Saatjapoliitika raamistik ei saa aidata vältida rämpsposti ja andmepüüki, kui lubate oma domeenina saata miljardeid IP-aadresse
Kakskümmend aastat tagasi Paul Vixie avaldas kommentaaritaotluse MAIL FROM keeldumine mis aitas innustada Interneti-kogukonda töötama välja uut viisi rämpsposti vastu võitlemiseks Saatja poliitika raamistik (SPF). Probleem oli siis, nagu ka praegu, selles Lihtne kirjade edastamise protokoll (SMTP), mida kasutatakse Internetis meilide saatmiseks, ei võimalda võltsitud saatjadomeenide tuvastamist.
Kuid SPF-i kasutamisel saavad domeeniomanikud avaldada domeeninimesüsteemi (DNS) kirjeid, mis määravad IP-aadressid, mis on volitatud oma domeeninime meili saatmiseks kasutama. Vastuvõtvas otsas saab meiliserver teha päringu SPF-kirjete kohta ilmne saatja domeen, et kontrollida, kas saatja IP-aadress on volitatud selle domeeni nimel meile saatma.
SMTP meili ja SPF ülevaade
Lugejad, kes tunnevad SMTP-sõnumite saatmise mehhanisme ja SPF-i nendega suhtlemist, võiksid eelistada selle jaotise vahele jätta, kuigi see on armulikult lühike.
Kujutage ette, et Alice kell example.com soovib saata Bobile meilisõnumi aadressil example.org. Ilma SPF-ita osaleksid Alice'i ja Bobi meiliserverid SMTP-vestluses umbes järgmiselt, mida lihtsustatakse HELO-ga, mitte EHLO-ga, kuid mitte viisil, mis muudaks oluliselt põhikonstruktsioone:
Nii on Interneti- (SMTP) meili saatmine ja vastuvõtmine toimunud alates 1980ndate algusest, kuid sellel on – vähemalt tänapäeva Interneti standardite kohaselt – suur probleem. Ülaltoodud diagrammil on Tšaad kl näide.net saaks sama lihtsalt ühenduse luua example.org SMTP-server, osalege täpselt samas SMTP-vestluses ja saatke meilisõnum ilmselt Alice'ilt aadressil example.com kätte Bobile kell example.org. Mis veelgi hullem, Bobile ei viitaks pettusele midagi, välja arvatud ehk IP-aadressid, mis on salvestatud diagnostikasõnumite päistesse koos hostinimedega (siin pole näidatud), kuid neid pole mitteeksperdil lihtne kontrollida ja olenevalt teie meilikliendi rakendusest. , on sageli isegi raskesti ligipääsetavad.
Kuigi rämpsposti algusaegadel neid ei kuritarvitatud, kuna massilisest rämpspostitusest sai väljakujunenud, ehkki vääriliselt põlatud ärimudel, võeti selliseid meilivõltsimise tehnikaid laialdaselt kasutusele, et parandada rämpsposti lugemise ja isegi tegutsemise võimalusi.
Tagasi hüpoteetilise Tšaadi juurde kl näide.net selle sõnumi saatmine "Alice'ilt"... See hõlmaks kaht taset kellegi teisena esinemist (või võltsimist), mille puhul paljud inimesed praegu arvavad, et selliste võltsmeilide tuvastamiseks ja blokeerimiseks saab või tuleks teha automatiseeritud tehnilisi kontrolle. Esimene on SMTP ümbriku tasemel ja teine sõnumi päise tasemel. SPF pakub kontrolle SMTP ümbriku tasemel ning hiljem võltsimisvastaseid ja sõnumite autentimisprotokolle dkim laiendus ja DMARC laiendus pakkuda kontrolle sõnumi päise tasemel.
Kas SPF töötab?
Vastavalt ühele õppima avaldati 2022. aastal, umbes 32% 1.5 miljardist uuritud domeenist olid SPF-kirjetega. Neist 7.7% oli vale süntaksiga ja 1% kasutas aegunud PTR-kirjet, mis suunab IP-aadressid domeeninimedele. SPF-i kasutuselevõtt on olnud aeglane ja vigane, mis võib viia teise küsimuseni: kui paljudel domeenidel on liiga lubavad SPF-kirjed?
Hiljutised uuringud leiti et ainuüksi Austraalias olid 264 organisatsioonil SPF-kirjetes ärakasutatavad IP-aadressid ja see võib tahtmatult luua aluse suuremahulistele rämpsposti- ja andmepüügikampaaniatele. Kuigi see ei olnud seotud selle uurimistööga, oli mul hiljuti oma pintsel potentsiaalselt ohtlike e-kirjadega, mis kasutasid ära valesti konfigureeritud SPF-kirjeid.
Minu postkastis võltsitud e-kiri
Hiljuti sain e-kirja, mis väidetavalt pärineb Prantsuse kindlustusfirmalt Prudence Créole, kuid oli kõik rämpsposti tunnused ja võltsimine:
Kuigi ma tean, et meilisõnumi From: aadressi päise võltsimine on tühine, äratas mu uudishimu, kui uurisin kõiki meilipäiseid ja leidsin, et SMTP-ümbrises olev domeen MAIL FROM: aadress reply@prudencecreole.com oli läbinud SPF-i kontrolli:
Seega otsisin üles domeeni SPF-kirje prudencecreole.com:
See on tohutu IPv4-aadresside plokk! 178.33.104.0/2 sisaldab 25% IPv4 aadressiruumist, alates 128.0.0.0 et 191.255.255.255. Prudence Creole'i domeeninime – rämpspostitajate paradiisi – heakskiidetud saatjad on üle miljardi IP-aadressi.
Veendumaks, et ma endaga nalja ei tee, seadsin ma kodus e-posti serveri, Interneti-teenuse pakkuja määras mulle juhusliku, kuid sobiva IP-aadressi ja saatsin endale võltsitud meili. prudencecreole.com: 
Edu!
Kõige tipuks kontrollisin domeeni SPF-kirjet oma postkasti teisest rämpspostist, mis oli võltsitud. wildvoyager.com:
Vaata ja ennäe, 0.0.0.0/0 blokk võimaldab kogu IPv4 aadressiruumil, mis koosneb enam kui neljast miljardist aadressist, läbida SPF-kontrolli, esinedes samal ajal Wild Voyagerina.
Pärast seda katset teavitasin Prudence Créole ja Wild Voyager nende valesti konfigureeritud SPF-kirjete kohta. Prudence Créole uuendas oma SPF-kirjeid enne selle artikli avaldamist.
Mõtisklused ja saadud õppetunnid
Domeeni jaoks SPF-kirje loomine pole rämpspostitajate võltsimispüüdluste vastu surmajuhtum. Turvalise konfigureerimise korral võib SPF-i kasutamine nurjata paljud katsed, nagu need, mis saabuvad minu postkasti. Võib-olla on SPF-i vahetu, laialdasema kasutamise ja rangema rakendamise kõige olulisem takistus meili edastamine. SPF-mängu mängimiseks kulub kaks, sest nii saatjad kui ka saajad peavad ühtlustama oma e-kirjade turvapoliitikat juhuks, kui e-kirju ei õnnestu edastada kummagi poole liiga rangete reeglite tõttu.
Võttes arvesse teie domeeni võltsivate rämpspostitajate võimalikke riske ja kahju, võib vajaduse korral järgida järgmisi nõuandeid.
- Looge kõigi oma HELO/EHLO identiteetide jaoks SPF-kirje juhuks, kui mõni SPF-i kinnitaja järgib soovitus RFC 7208-s nende kontrollimiseks
- Parem on kasutada kõik mehhanism koos "-" or "~" kvalifikatsioonid, mitte "?" kvalifikaator, nagu viimane võimaldab kõigil teie domeeni võltsida
- Seadistage reegel "langeta kõik" (v=spf1 -kõik) iga teile kuuluva domeeni ja alamdomeeni kohta, mis ei tohiks kunagi genereerida (interneti kaudu marsruutitud) meili ega ilmuda käskude HELO/EHLO või MAIL FROM domeeninime osas.
- Juhiseks veenduge, et teie SPF-kirjed oleksid väikesed, eelistatavalt kuni 512 baiti, et mõned SPF-i kontrollijad neid vaikselt eiraks.
- Veenduge, et lubate oma SPF-kirjetes ainult piiratud ja usaldusväärse IP-aadresside komplekti
SMTP laialdane kasutamine e-kirjade saatmiseks on loonud IT-kultuuri, mis keskendub e-kirjade usaldusväärsele ja tõhusale edastamisele, mitte turvalisele ja privaatsusele. Turvalisusele keskendunud kultuuriga kohanemine võib olla aeglane protsess, kuid see tuleks ette võtta, et teenida selgeid dividende Interneti ühe häda – rämpsposti – vastu.
- blockchain
- coingenius
- krüptovaluuta rahakotid
- krüptovahetus
- küberturvalisus
- küberkurjategijad
- Küberturvalisus
- sisejulgeoleku osakond
- digitaalsed rahakotid
- tulemüüri
- Kaspersky
- malware
- mcafee
- NexBLOC
- phish
- Platon
- plato ai
- Platoni andmete intelligentsus
- Platoni mäng
- PlatoData
- platogaming
- VPN
- Me elame turvaliselt
- kodulehel turvalisus
- sephyrnet
