Het Sender Policy Framework kan niet helpen om spam en phishing te voorkomen als u toestaat dat miljarden IP-adressen als uw domein worden verzonden
Twintig jaar geleden, Paul Vixie heeft een verzoek om commentaar gepubliceerd op MAIL VAN afwijzen dat hielp de internetgemeenschap aan te sporen een nieuwe manier te ontwikkelen om spam te bestrijden met de Sender Policy Framework (SPF). Het probleem was toen, net als nu, dat de Eenvoudig Mail Transfer Protocol (SMTP), dat wordt gebruikt om e-mail op internet te verzenden, biedt geen manier om vervalste afzenderdomeinen te detecteren.
Bij gebruik van SPF kunnen domeineigenaren echter DNS-records (Domain Name System) publiceren die de IP-adressen definiรซren die geautoriseerd zijn om hun domeinnaam te gebruiken voor het verzenden van e-mail. Aan de ontvangende kant kan een e-mailserver de SPF-records van de schijnbaar afzenderdomein om te controleren of het IP-adres van de afzender gemachtigd is om namens dat domein e-mail te verzenden.
SMTP e-mail en SPF overzicht
Lezers die bekend zijn met de mechanismen voor het verzenden van SMTP-berichten en hoe SPF hiermee omgaat, kunnen dit gedeelte misschien liever overslaan, hoewel het gelukkig kort is.
Stel je voor dat Alice op... example.com wil een e-mailbericht sturen naar Bob op: example.org. Zonder SPF zouden de e-mailservers van Alice en Bob een SMTP-gesprek voeren als het volgende, wat vereenvoudigd is met HELO in plaats van EHLO, maar niet op een manier die de basisconstructies aanzienlijk verandert:
Dit is hoe het verzenden en ontvangen van internet (SMTP) e-mail is gebeurd sinds de vroege 1980s, maar het heeft - althans volgens de normen van het internet van vandaag - een groot probleem. In het bovenstaande diagram, Tsjaad op example.net kan net zo gemakkelijk verbinding maken met de example.org SMTP-server, voer precies hetzelfde SMTP-gesprek en ontvang een e-mailbericht blijkbaar van Alice op example.com afgeleverd bij Bob om example.org. Erger nog, er zou niets zijn dat de misleiding voor Bob aangeeft, behalve misschien IP-adressen die naast hostnamen zijn opgenomen in diagnostische berichtkoppen (hier niet weergegeven), maar deze zijn niet gemakkelijk voor niet-experts om te controleren en, afhankelijk van uw e-mailclienttoepassing , zijn vaak zelfs moeilijk toegankelijk.
Hoewel het in de allereerste dagen van e-mailspam niet werd misbruikt, toen massaal spammen een gevestigd, zij het terecht veracht bedrijfsmodel werd, werden dergelijke e-mailvervalsingstechnieken op grote schaal toegepast om de kans te vergroten dat spamberichten worden gelezen en zelfs opgevolgd.
Terug naar het hypothetische Tsjaad bij example.net dat bericht verzenden "van" Alice... Dat zou twee niveaus van imitatie (of vervalsing) met zich meebrengen, waarbij veel mensen nu denken dat geautomatiseerde, technische controles kunnen of moeten worden uitgevoerd om dergelijke vervalste e-mailberichten te detecteren en te blokkeren. De eerste is op het SMTP-envelopniveau en de tweede op het berichtkopniveau. SPF biedt controles op SMTP-envelopniveau en later anti-vervalsing- en berichtauthenticatieprotocollen DKIM en DMARC bieden controles op het niveau van de berichtkop.
Werkt SPF?
Volgens een studies gepubliceerd in 2022, had ongeveer 32% van de 1.5 miljard onderzochte domeinen SPF-records. Hiervan had 7.7% een ongeldige syntaxis en gebruikte 1% het verouderde PTR-record, dat IP-adressen naar domeinnamen verwijst. De acceptatie van SPF is inderdaad traag en gebrekkig geweest, wat kan leiden tot een andere vraag: hoeveel domeinen hebben te tolerante SPF-records?
Recent onderzoek gevonden dat alleen al 264 organisaties in Australiรซ exploiteerbare IP-adressen in hun SPF-records hadden en zo ongewild het toneel zouden kunnen vormen voor grootschalige spam- en phishing-campagnes. Hoewel niet gerelateerd aan wat dat onderzoek aantrof, had ik onlangs mijn eigen penseel met potentieel gevaarlijke e-mails die misbruik maakten van verkeerd geconfigureerde SPF-records.
Vervalste e-mail in mijn inbox
Onlangs ontving ik een e-mail die beweerde afkomstig te zijn van de Franse verzekeringsmaatschappij Prudence Crรฉole, maar had alle kenmerken van spam en spoofen:
Hoewel ik weet dat het vervalsen van de berichtkop Van: adres van een e-mail triviaal is, werd mijn nieuwsgierigheid gewekt toen ik de volledige e-mailheaders inspecteerde en ontdekte dat het domein in de SMTP-envelop MAIL FROM: adres antwoord@prudencecreole.com de SPF-controle had doorstaan:
Dus ik heb het SPF-record van het domein opgezocht prudentencecreole.com:
Dat is een enorm blok IPv4-adressen! 178.33.104.0/2 bevat 25% van de IPv4-adresruimte, variรซrend van 128.0.0.0 naar 191.255.255.255. Meer dan een miljard IP-adressen zijn goedgekeurde afzenders voor de domeinnaam van Prudence Creole - een paradijs voor spammers.
Om er zeker van te zijn dat ik mezelf niet voor de gek hield, heb ik thuis een e-mailserver opgezet, kreeg ik een willekeurig, maar in aanmerking komend IP-adres toegewezen door mijn internetprovider en stuurde ik mezelf een e-mailspoofing prudentencecreole.com: 
Succes!
Als klap op de vuurpijl controleerde ik het SPF-record van een domein van een andere spam-e-mail in mijn inbox die spoofing was wildvoyager. com:
Kijk, de 0.0.0.0/0 block zorgt ervoor dat de volledige IPv4-adresruimte, bestaande uit meer dan vier miljard adressen, de SPF-controle doorstaat terwijl hij zich voordoet als Wild Voyager.
Na dit experiment heb ik Prudence Cr . op de hoogte gebrachtรฉole en Wild Voyager over hun verkeerd geconfigureerde SPF-records. Prudence Crรฉole heeft hun SPF-records bijgewerkt vรณรณr de publicatie van dit artikel.
Reflecties en geleerde lessen
Het creรซren van een SPF-record voor uw domein is geen doodsteek voor de spoofingpogingen van spammers. Als het echter veilig is geconfigureerd, kan het gebruik van SPF veel pogingen frustreren, zoals die welke in mijn inbox aankomen. Misschien wel de belangrijkste hindernis die een onmiddellijk, breder gebruik en striktere toepassing van SPF in de weg staat, is de bezorgbaarheid van e-mail. Er zijn er twee nodig om het SPF-spel te spelen, omdat zowel afzenders als ontvangers hun e-mailbeveiligingsbeleid moeten harmoniseren voor het geval e-mails niet worden afgeleverd vanwege te strenge regels die door beide partijen worden gehanteerd.
Gezien de mogelijke risico's en schade van spammers die uw domein vervalsen, kan het volgende advies echter worden toegepast:
- Maak een SPF-record voor al uw HELO/EHLO-identiteiten voor het geval SPF-verificateurs de: aanbeveling in RFC 7208 om deze te controleren
- Het is beter om de allen mechanisme met de "-" or "~" kwalificaties in plaats van de "?" kwalificatie, als de laatste stelt iedereen in staat om uw domein te vervalsen
- Stel een regel "alles laten vallen" in (v=spf1 -alles) voor elk domein en subdomein dat u bezit en dat nooit (door internet gerouteerde) e-mail mag genereren of mag voorkomen in het domeinnaamgedeelte van de HELO/EHLO- of MAIL FROM:-opdrachten
- Zorg er als richtlijn voor dat uw SPF-records klein zijn, bij voorkeur maximaal 512 bytes, om te voorkomen dat ze stilzwijgend worden genegeerd door sommige SPF-verificateurs
- Zorg ervoor dat u slechts een beperkte en vertrouwde set IP-adressen autoriseert in uw SPF-records
Het wijdverbreide gebruik van SMTP om e-mail te verzenden heeft geleid tot een IT-cultuur die gericht is op het betrouwbaar en efficiรซnt overbrengen van e-mails, in plaats van veilig en met privacy. Het opnieuw aanpassen aan een op veiligheid gerichte cultuur is misschien een langzaam proces, maar het moet worden ondernomen om duidelijke voordelen te behalen tegen een van de plagen van internet: spam.
- blockchain
- vindingrijk
- cryptocurrency wallets
- cryptoexchange
- internetveiligheid
- cybercriminelen
- Cybersecurity
- Department of Homeland Security
- digitale portefeuilles
- firewall
- Kaspersky
- malware
- Mcafee
- NexBLOC
- phish
- Plato
- plato ai
- Plato gegevensintelligentie
- Plato-spel
- PlatoData
- platogamen
- VPN
- We leven veiligheid
- website veiligheid
- zephyrnet
