Come un'e-mail contraffatta ha superato il controllo SPF ed è arrivata nella mia casella di posta

Venti anni fa, Paolo Vixie ha pubblicato una richiesta di commenti su Rifiuto POSTA DA che ha contribuito a spronare la comunità di Internet a sviluppare un nuovo modo di combattere lo spam con il Framework delle politiche del mittente (SPF). Il problema allora, come adesso, era che il Simple Mail Transfer Protocol (SMTP), utilizzato per inviare e-mail su Internet, non fornisce alcun modo per rilevare i domini dei mittenti contraffatti.  

Tuttavia, quando si utilizza SPF, i proprietari di dominio possono pubblicare record DNS (Domain Name System) che definiscono gli indirizzi IP autorizzati a utilizzare il proprio nome di dominio per l'invio di posta elettronica. Sul lato ricevente, un server di posta elettronica può interrogare i record SPF del apparente dominio del mittente per verificare se l'indirizzo IP del mittente è autorizzato a inviare e-mail per conto di quel dominio. 

Panoramica dell'e-mail SMTP e SPF 

I lettori che hanno familiarità con i meccanismi di invio di messaggi SMTP e come interagisce con SPF potrebbero preferire saltare questa sezione, sebbene sia misericordiosamente breve. 

Immagina che Alice a example.com desidera inviare un messaggio di posta elettronica a Bob all'indirizzo example.org. Senza SPF, i server di posta di Alice e Bob si impegnerebbero in una conversazione SMTP simile alla seguente, che è semplificata utilizzando HELO anziché EHLO, ma non in modi che alterano in modo significativo i costrutti di base: 

Ecco come è avvenuto l'invio e la ricezione di e-mail Internet (SMTP). dai primi 1980, ma ha, almeno per gli standard di Internet di oggi, un grosso problema. Nel diagramma sopra, Chad at esempio.net potrebbe altrettanto facilmente connettersi al example.org Server SMTP, impegnarsi esattamente nella stessa conversazione SMTP e ricevere un messaggio di posta elettronica apparentemente da Alice a example.com consegnato a Bob a example.org. Peggio ancora, non ci sarebbe nulla che indichi l'inganno a Bob, tranne forse gli indirizzi IP registrati insieme ai nomi host nelle intestazioni dei messaggi diagnostici (non mostrati qui), ma questi non sono facili da controllare per i non esperti e, a seconda dell'applicazione del client di posta elettronica , sono spesso difficili da raggiungere. 

Sebbene non siano state abusate nei primissimi giorni dello spam e-mail, poiché lo spamming di massa è diventato un modello di business consolidato, anche se meritatamente disprezzato, tali tecniche di falsificazione delle e-mail sono state ampiamente adottate per migliorare le possibilità che i messaggi di spam vengano letti e persino agiti. 

Torna all'ipotetico Ciad a esempio.net inviare quel messaggio "da" Alice... Ciò comporterebbe due livelli di rappresentazione (o contraffazione) in cui molte persone ora ritengono che possano o dovrebbero essere effettuati controlli tecnici automatizzati per rilevare e bloccare tali messaggi di posta elettronica falsi. Il primo è a livello di busta SMTP e il secondo a livello di intestazione del messaggio. SPF fornisce controlli a livello di busta SMTP e successivi protocolli anti-contraffazione e autenticazione dei messaggi DKIM ed DMARC fornire controlli a livello di intestazione del messaggio. 

SPF funziona? 

Secondo uno studio pubblicato nel 2022, circa il 32% degli 1.5 miliardi di domini esaminati aveva record SPF. Di questi, il 7.7% aveva una sintassi non valida e l'1% utilizzava il record PTR deprecato, che punta gli indirizzi IP ai nomi di dominio. L'assorbimento di SPF è stato davvero lento e imperfetto, il che potrebbe portare a un'altra domanda: quanti domini hanno record SPF eccessivamente permissivi?  

Ricerca recente trovata che 264 organizzazioni nella sola Australia avevano indirizzi IP sfruttabili nei loro record SPF e quindi potrebbero inconsapevolmente preparare il terreno per campagne di spam e phishing su larga scala. Sebbene non sia correlato a ciò che ha trovato quella ricerca, di recente ho avuto il mio parere su e-mail potenzialmente pericolose che sfruttavano record SPF configurati in modo errato. 

Email contraffatta nella mia casella di posta 

Di recente, ho ricevuto un'e-mail che affermava di provenire dalla compagnia di assicurazioni francese Prudence Créole, ma aveva tutto il segni distintivi dello spam e spoofing: 

 

Anche se so che falsificare l'intestazione del messaggio From: address di un'e-mail è banale, la mia curiosità è stata suscitata quando ho ispezionato le intestazioni complete dell'e-mail e ho scoperto che il dominio nella busta SMTP MAIL FROM: address answer@prudencecreole.com aveva superato il controllo SPF: 

Quindi ho cercato il record SPF del dominio prudenzacreole.com: 

Questo è un enorme blocco di indirizzi IPv4! 178.33.104.0/2 contiene il 25% dello spazio di indirizzi IPv4, che vanno da 128.0.0.0 a 191.255.255.255. Oltre un miliardo di indirizzi IP sono mittenti approvati per il nome di dominio di Prudence Creole, il paradiso degli spammer. 

Solo per essere sicuro di non prendermi in giro, ho impostato un server di posta elettronica a casa, mi è stato assegnato un indirizzo IP casuale, ma idoneo, dal mio provider di servizi Internet e mi sono inviato un'e-mail di spoofing prudenzacreole.com:  

Successo! 

Per finire, ho controllato il record SPF di un dominio da un'altra e-mail di spam nella mia casella di posta che stava spoofing wildvoyager.com: 

Ecco ed ecco, il 0.0.0.0/0 Il blocco consente all'intero spazio degli indirizzi IPv4, composto da oltre quattro miliardi di indirizzi, di superare il controllo SPF fingendosi Wild Voyager. 

Dopo questo esperimento, ho notificato a Prudence Créole e Wild Voyager sui loro record SPF configurati in modo errato. Prudenza Créole ha aggiornato i propri record SPF prima della pubblicazione di questo articolo. 

Riflessioni e lezioni apprese 

La creazione di un record SPF per il tuo dominio non è un colpo mortale contro gli sforzi di spoofing degli spammer. Tuttavia, se configurato in modo sicuro, l'uso di SPF può vanificare molti tentativi come quelli che arrivano nella mia casella di posta. Forse l'ostacolo più significativo che si frappone all'uso immediato e più ampio e all'applicazione più rigorosa di SPF è la consegna delle e-mail. Ci vogliono due persone per giocare al gioco SPF perché sia ​​i mittenti che i destinatari devono armonizzare le loro politiche di sicurezza delle e-mail nel caso in cui le e-mail non vengano consegnate a causa di regole eccessivamente rigorose impiegate da entrambe le parti. 

Tuttavia, considerando i potenziali rischi e danni causati dagli spammer che falsificano il tuo dominio, è possibile applicare i seguenti consigli a seconda dei casi: 

• Crea un record SPF per tutte le tue identità HELO/EHLO nel caso in cui eventuali verificatori SPF stiano seguendo il raccomandazione in RFC 7208 per controllare questi 
• È meglio usare il contro tutti i meccanismo con il "-" or "~" qualificazioni piuttosto che il "?" qualificatore, come quest'ultimo consente efficacemente a chiunque di falsificare il tuo dominio 
• Imposta una regola "elimina tutto" (v = spf1 -all) per ogni dominio e sottodominio che possiedi che non dovrebbe mai generare email (instradate su Internet) o apparire nella parte del nome di dominio dei comandi HELO/EHLO o MAIL FROM: 

• Come linea guida, assicurati che i tuoi record SPF siano piccoli, preferibilmente fino a 512 byte, per evitare che vengano ignorati silenziosamente da alcuni verificatori SPF 
• Assicurati di autorizzare solo un set limitato e affidabile di indirizzi IP nei tuoi record SPF 

L'uso diffuso di SMTP per inviare e-mail ha creato una cultura IT focalizzata sul trasferimento di e-mail in modo affidabile ed efficiente, piuttosto che sicuro e con privacy. Riadattarsi a una cultura incentrata sulla sicurezza può essere un processo lento, ma dovrebbe essere intrapreso in vista di guadagnare chiari dividendi contro uno dei flagelli di Internet: lo spam.