Как поддельное письмо прошло проверку SPF и попало в мой почтовый ящик

Двадцать лет назад, Пол Викси опубликовал запрос комментариев на Отказ от ПОЧТЫ ОТ которые помогли интернет-сообществу разработать новый способ борьбы со спамом с помощью Основы политики отправителя (СПФ). Проблема тогда, как и сейчас, заключалась в том, что Простой протокол пересылки почты (SMTP), который используется для отправки электронной почты в Интернете, не позволяет обнаруживать поддельные домены отправителя.  

Однако при использовании SPF владельцы доменов могут публиковать записи системы доменных имен (DNS), которые определяют IP-адреса, которым разрешено использовать их доменное имя для отправки электронной почты. На принимающей стороне сервер электронной почты может запросить записи SPF очевидный домен отправителя, чтобы проверить, авторизован ли IP-адрес отправителя для отправки электронной почты от имени этого домена. 

Электронная почта SMTP и обзор SPF 

Читатели, знакомые с механизмами отправки сообщений SMTP и тем, как с ними взаимодействует SPF, могут предпочесть пропустить этот раздел, хотя он, к счастью, короткий. 

Представьте, что Алиса в example.com хочет отправить сообщение электронной почты Бобу на пример.org. Без SPF почтовые серверы Алисы и Боба будут участвовать в SMTP-разговоре, подобном следующему, который упрощается с использованием HELO, а не EHLO, но не таким образом, чтобы существенно изменить основные конструкции: 

Вот как происходит отправка и получение электронной почты через Интернет (SMTP) начиная с ранних 1980, но у него есть — по крайней мере, по меркам сегодняшнего Интернета — серьезная проблема. На диаграмме выше Чад в пример.net можно было так же легко подключиться к пример.org SMTP-сервер, участвовать в точно таком же SMTP-разговоре и получить сообщение электронной почты, по-видимому, от Алисы по адресу example.com доставлено Бобу в пример.org. Что еще хуже, для Боба не было бы ничего, что указывало бы на обман, за исключением, возможно, IP-адресов, записанных вместе с именами хостов в заголовках диагностических сообщений (здесь не показано), но неспециалистам это нелегко проверить и, в зависимости от вашего почтового клиента, , часто трудно даже получить доступ. 

Несмотря на то, что в самые первые дни спама по электронной почте не злоупотребляли, поскольку массовый спам стал устоявшейся, хотя и заслуженно презираемой бизнес-моделью, такие методы подделки электронной почты получили широкое распространение, чтобы повысить шансы на то, что спам-сообщения будут прочитаны и даже приняты меры. 

Вернемся к гипотетическому Чаду в пример.net отправка этого сообщения «от» Алисы… Это будет включать два уровня олицетворения (или подделки), когда многие люди теперь считают, что автоматические технические проверки могут или должны быть выполнены для обнаружения и блокировки таких поддельных сообщений электронной почты. Первый находится на уровне конверта SMTP, а второй — на уровне заголовка сообщения. SPF обеспечивает проверки на уровне SMTP-конверта, а также более поздние протоколы защиты от подделки и проверки подлинности сообщений. DKIM и DMARC обеспечивать проверки на уровне заголовка сообщения. 

СПФ работает? 

Согласно одному Исследование опубликованный в 2022 году, около 32% из 1.5 миллиарда исследованных доменов имели записи SPF. Из них 7.7% имели неверный синтаксис, а 1% использовали устаревшую запись PTR, которая указывает IP-адреса на доменные имена. Внедрение SPF было медленным и действительно ошибочным, что может привести к другому вопросу: сколько доменов имеют чрезмерно разрешающие записи SPF?  

Недавнее исследование найдено что 264 организации только в Австралии имели в своих записях SPF IP-адреса, которые можно использовать для эксплуатации, и поэтому они могли невольно подготовить почву для крупномасштабных спамовых и фишинговых кампаний. Хотя это и не связано с тем, что было обнаружено в ходе этого исследования, недавно я столкнулся с потенциально опасными электронными письмами, в которых использовались неправильно настроенные записи SPF. 

Поддельное письмо в моем почтовом ящике 

Недавно я получил электронное письмо, якобы от французской страховой компании Prudence Cr.éоле, но имел все признаки спама и спуфинг: 

 

Хотя я знаю, что подделать заголовок сообщения электронной почты From: address тривиально, мое любопытство пробудилось, когда я просмотрел полные заголовки электронной почты и обнаружил, что домен в SMTP-конверте MAIL FROM: address ответ@prudencecreole.com прошли проверку SPF: 

Итак, я посмотрел запись SPF домена prudencecreole.com: 

Это огромный блок адресов IPv4! 178.33.104.0/2 содержит 25% адресного пространства IPv4, начиная от 128.0.0.0 в 191.255.255.255. Более миллиарда IP-адресов одобрены как отправители доменного имени Prudence Creole — рай для спамеров. 

Просто чтобы убедиться, что я не обманывал себя, я настроил дома почтовый сервер, мой интернет-провайдер назначил мне случайный, но подходящий IP-адрес, и отправил себе подделку электронной почты. prudencecreole.com:  

Успех! 

В довершение всего, я проверил запись SPF домена из другого письма со спамом в моем почтовом ящике, которое было спуфингом. wildvoyager.com: 

Вот и смотрите, 0.0.0.0/0 Блок позволяет всему адресному пространству IPv4, состоящему из более чем четырех миллиардов адресов, пройти проверку SPF, выдавая себя за Wild Voyager. 

После этого эксперимента я уведомил Пруденс Кр.éole и Wild Voyager о неправильно сконфигурированных записях SPF. Пруденс Крéole обновили свои записи SPF перед публикацией этой статьи. 

Размышления и извлеченные уроки 

Создание записи SPF для вашего домена не является смертельным ударом против попыток спуфинга спамеров. Однако при правильной настройке использование SPF может сорвать многие попытки, подобные тем, которые приходят в мой почтовый ящик. Возможно, самым значительным препятствием на пути к немедленному, более широкому использованию и более строгому применению SPF является доставляемость электронной почты. Чтобы играть в игру SPF, нужны двое, потому что и отправители, и получатели должны согласовать свои политики безопасности электронной почты на случай, если электронные письма не будут доставлены из-за чрезмерно строгих правил, применяемых какой-либо из сторон. 

Однако, принимая во внимание потенциальные риски и ущерб от спуфинга вашего домена спамерами, при необходимости можно применить следующий совет: 

• Создайте запись SPF для всех ваших удостоверений HELO/EHLO на случай, если какие-либо верификаторы SPF следуют рекомендация в RFC 7208 чтобы проверить это 
• Лучше использовать Найти механизм с – or ~ квалификаторы, а не ? квалификатор, как последний эффективно позволяет любому подделать ваш домен 
• Установите правило «бросить все» (v=spf1-все) для каждого принадлежащего вам домена и поддомена, которые никогда не должны генерировать электронную почту (пересылаемую через Интернет) или появляться в части доменного имени команд HELO/EHLO или MAIL FROM: 

• В качестве рекомендации убедитесь, что ваши записи SPF имеют небольшой размер, предпочтительно до 512 байт, чтобы предотвратить их молчаливое игнорирование некоторыми верификаторами SPF. 
• Убедитесь, что вы разрешаете только ограниченный и доверенный набор IP-адресов в своих записях SPF. 

Широкое использование SMTP для отправки электронной почты создало ИТ-культуру, ориентированную на надежную и эффективную передачу электронной почты, а не на безопасную и конфиденциальную. Адаптация к культуре, ориентированной на безопасность, может быть медленным процессом, но его следует предпринять, чтобы получить явные дивиденды от одной из бед Интернета — спама.