कैसे एक नकली ईमेल ने SPF चेक पास किया और मेरे इनबॉक्स प्लेटोब्लॉकचैन डेटा इंटेलिजेंस में पहुंचा। लंबवत खोज। ऐ.

कैसे एक नकली ईमेल SPF चेक पास करके मेरे इनबॉक्स में आ गया

टाइम स्टैम्प: 16 अगस्त, 2022 सुबह 5:30 बजे

यदि आप अरबों IP पतों को अपने डोमेन के रूप में भेजने की अनुमति देते हैं, तो प्रेषक नीति ढांचा स्पैम और फ़िशिंग को रोकने में मदद नहीं कर सकता

बीस वर्ष पूर्व, पॉल विक्सी पर टिप्पणियों के लिए एक अनुरोध प्रकाशित किया से मेल को अस्वीकार करना जिसने इंटरनेट समुदाय को स्पैम से लड़ने का एक नया तरीका विकसित करने में मदद की प्रेषक नीति फ्रेमवर्क (एसपीएफ़)। मुद्दा तब, जैसा अब है, यह था कि सरल डाक स्थानांतरण प्रोटोकॉल (एसएमटीपी), जिसका उपयोग इंटरनेट पर ईमेल भेजने के लिए किया जाता है, जाली प्रेषक डोमेन का पता लगाने का कोई तरीका प्रदान नहीं करता है।  

हालांकि, एसपीएफ़ का उपयोग करते समय, डोमेन मालिक डोमेन नाम सिस्टम (डीएनएस) रिकॉर्ड प्रकाशित कर सकते हैं जो ईमेल भेजने के लिए अपने डोमेन नाम का उपयोग करने के लिए अधिकृत आईपी पते को परिभाषित करते हैं। प्राप्त करने के अंत में, एक ईमेल सर्वर एसपीएफ़ रिकॉर्ड को क्वेरी कर सकता है स्पष्ट प्रेषक डोमेन यह जांचने के लिए कि प्रेषक का आईपी पता उस डोमेन की ओर से ईमेल भेजने के लिए अधिकृत है या नहीं। 

एसएमटीपी ईमेल और एसपीएफ़ अवलोकन 

एसएमटीपी संदेश भेजने के तंत्र से परिचित पाठक और एसपीएफ़ उनके साथ कैसे इंटरैक्ट करता है, इस खंड को छोड़ना पसंद कर सकता है, हालांकि यह दयालु रूप से छोटा है। 

कल्पना कीजिए कि ऐलिस at example.com बॉब को एक ईमेल संदेश भेजना चाहता है example.org. एसपीएफ़ के बिना, ऐलिस और बॉब के ईमेल सर्वर एसएमटीपी बातचीत में कुछ इस तरह संलग्न होंगे, जिसे ईएचएलओ के बजाय हेलो का उपयोग करके सरल बनाया गया है, लेकिन उन तरीकों से नहीं जो बुनियादी संरचनाओं को महत्वपूर्ण रूप से बदलते हैं: 

इस प्रकार इंटरनेट (एसएमटीपी) ईमेल भेजना और प्राप्त करना हुआ है शुरुआती 1980 के बाद से, लेकिन यह - कम से कम आज के इंटरनेट के मानकों के अनुसार - एक बड़ी समस्या है। ऊपर के चित्र में, चाड at example.net से आसानी से जुड़ सकता है example.org एसएमटीपी सर्वर, ठीक उसी एसएमटीपी बातचीत में संलग्न है और ऐलिस से स्पष्ट रूप से एक ईमेल संदेश है example.com बॉब को दिया गया example.org. इससे भी बदतर, बॉब को धोखे का संकेत देने वाला कुछ भी नहीं होगा, सिवाय शायद डायग्नोस्टिक मैसेज हेडर में होस्ट नामों के साथ रिकॉर्ड किए गए आईपी पते (यहां नहीं दिखाया गया है), लेकिन गैर-विशेषज्ञों के लिए जांचना आसान नहीं है और आपके ईमेल क्लाइंट एप्लिकेशन के आधार पर , अक्सर पहुंचना भी मुश्किल होता है। 

हालांकि ईमेल स्पैम के शुरुआती दिनों में दुरुपयोग नहीं किया गया था, क्योंकि बड़े पैमाने पर स्पैमिंग एक स्थापित हो गई थी, भले ही योग्य रूप से तिरस्कृत, व्यापार मॉडल, ऐसी ईमेल जालसाजी तकनीकों को व्यापक रूप से स्पैम संदेशों को पढ़ने और यहां तक ​​​​कि उन पर कार्रवाई करने की संभावनाओं को बेहतर बनाने के लिए अपनाया गया था। 

काल्पनिक चाड पर वापस example.net उस संदेश को "से" एलिस भेज रहा है ... इसमें प्रतिरूपण (या जालसाजी) के दो स्तर शामिल होंगे जहां कई लोग अब महसूस करते हैं कि ऐसे नकली ईमेल संदेशों का पता लगाने और ब्लॉक करने के लिए स्वचालित, तकनीकी जांच की जा सकती है या की जानी चाहिए। पहला एसएमटीपी लिफाफा स्तर पर है और दूसरा संदेश शीर्षलेख स्तर पर है। एसपीएफ़ एसएमटीपी लिफाफा स्तर पर चेक प्रदान करता है, और बाद में एंटी-जालसाजी और संदेश प्रमाणीकरण प्रोटोकॉल डीकेआईएम और DMARC संदेश शीर्षलेख स्तर पर चेक प्रदान करें। 

क्या एसपीएफ़ काम करता है? 

एक के अनुसार अध्ययन 2022 में प्रकाशित, जांचे गए 32 बिलियन डोमेन में से लगभग 1.5% के पास SPF रिकॉर्ड थे। इनमें से 7.7% के पास अमान्य सिंटैक्स था और 1% पदावनत PTR रिकॉर्ड का उपयोग कर रहे थे, जो IP पते को डोमेन नामों की ओर इंगित करता है। एसपीएफ़ का उठाव वास्तव में धीमा और त्रुटिपूर्ण रहा है, जो एक और प्रश्न को जन्म दे सकता है: कितने डोमेन में अत्यधिक अनुमेय एसपीएफ़ रिकॉर्ड हैं?  

हाल के शोध में पाया गया कि अकेले ऑस्ट्रेलिया में 264 संगठनों के पास अपने एसपीएफ़ रिकॉर्ड में शोषक आईपी पते थे और इसलिए अनजाने में बड़े पैमाने पर स्पैम और फ़िशिंग अभियानों के लिए मंच तैयार कर सकते थे। उस शोध से संबंधित नहीं होने पर, हाल ही में मेरे पास संभावित खतरनाक ईमेल के साथ मेरा अपना ब्रश था जिसने गलत एसपीएफ़ रिकॉर्ड का लाभ उठाया। 

मेरे इनबॉक्स में नकली ईमेल 

हाल ही में, मुझे एक ईमेल प्राप्त हुआ जिसमें दावा किया गया कि यह फ्रांसीसी बीमा कंपनी प्रूडेंस Cr . की ओर से हैéओले, लेकिन सब कुछ था स्पैम की पहचान और स्पूफिंग: 

 कैसे एक नकली ईमेल ने SPF चेक पास किया और मेरे इनबॉक्स प्लेटोब्लॉकचैन डेटा इंटेलिजेंस में पहुंचा। लंबवत खोज। ऐ.

जबकि मुझे पता है कि ईमेल के प्रेषक: पता संदेश शीर्षलेख को गढ़ना तुच्छ है, मेरी जिज्ञासा तब जगी जब मैंने पूर्ण ईमेल शीर्षलेखों का निरीक्षण किया और पाया कि एसएमटीपी लिफाफा में डोमेन मेल से: पता answer@prudencecreole.com SPF चेक पास किया था: 

कैसे एक नकली ईमेल ने SPF चेक पास किया और मेरे इनबॉक्स प्लेटोब्लॉकचैन डेटा इंटेलिजेंस में पहुंचा। लंबवत खोज। ऐ.

इसलिए मैंने डोमेन का SPF रिकॉर्ड देखा prudencecreole.com: 

कैसे एक नकली ईमेल ने SPF चेक पास किया और मेरे इनबॉक्स प्लेटोब्लॉकचैन डेटा इंटेलिजेंस में पहुंचा। लंबवत खोज। ऐ.

यह IPv4 पतों का एक बड़ा ब्लॉक है! 178.33.104.0/2 IPv25 पता स्थान का 4% शामिल है, से लेकर 128.0.0.0 सेवा मेरे 191.255.255.255. प्रूडेंस क्रियोल के डोमेन नाम के लिए एक अरब से अधिक आईपी पते स्वीकृत प्रेषक हैं - एक स्पैमर का स्वर्ग। 

बस यह सुनिश्चित करने के लिए कि मैं खुद से मजाक नहीं कर रहा था, मैंने घर पर एक ईमेल सर्वर स्थापित किया, मेरे इंटरनेट सेवा प्रदाता द्वारा एक यादृच्छिक, लेकिन योग्य, आईपी पता सौंपा गया, और खुद को एक ईमेल स्पूफिंग भेजा। prudencecreole.com:  कैसे एक नकली ईमेल ने SPF चेक पास किया और मेरे इनबॉक्स प्लेटोब्लॉकचैन डेटा इंटेलिजेंस में पहुंचा। लंबवत खोज। ऐ.

सफलता! 

इसे सबसे ऊपर करने के लिए, मैंने अपने इनबॉक्स में एक अन्य स्पैम ईमेल से एक डोमेन के एसपीएफ़ रिकॉर्ड की जांच की जो स्पूफिंग था Wildvoyager.com: 

कैसे एक नकली ईमेल ने SPF चेक पास किया और मेरे इनबॉक्स प्लेटोब्लॉकचैन डेटा इंटेलिजेंस में पहुंचा। लंबवत खोज। ऐ.

लो और निहारना, 0.0.0.0/0 ब्लॉक पूरे IPv4 एड्रेस स्पेस को वाइल्ड वोयाजर के रूप में प्रस्तुत करते हुए SPF चेक पास करने की अनुमति देता है, जिसमें चार बिलियन से अधिक पते शामिल हैं। 

इस प्रयोग के बाद, मैंने प्रूडेंस Cr . को सूचित कियाéओले और वाइल्ड वोयाजर को उनके गलत एसपीएफ़ रिकॉर्ड के बारे में बताया। प्रूडेंस Créओले ने इस लेख के प्रकाशन से पहले अपने एसपीएफ़ रिकॉर्ड को अपडेट किया। 

प्रतिबिंब और सबक सीखा 

अपने डोमेन के लिए SPF रिकॉर्ड बनाना स्पैमर्स के स्पूफिंग प्रयासों के खिलाफ कोई मौत का आघात नहीं है। हालांकि, अगर सुरक्षित रूप से कॉन्फ़िगर किया गया है, तो एसपीएफ़ का उपयोग मेरे इनबॉक्स में आने वाले कई प्रयासों को विफल कर सकता है। शायद एसपीएफ़ के तत्काल, व्यापक उपयोग और सख्त आवेदन के रास्ते में खड़ी सबसे महत्वपूर्ण बाधा ईमेल सुपुर्दगी है। एसपीएफ़ गेम खेलने में दो लगते हैं क्योंकि प्रेषक और प्राप्तकर्ता दोनों को अपनी ईमेल सुरक्षा नीतियों में सामंजस्य स्थापित करने की आवश्यकता होती है, यदि दोनों पक्षों द्वारा नियोजित अत्यधिक कठोर नियमों के कारण ईमेल वितरित करने में विफल हो जाते हैं। 

हालांकि, आपके डोमेन को धोखा देने वाले स्पैमर्स से संभावित जोखिमों और क्षति को ध्यान में रखते हुए, निम्नलिखित सलाह को उपयुक्त के रूप में लागू किया जा सकता है: 

  • अपनी सभी HELO/EHLO पहचानों के लिए एक SPF रिकॉर्ड बनाएं, यदि कोई SPF सत्यापनकर्ता निम्नलिखित का पालन कर रहा है आरएफसी 7208 में सिफारिश इन्हें जांचने के लिए 
  • का उपयोग करना बेहतर है better सब के साथ तंत्र "-" or "~" क्वालिफायर के बजाय "?" क्वालीफायर, बाद वाले के रूप में प्रभावी रूप से किसी को भी आपके डोमेन को धोखा देने की अनुमति देता है 
  • "सब कुछ छोड़ दें" नियम सेट करें (v=spf1 -सभी) आपके स्वामित्व वाले प्रत्येक डोमेन और उप डोमेन के लिए जो कभी भी (इंटरनेट-रूटेड) ईमेल उत्पन्न नहीं करना चाहिए या HELO/EHLO या MAIL FROM के डोमेन नाम भाग में प्रकट नहीं होना चाहिए: कमांड 
  • एक दिशानिर्देश के रूप में, सुनिश्चित करें कि आपके एसपीएफ़ रिकॉर्ड छोटे हैं, अधिमानतः 512 बाइट्स तक, कुछ एसपीएफ़ सत्यापनकर्ताओं द्वारा उन्हें चुपचाप अनदेखा करने से रोकने के लिए 
  • सुनिश्चित करें कि आप अपने SPF रिकॉर्ड में IP पतों के केवल एक सीमित और विश्वसनीय सेट को अधिकृत करते हैं 

ईमेल भेजने के लिए एसएमटीपी के व्यापक उपयोग ने एक आईटी संस्कृति का निर्माण किया है जो ईमेल को सुरक्षित और गोपनीयता के बजाय विश्वसनीय और कुशलता से स्थानांतरित करने पर केंद्रित है। सुरक्षा-केंद्रित संस्कृति में पुन: समायोजन एक धीमी प्रक्रिया हो सकती है, लेकिन एक जिसे इंटरनेट के एक दोष के खिलाफ स्पष्ट लाभांश अर्जित करने के मद्देनजर किया जाना चाहिए - स्पैम। 

समय टिकट:

से अधिक हम सुरक्षा जीते हैं