Lähettäjäkäytäntökehys ei voi auttaa estämään roskapostia ja tietojenkalastelua, jos sallit miljardien IP-osoitteiden lähettämisen verkkotunnuksena
Kaksikymmentä vuotta sitten, Paul Vixie julkaisi kommenttipyynnön aiheesta Kieltäydytään MAIL FROM joka auttoi Internet-yhteisöä kehittämään uuden tavan torjua roskapostia Lähettäjän toimintakehys (SPF). Ongelma silloin, kuten nytkin, oli se Yksinkertainen postinsiirtoprotokolla (SMTP), jota käytetään sähköpostin lähettämiseen Internetissä, ei tarjoa tapaa havaita väärennettyjä lähettäjän verkkotunnuksia.
SPF:ää käytettäessä verkkotunnuksen omistajat voivat kuitenkin julkaista DNS-tietueita, jotka määrittelevät IP-osoitteet, joilla on lupa käyttää verkkotunnusta sähköpostin lähettämiseen. Vastaanottavassa päässä sähköpostipalvelin voi tiedustella SPF-tietueita näennäinen lähettäjän verkkotunnus tarkistaaksesi, onko lähettäjän IP-osoite valtuutettu lähettämään sähköpostia kyseisen toimialueen puolesta.
SMTP-sähköposti ja SPF yleiskatsaus
Lukijat, jotka tuntevat SMTP-viestien lähetysmekanismit ja kuinka SPF on vuorovaikutuksessa niiden kanssa, saattavat mieluummin ohittaa tämän osan, vaikka se onkin armollisen lyhyt.
Kuvittele, että Alice klo example.com haluaa lähettää sähköpostiviestin Bobille osoitteessa esimerkki.org. Ilman SPF:ää Alicen ja Bobin sähköpostipalvelimet osallistuisivat seuraavanlaiseen SMTP-keskusteluun, joka on yksinkertaistettu käyttämällä HELO:ta EHLO:n sijaan, mutta ei tavoilla, jotka muuttavat merkittävästi perusrakenteita:
Näin on tapahtunut Internet-sähköpostin (SMTP) lähettäminen ja vastaanottaminen alusta 1980: ien jälkeen, mutta sillä on – ainakin nykypäivän internetin standardien mukaan – suuri ongelma. Yllä olevassa kaaviossa Chad klo esimerkki.net voisi yhtä helposti muodostaa yhteyden esimerkki.org SMTP-palvelin, osallistu täsmälleen samaan SMTP-keskusteluun ja saat sähköpostiviestin ilmeisesti Alicelta osoitteessa example.com toimitettu Bobille klo esimerkki.org. Mikä vielä pahempaa, mikään ei osoita Bobille petosta, paitsi ehkä IP-osoitteet, jotka on tallennettu isäntänimien viereen diagnostisten viestien otsikoissa (ei näy tässä), mutta niitä ei ole helppo tarkistaa ei-asiantuntijoiden ja riippuen sähköpostiohjelmastasi. , joihin on usein vaikea edes päästä käsiksi.
Vaikka niitä ei käytetty väärin sähköpostiroskapostin varhaisina päivinä, kun joukkoroskapostista tuli vakiintunut, vaikkakin ansaitusti halveksittu liiketoimintamalli, tällaisia sähköpostin väärentämistekniikoita otettiin laajalti käyttöön roskapostiviestien lukemisen ja jopa toimien parantamiseksi.
Takaisin hypoteettiseen Tšadiin klo esimerkki.net Viestin lähettäminen "Alicelta"... Se sisältäisi toisena henkilönä esiintymisen (tai väärentämisen) kahdella tasolla, jolloin monet ihmiset ajattelevat nyt, että automaattisia teknisiä tarkastuksia voidaan tai pitäisi tehdä tällaisten väärennettyjen sähköpostiviestien havaitsemiseksi ja estämiseksi. Ensimmäinen on SMTP-kirjekuoritasolla ja toinen viestin otsikkotasolla. SPF tarjoaa tarkistuksia SMTP-kirjekuoritasolla ja myöhemmin väärentämisen esto- ja viestitodennusprotokollat dkim laajennus ja DMARC laajennus antaa tarkistuksia viestin otsikkotasolla.
Toimiiko SPF?
Yhden mukaan opiskella Vuonna 2022 julkaistun julkaisun mukaan noin 32 prosentilla tutkitusta 1.5 miljardista verkkotunnuksesta oli SPF-tietueita. Näistä 7.7 %:lla oli virheellinen syntaksi ja 1 % käytti vanhentunutta PTR-tietuetta, joka osoittaa IP-osoitteet verkkotunnusten nimiin. SPF:n käyttöönotto on todellakin ollut hidasta ja puutteellista, mikä saattaa johtaa toiseen kysymykseen: kuinka monella verkkotunnuksella on liian sallivia SPF-tietueita?
Viimeaikainen tutkimus löytyi että pelkästään Australiassa 264 organisaatiolla oli hyödynnettävissä olevia IP-osoitteita SPF-tietueissaan, mikä saattaa tahattomasti luoda alustan laajoille roskaposti- ja tietojenkalastelukampanjoille. Vaikka se ei liittynyt tuon tutkimuksen löytämiseen, minulla oli äskettäin oma harjani mahdollisesti vaarallisilla sähköpostiviesteillä, jotka käyttivät väärin määritettyjä SPF-tietueita.
Huijattu sähköposti postilaatikossani
Äskettäin sain sähköpostin, joka väitti olevan ranskalaiselta vakuutusyhtiöltä Prudence Créole, mutta hänellä oli kaikki roskapostin tunnusmerkkejä ja huijaus:
Vaikka tiedänkin, että sähköpostin Lähettäjä: osoite -sanoman otsikon väärentäminen on triviaalia, uteliaisuuteni heräsi, kun tarkistin sähköpostin täydelliset otsikot ja huomasin, että SMTP-kirjekuoren verkkotunnus MAIL FROM: osoite. reply@prudencecreole.com oli läpäissyt SPF-tarkastuksen:
Joten etsin verkkotunnuksen SPF-tietueen prudencecreole.com:
Se on valtava IPv4-osoitteiden lohko! 178.33.104.0/2 sisältää 25 % IPv4-osoiteavaruudesta alkaen 128.0.0.0 että 191.255.255.255. Yli miljardi IP-osoitetta on hyväksytty lähettäjiä Prudence Creolen verkkotunnukselle – roskapostittajien paratiisiin.
Vain varmistaakseni, etten pilaa itseäni, asensin kotiin sähköpostipalvelimen, Internet-palveluntarjoajani antoi minulle satunnaisen, mutta kelvollisen IP-osoitteen ja lähetin itselleni huijaussähköpostin. prudencecreole.com: 
Onnistui!
Kaiken huipuksi tarkistin verkkotunnuksen SPF-tietueen toisesta postilaatikossani olevasta roskapostista, joka oli huijaus wildvoyager.com:
Katso ja katso, 0.0.0.0/0 lohko sallii koko IPv4-osoitetilan, joka koostuu yli neljästä miljardista osoitteesta, läpäistä SPF-tarkistuksen esiintyessään Wild Voyagerina.
Tämän kokeilun jälkeen ilmoitin Prudence Créole ja Wild Voyager väärin määritetyistä SPF-tietueistaan. Prudence Créole päivitti SPF-tietueensa ennen tämän artikkelin julkaisua.
Pohdintoja ja opittuja asioita
SPF-tietueen luominen verkkotunnuksellesi ei merkitse roskapostittajien huijausyrityksiä vastaan. Jos SPF on määritetty turvallisesti, se voi kuitenkin turhauttaa monet yritykset, kuten ne, jotka saapuvat postilaatikkooni. Ehkä merkittävin este SPF:n välittömälle, laajemmalle käytölle ja tiukemmalle soveltamiselle on sähköpostin toimitettavuus. SPF-pelin pelaamiseen tarvitaan kaksi pelaajaa, koska sekä lähettäjien että vastaanottajien on yhdenmukaistettava sähköpostin suojauskäytäntönsä siltä varalta, että sähköpostien toimittaminen epäonnistuu kummankin osapuolen käyttämien liian tiukkojen sääntöjen vuoksi.
Kun kuitenkin otetaan huomioon verkkotunnuksesi huijaavien roskapostittajien mahdolliset riskit ja vahingot, seuraavia neuvoja voidaan soveltaa tarpeen mukaan:
- Luo SPF-tietue kaikille HELO/EHLO-identiteeteillesi siltä varalta, että SPF-todentajat seuraavat suositus RFC 7208:ssa tarkistamaan nämä
- On parempi käyttää kaikki mekanismi "-" or "~" karsintoja eikä "?" tarkentaja, kuten jälkimmäinen antaa kenen tahansa huijata verkkotunnuksesi
- Aseta "pudota kaikki" -sääntö (v=spf1 -kaikki) jokaiselle omistamallesi verkkotunnukselle ja aliverkkotunnukselle, jonka ei pitäisi koskaan luoda (internet-reititystä) sähköpostia tai esiintyä HELO/EHLO- tai MAIL FROM -komentojen verkkotunnuksen nimiosassa.
- Ohjeena on varmistaa, että SPF-tietueesi ovat pieniä, mieluiten jopa 512 tavua, jotta jotkut SPF-todentajat eivät jätä niitä huomiotta.
- Varmista, että valtuutat vain rajoitetun ja luotetun joukon IP-osoitteita SPF-tietueissasi
SMTP:n laaja käyttö sähköpostien lähettämiseen on luonut IT-kulttuurin, joka keskittyy sähköpostien siirtämiseen luotettavasti ja tehokkaasti sen sijaan, että se siirretään turvallisesti ja yksityisyyttä kunnioittaen. Turvallisuuspainotteiseen kulttuuriin sopeutuminen voi olla hidas prosessi, mutta sellainen prosessi, johon kannattaa ryhtyä, jotta voidaan ansaita selkeitä osinkoja yhtä internetin haittaa – roskapostia – vastaan.
- blockchain
- coingenius
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- phish
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- Me elämme turvallisuutta
- verkkosivuilla turvallisuus
- zephyrnet
