Hvordan en falsk e-post bestod SPF-kontrollen og havnet i innboksen min

Tjue år siden, Paul Vixie publiserte en forespørsel om kommentarer på Avviser MAIL FRA som bidro til å anspore nettsamfunnet til å utvikle en ny måte å bekjempe spam med Rammer for avsenderpolitikk (SPF). Problemet den gang, som nå, var at Enkel postoverføringsprotokoll (SMTP), som brukes til å sende e-post på internett, gir ingen mulighet til å oppdage forfalskede avsenderdomener.  

Men når du bruker SPF, kan domeneeiere publisere domenenavnsystem (DNS)-poster som definerer IP-adressene som er autorisert til å bruke domenenavnet deres for å sende e-post. På mottakersiden kan en e-postserver spørre etter SPF-postene til tilsynelatende avsenderdomene for å sjekke om avsenderens IP-adresse er autorisert til å sende e-post på vegne av det domenet. 

SMTP-e-post og SPF-oversikt 

Lesere som er kjent med mekanismer for sending av SMTP-meldinger og hvordan SPF samhandler med dem, foretrekker kanskje å hoppe over denne delen, selv om den er nådig kort. 

Tenk deg at Alice kl example.com ønsker å sende en e-postmelding til Bob på example.org. Uten SPF ville Alice og Bobs e-postservere engasjert seg i en SMTP-samtale noe sånt som følgende, som er forenklet ved å bruke HELO i stedet for EHLO, men ikke på måter som vesentlig endrer de grunnleggende konstruksjonene: 

Dette er hvordan sending og mottak av Internett (SMTP) e-post har skjedd siden de tidlige 1980ene, men det har – i hvert fall etter standardene til dagens internett – et stort problem. I diagrammet ovenfor, Tsjad kl eksempel.net kunne like gjerne koblet til example.org SMTP-server, delta i nøyaktig samme SMTP-samtale og få en e-postmelding tilsynelatende fra Alice kl. example.com levert til Bob kl example.org. Enda verre, det ville ikke være noe som tyder på bedraget til Bob, bortsett fra kanskje IP-adresser registrert sammen med vertsnavn i diagnostiske meldingshoder (ikke vist her), men disse er ikke enkle å sjekke for ikke-eksperter, og avhengig av e-postklientapplikasjonen din , er ofte vanskelig å få tilgang til. 

Selv om det ikke ble misbrukt i de aller første dagene av e-postspam, ettersom massespam ble en etablert, om enn fortjent foraktet, forretningsmodell, ble slike e-postforfalskningsteknikker bredt tatt i bruk for å forbedre sjansene for at spam-meldinger ble lest og til og med handlet. 

Tilbake til det hypotetiske Tsjad kl eksempel.net å sende den meldingen "fra" Alice... Det ville innebære to nivåer av etterligning (eller forfalskning) der mange mennesker nå føler at automatiserte, tekniske kontroller kan eller bør utføres for å oppdage og blokkere slike falske e-postmeldinger. Den første er på SMTP-konvoluttnivå og den andre på meldingshodenivå. SPF gir sjekker på SMTP-konvoluttnivå, og senere anti-forfalskning og meldingsautentiseringsprotokoller DKIM og DMARC gi sjekker på meldingshodenivå. 

Virker SPF? 

Ifølge en studere publisert i 2022, hadde rundt 32 % av de 1.5 milliarder domenene som ble undersøkt SPF-poster. Av disse hadde 7.7 % ugyldig syntaks og 1 % brukte den utdaterte PTR-posten, som peker IP-adresser til domenenavn. Opptak av SPF har faktisk vært sakte og feil, noe som kan føre til et annet spørsmål: hvor mange domener har altfor tillatende SPF-poster?  

Nyere forskning funnet at 264 organisasjoner i Australia alene hadde utnyttbare IP-adresser i sine SPF-poster, og dermed uforvarende kan sette scenen for store spam- og phishing-kampanjer. Selv om det ikke var relatert til det forskningen fant, hadde jeg nylig min egen børste med potensielt farlige e-poster som utnyttet feilkonfigurerte SPF-poster. 

Forfalsket e-post i innboksen min 

Nylig mottok jeg en e-post som hevdet å være fra det franske forsikringsselskapet Prudence Créole, men hadde alle kjennetegn på spam og forfalskning: 

 

Selv om jeg vet at det er trivielt å forfalske meldingshodet fra:-adresse i en e-post, ble nysgjerrigheten min vekket da jeg inspiserte de fullstendige e-posthodene og fant ut at domenet i SMTP-konvolutten MAIL FRA:-adresse reply@prudencecreole.com hadde bestått SPF-kontrollen: 

Så jeg slo opp SPF-posten for domenet prudencecreole.com: 

Det er en enorm blokk med IPv4-adresser! 178.33.104.0/2 inneholder 25 % av IPv4-adresseområdet, fra 128.0.0.0 til 191.255.255.255. Over en milliard IP-adresser er godkjente avsendere for Prudence Creoles domenenavn – en spammers paradis. 

Bare for å være sikker på at jeg ikke tullet med meg selv, satte jeg opp en e-postserver hjemme, ble tildelt en tilfeldig, men kvalifisert, IP-adresse av internettleverandøren min, og sendte meg selv en e-postforfalskning prudencecreole.com:  

Suksess! 

For å toppe det hele sjekket jeg SPF-posten til et domene fra en annen spam-e-post i innboksen min som forfalsket wildvoyager.com: 

Se og se, den 0.0.0.0/0 blokk lar hele IPv4-adresseområdet, bestående av over fire milliarder adresser, bestå SPF-kontrollen mens de utgir seg for å være Wild Voyager. 

Etter dette eksperimentet varslet jeg Prudence Créole og Wild Voyager om deres feilkonfigurerte SPF-poster. Prudence Créole oppdaterte SPF-postene sine før publiseringen av denne artikkelen. 

Refleksjoner og lærdom 

Å opprette en SPF-post for domenet ditt er ikke noe dødsfall mot spammeres forfalskningstiltak. Men hvis det er sikkert konfigurert, kan bruken av SPF frustrere mange forsøk som de som kommer til innboksen min. Det kanskje viktigste hinderet som står i veien for umiddelbar, bredere bruk og strengere anvendelse av SPF er levering av e-post. Det tar to for å spille SPF-spillet fordi både avsendere og mottakere må harmonisere e-postsikkerhetspolicyene i tilfelle e-poster ikke blir levert på grunn av altfor strenge regler brukt av begge sider. 

Med tanke på den potensielle risikoen og skaden fra spammere som forfalsker domenet ditt, kan imidlertid følgende råd brukes etter behov: 

• Opprett en SPF-post for alle HELO/EHLO-identitetene dine i tilfelle noen SPF-verifikatorer følger anbefaling i RFC 7208 å sjekke disse 
• Det er bedre å bruke alle mekanisme med "-" or "~" kvalifiseringer i stedet for "?" kvalifisering, som sistnevnte lar alle effektivt forfalske domenet ditt 
• Sett opp en "slipp alt"-regel (v=spf1 -alle) for hvert domene og underdomene du eier som aldri skal generere (internett-rutet) e-post eller vises i domenenavndelen av HELO/EHLO eller MAIL FROM:-kommandoene 

• Som en retningslinje, sørg for at SPF-postene dine er små, fortrinnsvis opptil 512 byte, for å forhindre at de ignoreres i det stille av noen SPF-verifikatorer 
• Sørg for at du kun godkjenner et begrenset og pålitelig sett med IP-adresser i SPF-postene dine 

Den utbredte bruken av SMTP for å sende e-post har skapt en IT-kultur fokusert på å overføre e-poster pålitelig og effektivt, i stedet for sikkert og med personvern. Å omstille seg til en sikkerhetsfokusert kultur kan være en langsom prosess, men en som bør gjennomføres med tanke på å tjene klare utbytter mot en av internetts ødeleggelser – spam.