Kako je ponarejeno e-poštno sporočilo prestalo preverjanje SPF in pristalo v moji mapi »Prejeto«.

Pred dvajsetimi leti Paul Vixie objavila Prošnjo za komentarje o Zavračanje POŠTE OD ki je pomagal spodbuditi internetno skupnost, da je razvila nov način boja proti neželeni pošti z Okvir pošiljateljske politike (ZF). Težava takrat, tako kot danes, je bila, da Preprost protokol za prenos pošte (SMTP), ki se uporablja za pošiljanje e-pošte v internetu, ne omogoča odkrivanja ponarejenih domen pošiljatelja.  

Pri uporabi SPF pa lahko lastniki domen objavijo zapise sistema domenskih imen (DNS), ki določajo naslove IP, pooblaščene za uporabo njihovega imena domene za pošiljanje e-pošte. Na prejemni strani lahko e-poštni strežnik poizveduje po zapisih SPF za očitno domeno pošiljatelja, da preverite, ali je naslov IP pošiljatelja pooblaščen za pošiljanje e-pošte v imenu te domene. 

Pregled e-pošte SMTP in SPF 

Bralci, ki poznajo mehanizme za pošiljanje sporočil SMTP in kako SPF sodeluje z njimi, bodo morda raje preskočili ta razdelek, čeprav je na srečo kratek. 

Predstavljajte si, da je Alice pri example.com želi poslati e-poštno sporočilo Bobu na examples.org. Brez SPF bi Alice in Bobovi e-poštni strežniki sodelovali v pogovoru SMTP, podobnem naslednjemu, ki je poenostavljen z uporabo HELO namesto EHLO, vendar ne na načine, ki bistveno spremenijo osnovne konstrukcije: 

Tako je prišlo do pošiljanja in prejemanja internetne (SMTP) e-pošte od zgodnjih osemdesetih let, vendar ima – vsaj po standardih današnjega interneta – velik problem. V zgornjem diagramu je Čad pri example.net lahko prav tako preprosto povežete z examples.org Strežnik SMTP, sodelujte v popolnoma enakem pogovoru SMTP in prejmite e-poštno sporočilo, očitno od Alice na example.com dostavljeno Bobu ob examples.org. Še huje, Bobu ne bi bilo ničesar, kar bi kazalo na prevaro, razen morda naslovov IP, zabeleženih poleg imen gostiteljev v glavah diagnostičnih sporočil (tu ni prikazano), vendar jih nestrokovnjakom ni lahko preveriti in, odvisno od aplikacije vašega e-poštnega odjemalca , so pogosto težko dostopne. 

Čeprav v prvih dneh neželene e-pošte niso bile zlorabljene, ko je množično pošiljanje neželene e-pošte postalo uveljavljen, čeprav zasluženo preziran poslovni model, so bile takšne tehnike ponarejanja e-pošte široko sprejete, da bi izboljšale možnosti, da bi bila neželena sporočila prebrana in celo ukrepana. 

Nazaj k hipotetičnemu Čadu pri example.net pošiljanje tega sporočila "od" Alice ... To bi vključevalo dve ravni lažnega predstavljanja (ali ponarejanja), kjer mnogi ljudje zdaj menijo, da je mogoče ali bi bilo treba izvesti avtomatizirane tehnične preglede za odkrivanje in blokiranje takšnih lažnih e-poštnih sporočil. Prvi je na ravni ovojnice SMTP, drugi pa na ravni glave sporočila. SPF zagotavlja preverjanje na ravni ovojnice SMTP in pozneje protokole proti ponarejanju in preverjanju pristnosti sporočil razširitev dkim in DMARC zagotoviti preverjanja na ravni glave sporočila. 

Ali SPF deluje? 

Po enem študija objavljeno leta 2022, je približno 32 % od 1.5 milijarde raziskanih domen imelo zapise SPF. Od tega jih je 7.7 % imelo neveljavno sintakso in 1 % jih je uporabljalo zastarel zapis PTR, ki naslove IP usmerja na imena domen. Uvajanje SPF je bilo počasno in resnično pomanjkljivo, kar bi lahko vodilo do drugega vprašanja: koliko domen ima preveč permisivne zapise SPF?  

Nedavne raziskave so odkrile da je imelo 264 organizacij samo v Avstraliji v svojih zapisih SPF naslove IP, ki jih je mogoče izkoriščati, in bi tako lahko nehote postavilo temelje za obsežne kampanje neželene pošte in lažnega predstavljanja. Čeprav to ni povezano s tem, kar je ugotovila ta raziskava, sem pred kratkim imel svoj čopič s potencialno nevarnimi e-poštnimi sporočili, ki so izkoriščali napačno konfigurirane zapise SPF. 

Lažna e-pošta v moji mapi »Prejeto«. 

Pred kratkim sem prejel e-poštno sporočilo, ki naj bi ga poslala francoska zavarovalnica Prudence Créole, vendar je imel vse znaki neželene pošte in ponarejanje: 

 

Čeprav vem, da je ponarejanje glave sporočila From: naslov nepomembno, se je moja radovednost vzbudila, ko sem pregledal celotne glave e-pošte in ugotovil, da domena v ovojnici SMTP MAIL FROM: naslov reply@prudencecreole.com opravili preverjanje SPF: 

Zato sem poiskal SPF zapis domene prudencecreole.com: 

To je ogromen blok naslovov IPv4! 178.33.104.0/2 vsebuje 25 % naslovnega prostora IPv4, od 128.0.0.0 do 191.255.255.255. Več kot milijarda naslovov IP je odobrenih pošiljateljev za ime domene Prudence Creole – raj za pošiljatelje neželene pošte. 

Da se prepričam, da se ne šalim, sem doma nastavil e-poštni strežnik, moj ponudnik internetnih storitev mi je dodelil naključen, vendar primeren naslov IP, in si poslal lažno e-poštno sporočilo prudencecreole.com:  

Uspeh! 

Za piko na i sem preveril zapis SPF domene iz druge neželene e-pošte v mapi »Prejeto«, ki je lažno wildvoyager.com: 

Glej in glej 0.0.0.0/0 omogoča, da celoten naslovni prostor IPv4, sestavljen iz več kot štirih milijard naslovov, prestane preverjanje SPF, medtem ko se predstavlja kot Wild Voyager. 

Po tem poskusu sem obvestil Prudence Créole in Wild Voyager o njunih napačno konfiguriranih zapisih SPF. Preudarnost Kréole posodobili svoje zapise SPF pred objavo tega članka. 

Razmišljanja in pridobljene izkušnje 

Ustvarjanje zapisa SPF za vašo domeno ni smrtna kap proti lažnim pošiljateljem neželene pošte. Če pa je varno konfiguriran, lahko uporaba SPF onemogoči številne poskuse, kot so tisti, ki prispejo v mojo mapo »Prejeto«. Morda je najpomembnejša ovira, ki stoji na poti k takojšnji, širši uporabi in strožji uporabi SPF, dostavljivost elektronske pošte. Za igranje igre SPF sta potrebna dva, ker morajo tako pošiljatelji kot prejemniki uskladiti svojo varnostno politiko e-pošte, če e-poštna sporočila ne bodo dostavljena zaradi prestrogih pravil, ki jih uporablja katera koli stran. 

Glede na morebitna tveganja in škodo zaradi pošiljateljev neželene pošte, ki ponarejajo vašo domeno, pa lahko upoštevate naslednje nasvete: 

• Ustvarite zapis SPF za vse svoje identitete HELO/EHLO, če kateri koli preveritelj SPF sledi priporočilo v RFC 7208 da preverite te 
• Bolje je uporabiti vse mehanizem z "-" or "~" kvalifikacije in ne "?" kvalifikator, kot slednji učinkovito omogoča vsakomur, da ponaredi vašo domeno 
• Nastavite pravilo »izpusti vse« (v=spf1 -vse) za vsako domeno in poddomeno, ki jo imate, ki nikoli ne sme ustvarjati (internetno usmerjene) e-pošte ali se pojaviti v delu imena domene ukazov HELO/EHLO ali MAIL FROM: 

• Kot vodilo poskrbite, da bodo vaši zapisi SPF majhni, po možnosti do 512 bajtov, da preprečite, da bi jih nekateri preveritelji SPF tiho prezrli. 
• Prepričajte se, da ste v svojih zapisih SPF odobrili samo omejen in zaupanja vreden nabor naslovov IP 

Razširjena uporaba SMTP za pošiljanje e-pošte je ustvarila kulturo IT, osredotočeno na zanesljiv in učinkovit prenos e-pošte, ne pa varno in zasebno. Ponovna prilagoditev na kulturo, osredotočeno na varnost, je lahko počasen proces, vendar bi se ga bilo treba lotiti, da bi si prislužili očitne koristi pred eno od težav interneta – vsiljeno pošto.