Comment un e-mail usurpé a passé le contrôle SPF et a atterri dans ma boîte de réception

Il y a vingt ans, Paul Vixie a publié une demande de commentaires sur Répudier MAIL FROM qui a incité la communauté Internet à développer une nouvelle façon de lutter contre le spam avec le Cadre de politique de l'expéditeur (SPF). Le problème alors, comme aujourd'hui, était que le Protocole de transfert de courrier simple (SMTP), qui est utilisé pour envoyer des e-mails sur Internet, ne fournit aucun moyen de détecter les domaines d'expéditeur falsifiés.  

Cependant, lorsqu'ils utilisent SPF, les propriétaires de domaine peuvent publier des enregistrements de système de nom de domaine (DNS) qui définissent les adresses IP autorisées à utiliser leur nom de domaine pour l'envoi d'e-mails. Côté réception, un serveur de messagerie peut interroger les enregistrements SPF du apparent domaine de l'expéditeur pour vérifier si l'adresse IP de l'expéditeur est autorisée à envoyer des e-mails au nom de ce domaine. 

Présentation des e-mails SMTP et SPF 

Les lecteurs familiarisés avec les mécanismes d'envoi de messages SMTP et la manière dont SPF interagit avec eux préféreront peut-être ignorer cette section, bien qu'elle soit heureusement courte. 

Imaginez qu'Alice à example.com souhaite envoyer un message électronique à Bob à Example.org. Sans SPF, les serveurs de messagerie d'Alice et de Bob s'engageraient dans une conversation SMTP semblable à ce qui suit, qui est simplifié en utilisant HELO plutôt qu'EHLO, mais pas d'une manière qui modifie de manière significative les constructions de base : 

Voici comment l'envoi et la réception d'e-mails Internet (SMTP) se sont produits depuis les premiers 1980, mais il a - du moins selon les normes de l'Internet d'aujourd'hui - un problème majeur. Dans le schéma ci-dessus, le Tchad à exemple.net pourrait tout aussi bien se connecter au Example.org serveur SMTP, engagez exactement la même conversation SMTP et recevez un message électronique apparemment d'Alice à example.com livré à Bob à Example.org. Pire encore, rien n'indiquerait la tromperie de Bob, à l'exception peut-être des adresses IP enregistrées à côté des noms d'hôte dans les en-têtes de message de diagnostic (non illustrés ici), mais celles-ci ne sont pas faciles à vérifier pour les non-experts et, selon votre application client de messagerie , sont souvent difficiles d'accès. 

Bien qu'elles n'aient pas été abusées au tout début du spam par e-mail, alors que le spam de masse est devenu un modèle commercial établi, bien que méprisé à juste titre, ces techniques de falsification d'e-mails ont été largement adoptées pour améliorer les chances que les messages de spam soient lus et même traités. 

Revenons à l'hypothétique Tchad à exemple.net envoyer ce message "de" Alice… Cela impliquerait deux niveaux d'usurpation d'identité (ou de contrefaçon) où de nombreuses personnes pensent maintenant que des vérifications techniques automatisées peuvent ou doivent être effectuées pour détecter et bloquer ces faux messages électroniques. Le premier se situe au niveau de l'enveloppe SMTP et le second au niveau de l'en-tête du message. SPF fournit des vérifications au niveau de l'enveloppe SMTP, puis des protocoles anti-falsification et d'authentification des messages DKIM ainsi que DMARC fournir des vérifications au niveau de l'en-tête du message. 

Le FPS fonctionne-t-il ? 

Selon l'un étude publié en 2022, environ 32 % des 1.5 milliard de domaines étudiés avaient des enregistrements SPF. Parmi ceux-ci, 7.7 % avaient une syntaxe invalide et 1 % utilisaient l'enregistrement PTR obsolète, qui pointe les adresses IP vers les noms de domaine. L'adoption du SPF a été lente et imparfaite, ce qui pourrait conduire à une autre question : combien de domaines ont des enregistrements SPF trop permissifs ?  

Recherche récente trouvée que 264 organisations en Australie avaient à elles seules des adresses IP exploitables dans leurs enregistrements SPF et pourraient donc involontairement ouvrir la voie à des campagnes de spam et de phishing à grande échelle. Bien que cela ne soit pas lié à ce que cette recherche a trouvé, j'ai récemment eu ma propre brosse avec des e-mails potentiellement dangereux qui ont profité d'enregistrements SPF mal configurés. 

E-mail usurpé dans ma boîte de réception 

Récemment, j'ai reçu un e-mail prétendant provenir de la compagnie d'assurance française Prudence Créole, mais avait tout le caractéristiques du spam et usurpation : 

 

Bien que je sache que falsifier l'en-tête de message De : adresse d'un e-mail est trivial, ma curiosité a été éveillée lorsque j'ai inspecté les en-têtes complets des e-mails et découvert que le domaine dans l'enveloppe SMTP MAIL FROM : adresse répondre@prudencecreole.com avait réussi le contrôle SPF : 

J'ai donc recherché l'enregistrement SPF du domaine prudencecreole.com: 

C'est un énorme bloc d'adresses IPv4 ! 178.33.104.0/2 contient 25 % de l'espace d'adressage IPv4, allant de 128.0.0.0 à 191.255.255.255. Plus d'un milliard d'adresses IP sont des expéditeurs approuvés pour le nom de domaine de Prudence Creole – le paradis des spammeurs. 

Juste pour m'assurer que je ne me trompais pas, j'ai configuré un serveur de messagerie à la maison, mon fournisseur d'accès Internet m'a attribué une adresse IP aléatoire, mais éligible, et je me suis envoyé un e-mail d'usurpation prudencecreole.com:  

Succès! 

Pour couronner le tout, j'ai vérifié l'enregistrement SPF d'un domaine à partir d'un autre spam dans ma boîte de réception qui usurpait wildvoyager.com: 

Et voici, le 0.0.0.0/0 permet à l'ensemble de l'espace d'adressage IPv4, composé de plus de quatre milliards d'adresses, de passer le contrôle SPF tout en se faisant passer pour Wild Voyager. 

Après cette expérience, j'ai prévenu Prudence Créole et Wild Voyager à propos de leurs enregistrements SPF mal configurés. Cr Prudenceéole a mis à jour ses enregistrements SPF avant la publication de cet article. 

Réflexions et leçons apprises 

La création d'un enregistrement SPF pour votre domaine n'est pas un coup fatal contre les tentatives d'usurpation d'identité des spammeurs. Cependant, s'il est configuré de manière sécurisée, l'utilisation de SPF peut contrecarrer de nombreuses tentatives comme celles qui arrivent dans ma boîte de réception. La délivrabilité des e-mails est peut-être l'obstacle le plus important qui s'oppose à une utilisation immédiate et plus large et à une application plus stricte du SPF. Il faut être deux pour jouer au jeu SPF, car les expéditeurs et les destinataires doivent harmoniser leurs politiques de sécurité des e-mails au cas où les e-mails ne seraient pas livrés en raison de règles trop rigoureuses appliquées de part et d'autre. 

Cependant, compte tenu des risques et des dommages potentiels causés par les spammeurs usurpant votre domaine, les conseils suivants peuvent être appliqués le cas échéant : 

• Créez un enregistrement SPF pour toutes vos identités HELO/EHLO au cas où des vérificateurs SPF suivraient le recommandation dans la RFC 7208 pour vérifier ces 
• Il est préférable d'utiliser le TOUTE mécanisme avec le "- » or "~ » qualificatifs plutôt que les "? » qualificatif, car ce dernier permet à quiconque d'usurper votre domaine 
• Définissez une règle « tout supprimer » (v=spf1 -tout) pour chaque domaine et sous-domaine que vous possédez et qui ne doit jamais générer d'e-mail (routé par Internet) ou apparaître dans la partie nom de domaine des commandes HELO/EHLO ou MAIL FROM : 

• À titre indicatif, assurez-vous que vos enregistrements SPF sont petits, jusqu'à 512 octets de préférence, pour éviter qu'ils ne soient ignorés en silence par certains vérificateurs SPF. 
• Assurez-vous de n'autoriser qu'un ensemble limité et fiable d'adresses IP dans vos enregistrements SPF 

L'utilisation généralisée de SMTP pour envoyer des e-mails a créé une culture informatique axée sur le transfert d'e-mails de manière fiable et efficace, plutôt que sur la sécurité et la confidentialité. Le réajustement à une culture axée sur la sécurité peut être un processus lent, mais qui doit être entrepris en vue de gagner des dividendes clairs contre l'un des fléaux d'Internet - le spam.