθύνσεων IPv4, που αποτελείται από πάνω από τέσσερα δισεκατομμύρια διευθύνσεις, να περάσει τον έλεγχο SPF ενώ παρουσιάζεται ως Wild Voyager. 

Μετά από αυτό το πείραμα, ειδοποίησα την Prudence Créole και Wild Voyager σχετικά με τα λανθασμένα διαμορφωμένα αρχεία SPF τους. Prudence CréΗ ole ενημέρωσε τις εγγραφές SPF πριν από τη δημοσίευση αυτού του άρθρου. 

Σκέψεις και διδάγματα 

Η δημιουργία μιας εγγραφής SPF για τον τομέα σας δεν αποτελεί θανατηφόρο εγκεφαλικό επεισόδιο ενάντια στις προσπάθειες πλαστογράφησης των spammers. Ωστόσο, εάν ρυθμιστεί με ασφάλεια, η χρήση του SPF μπορεί να ματαιώσει πολλές προσπάθειες όπως αυτές που φτάνουν στα εισερχόμενά μου. Ίσως το πιο σημαντικό εμπόδιο που εμποδίζει την άμεση, ευρύτερη χρήση και αυστηρότερη εφαρμογή του SPF είναι η δυνατότητα παράδοσης email. Χρειάζονται δύο για να παίξουν το παιχνίδι SPF επειδή τόσο οι αποστολείς όσο και οι παραλήπτες πρέπει να εναρμονίσουν τις πολιτικές ασφάλειας email σε περίπτωση που τα email αποτύχουν να παραδοθούν λόγω υπερβολικά αυστηρών κανόνων που εφαρμόζονται και από τις δύο πλευρές. 

Ωστόσο, λαμβάνοντας υπόψη τους πιθανούς κινδύνους και τη ζημιά από τους ανεπιθύμητους που πλαστογραφούν τον τομέα σας, οι ακόλουθες συμβουλές μπορούν να εφαρμοστούν όπως αρμόζει: 

• Δημιουργήστε μια εγγραφή SPF για όλες τις ταυτότητές σας HELO/EHLO σε περίπτωση που κάποιοι επαληθευτές SPF ακολουθούν το σύσταση στο RFC 7208 για να τα ελέγξετε αυτά 
• Είναι καλύτερα να χρησιμοποιήσετε το όλοι μηχανισμός με το "-" or "~" προκριματικά παρά το "?" προκριματικό, ως το τελευταίο επιτρέπει αποτελεσματικά σε οποιονδήποτε να παραπλανήσει τον τομέα σας 
• Ορίστε έναν κανόνα "απόρριψη όλων" (v=spf1 -όλα) για κάθε τομέα και υποτομέα που κατέχετε και δεν πρέπει ποτέ να δημιουργεί μηνύματα ηλεκτρονικού ταχυδρομείου (με δρομολόγηση μέσω Διαδικτύου) ή να εμφανίζεται στο τμήμα ονόματος τομέα των εντολών HELO/EHLO ή MAIL FROM: 

• Ως κατευθυντήρια γραμμή, βεβαιωθείτε ότι οι εγγραφές σας SPF είναι μικρές, έως και 512 byte κατά προτίμηση, για να αποτρέψετε την σιωπηρή παράβλεψή τους από ορισμένους επαληθευτές SPF 
• Βεβαιωθείτε ότι εξουσιοδοτείτε μόνο ένα περιορισμένο και αξιόπιστο σύνολο διευθύνσεων IP στις εγγραφές σας SPF 

Η ευρεία χρήση του SMTP για την αποστολή email έχει δημιουργήσει μια κουλτούρα πληροφορικής που επικεντρώνεται στη μεταφορά email αξιόπιστα και αποτελεσματικά, παρά με ασφάλεια και με απόρρητο. Η αναπροσαρμογή σε μια κουλτούρα που εστιάζει στην ασφάλεια μπορεί να είναι μια αργή διαδικασία, αλλά θα πρέπει να πραγματοποιηθεί προκειμένου να κερδηθούν ξεκάθαρα μερίσματα έναντι ενός από τα πλήγματα του διαδικτύου - το spam.