กรอบนโยบายผู้ส่งไม่สามารถช่วยป้องกันสแปมและฟิชชิงได้ หากคุณอนุญาตให้ส่งที่อยู่ IP นับพันล้านเป็นโดเมนของคุณ
เมื่อยี่สิบปีที่แล้ว พอล วิคซี่ เผยแพร่คำขอความคิดเห็นบน ปฏิเสธจดหมายจาก ที่ช่วยกระตุ้นให้ชุมชนอินเทอร์เน็ตพัฒนาวิธีใหม่ในการต่อสู้กับสแปมด้วย กรอบนโยบายผู้ส่ง (เอสพีเอฟ). ประเด็นดังตอนนี้ก็คือว่า โปรโตคอลการถ่ายโอนจดหมายอย่างง่าย (SMTP) ซึ่งใช้ในการส่งอีเมลบนอินเทอร์เน็ต ไม่มีวิธีการตรวจหาโดเมนผู้ส่งปลอมแปลง
อย่างไรก็ตาม เมื่อใช้ SPF เจ้าของโดเมนสามารถเผยแพร่ระเบียนระบบชื่อโดเมน (DNS) ที่กำหนดที่อยู่ IP ที่ได้รับอนุญาตให้ใช้ชื่อโดเมนของตนในการส่งอีเมล ในฝั่งผู้รับ เซิร์ฟเวอร์อีเมลสามารถสอบถามระเบียน SPF ของ เห็นได้ชัด โดเมนผู้ส่งเพื่อตรวจสอบว่าที่อยู่ IP ของผู้ส่งได้รับอนุญาตให้ส่งอีเมลในนามของโดเมนนั้นหรือไม่
ภาพรวมอีเมล SMTP และ SPF
ผู้อ่านที่คุ้นเคยกับกลไกการส่งข้อความ SMTP และวิธีที่ SPF โต้ตอบกับพวกเขาอาจต้องการข้ามส่วนนี้ไปแม้ว่าจะสั้นก็ตาม
ลองนึกภาพว่าอลิซที่ example.com มีความประสงค์ที่จะส่งข้อความอีเมลถึงบ๊อบที่ ตัวอย่าง.org. หากไม่มี SPF เซิร์ฟเวอร์อีเมลของ Alice และ Bob จะมีส่วนร่วมในการสนทนา SMTP ดังต่อไปนี้ ซึ่งจะทำให้ง่ายขึ้นโดยใช้ HELO แทน EHLO แต่ไม่ใช่ในลักษณะที่เปลี่ยนแปลงโครงสร้างพื้นฐานอย่างมีนัยสำคัญ:
นี่เป็นวิธีการส่งและรับอีเมลทางอินเทอร์เน็ต (SMTP) ตั้งแต่ต้นปี 1980แต่ก็มี – อย่างน้อยก็ตามมาตรฐานของอินเทอร์เน็ตในปัจจุบัน – เป็นปัญหาสำคัญ ในแผนภาพด้านบน ชาดที่ ตัวอย่าง. สุทธิ สามารถเชื่อมต่อกับ ตัวอย่าง.org เซิร์ฟเวอร์ SMTP เข้าร่วมการสนทนา SMTP เดียวกันทุกประการ และมีข้อความอีเมลจากอลิซที่ example.com ส่งถึงบ๊อบที่ ตัวอย่าง.org. ยิ่งไปกว่านั้น จะไม่มีสิ่งใดบ่งชี้ว่า Bob หลอกลวง ยกเว้นที่อยู่ IP ที่บันทึกไว้ข้างชื่อโฮสต์ในส่วนหัวของข้อความวินิจฉัย (ไม่แสดงที่นี่) แต่สิ่งเหล่านี้ไม่ใช่เรื่องง่ายสำหรับผู้ที่ไม่ใช่ผู้เชี่ยวชาญในการตรวจสอบ และขึ้นอยู่กับแอปพลิเคชันอีเมลไคลเอ็นต์ของคุณ มักจะเข้าถึงได้ยาก
แม้ว่าจะไม่ถูกนำไปใช้ในทางที่ผิดในช่วงแรกๆ ของอีเมลสแปม แต่เมื่อการสแปมจำนวนมากกลายเป็นรูปแบบธุรกิจที่เป็นที่ยอมรับ แม้ว่าจะได้รับการดูถูกเหยียดหยามก็ตาม เทคนิคการปลอมแปลงอีเมลดังกล่าวถูกนำมาใช้อย่างแพร่หลายเพื่อปรับปรุงโอกาสที่ข้อความสแปมจะถูกอ่านและแม้แต่ดำเนินการ
กลับไปสมมุติชาดกที่ ตัวอย่าง. สุทธิ การส่งข้อความนั้น “จาก” อลิซ… นั่นจะเกี่ยวข้องกับการเลียนแบบ (หรือการปลอมแปลง) สองระดับ ซึ่งผู้คนจำนวนมากรู้สึกว่าการตรวจสอบทางเทคนิคโดยอัตโนมัติสามารถทำได้หรือควรทำเพื่อตรวจจับและบล็อกข้อความอีเมลปลอมดังกล่าว อันแรกอยู่ที่ระดับซองจดหมาย SMTP และอันที่สองอยู่ที่ระดับส่วนหัวของข้อความ SPF ให้การตรวจสอบที่ระดับซองจดหมาย SMTP และโปรโตคอลต่อต้านการปลอมแปลงและการตรวจสอบข้อความในภายหลัง ดีเคไอเอ็ม และ ดีมาร์ค ให้ตรวจสอบที่ระดับส่วนหัวของข้อความ
SPF ทำงานหรือไม่?
ตามที่กล่าวมา ศึกษา เผยแพร่ในปี 2022 ประมาณ 32% ของโดเมน 1.5 พันล้านโดเมนที่ตรวจสอบมีระเบียน SPF ในจำนวนนี้ 7.7% มีไวยากรณ์ที่ไม่ถูกต้อง และ 1% ใช้ระเบียน PTR ที่เลิกใช้แล้ว ซึ่งชี้ที่อยู่ IP ไปยังชื่อโดเมน การยอมรับ SPF นั้นช้าและมีข้อบกพร่อง ซึ่งอาจนำไปสู่คำถามอื่น: มีกี่โดเมนที่มีระเบียน SPF ที่อนุญาตมากเกินไป
พบงานวิจัยล่าสุด ว่าองค์กร 264 แห่งในออสเตรเลียเพียงแห่งเดียวมีที่อยู่ IP ที่ใช้ประโยชน์ได้ในบันทึก SPF ของตน และอาจสร้างเวทีสำหรับแคมเปญสแปมและฟิชชิงขนาดใหญ่โดยไม่ได้ตั้งใจ แม้ว่าจะไม่เกี่ยวข้องกับสิ่งที่การวิจัยค้นพบ แต่เมื่อเร็ว ๆ นี้ฉันมีอีเมลที่อาจเป็นอันตรายซึ่งใช้ประโยชน์จากระเบียน SPF ที่กำหนดค่าไม่ถูกต้อง
อีเมลปลอมในกล่องจดหมายของฉัน
เมื่อเร็ว ๆ นี้ ฉันได้รับอีเมลที่อ้างว่ามาจากบริษัทประกันภัยของฝรั่งเศส Prudence Créole แต่มีทั้งหมด จุดเด่นของสแปม และการปลอมแปลง:
แม้ว่าฉันรู้ว่าการปลอมส่วนหัวของข้อความจาก: ที่อยู่ของอีเมลเป็นเรื่องเล็กน้อย แต่ความอยากรู้อยากเห็นของฉันก็เกิดขึ้นเมื่อฉันตรวจสอบส่วนหัวของอีเมลแบบเต็มและพบว่าโดเมนในซองจดหมาย SMTP MAIL FROM: ที่อยู่ ตอบกลับ@prudencecreale.com ผ่านการตรวจสอบค่า SPF แล้ว:
ดังนั้นฉันจึงค้นหาระเบียน SPF ของโดเมน prudencecreale.com:
นั่นเป็นบล็อกที่อยู่ IPv4 ขนาดใหญ่! 178.33.104.0/2 มี 25% ของพื้นที่ที่อยู่ IPv4 ตั้งแต่ 128.0.0.0 ไปยัง 191.255.255.255. ที่อยู่ IP กว่าพันล้านรายการเป็นผู้ส่งที่ได้รับอนุมัติสำหรับชื่อโดเมนของ Prudence Creole ซึ่งเป็นสวรรค์ของนักส่งสแปม
เพื่อให้แน่ใจว่าฉันไม่ได้ล้อเล่น ฉันตั้งค่าเซิร์ฟเวอร์อีเมลที่บ้าน ได้รับที่อยู่ IP แบบสุ่มแต่มีสิทธิ์จากผู้ให้บริการอินเทอร์เน็ตของฉัน และส่งอีเมลปลอมแปลงให้ตัวเอง prudencecreale.com:
ที่ประสบความสำเร็จ!
ยิ่งไปกว่านั้น ฉันได้ตรวจสอบระเบียน SPF ของโดเมนจากอีเมลสแปมอื่นในกล่องจดหมายของฉันที่ปลอมแปลง wildvoyager.คอม:
ดูเถิด 0.0.0.0/0 บล็อกช่วยให้พื้นที่ที่อยู่ IPv4 ทั้งหมด ซึ่งประกอบด้วยที่อยู่มากกว่าสี่พันล้านแห่ง ผ่านการตรวจสอบ SPF ในขณะที่สวมรอยเป็น Wild Voyager
หลังจากการทดลองนี้ ฉันแจ้ง Prudence Créole และ Wild Voyager เกี่ยวกับระเบียน SPF ที่กำหนดค่าไม่ถูกต้อง ความรอบคอบ Créole อัปเดตระเบียน SPF ก่อนเผยแพร่บทความนี้
ภาพสะท้อนและบทเรียนที่ได้รับ
การสร้างระเบียน SPF สำหรับโดเมนของคุณนั้นไม่ใช่จุดจบของความพยายามในการปลอมแปลงของผู้ส่งสแปม อย่างไรก็ตาม หากกำหนดค่าไว้อย่างปลอดภัย การใช้ SPF อาจทำให้ความพยายามหลายครั้ง เช่น ที่เข้ามาในอินบ็อกซ์ของฉันไม่สำเร็จ บางทีอุปสรรค์ที่สำคัญที่สุดที่ขวางกั้นการใช้งานทันที ในวงกว้างขึ้น และการใช้ SPF ที่เข้มงวดขึ้นก็คือความสามารถในการส่งอีเมล การเล่นเกม SPF ต้องใช้เวลาสองเกม เนื่องจากทั้งผู้ส่งและผู้รับจำเป็นต้องประสานนโยบายการรักษาความปลอดภัยของอีเมลในกรณีที่อีเมลไม่สามารถส่งได้เนื่องจากกฎที่เข้มงวดเกินไปที่ฝ่ายใดฝ่ายหนึ่งใช้
อย่างไรก็ตาม เมื่อพิจารณาถึงความเสี่ยงและความเสียหายที่อาจเกิดขึ้นจากนักส่งสแปมที่ปลอมแปลงโดเมนของคุณ คำแนะนำต่อไปนี้สามารถใช้ได้ตามความเหมาะสม:
- สร้างบันทึก SPF สำหรับข้อมูลประจำตัว HELO/EHLO ทั้งหมดของคุณ ในกรณีที่ผู้ตรวจสอบ SPF ใดๆ ปฏิบัติตาม คำแนะนำใน RFC 7208 เพื่อตรวจสอบสิ่งเหล่านี้
- จะดีกว่าที่จะใช้ ทั้งหมด ด้วยกลไกล "-" or "~" รอบคัดเลือกมากกว่า "?" รอบคัดเลือกเป็นอย่างหลัง ช่วยให้ทุกคนสามารถปลอมแปลงโดเมนของคุณได้อย่างมีประสิทธิภาพ
- ตั้งค่ากฎ "ทิ้งทุกอย่าง" (v=spf1 -ทั้งหมด) สำหรับแต่ละโดเมนและโดเมนย่อยที่คุณเป็นเจ้าของ ซึ่งไม่ควรสร้างอีเมล (กำหนดเส้นทางอินเทอร์เน็ต) หรือปรากฏในส่วนชื่อโดเมนของคำสั่ง HELO/EHLO หรือ MAIL FROM:
- เพื่อเป็นแนวทาง ตรวจสอบให้แน่ใจว่าระเบียน SPF ของคุณมีขนาดเล็ก ควรมีขนาดไม่เกิน 512 ไบต์ เพื่อป้องกันไม่ให้ตัวตรวจสอบ SPF บางตัวเพิกเฉยโดยไม่ตั้งใจ
- ตรวจสอบว่าคุณอนุญาตเฉพาะชุดที่อยู่ IP ที่จำกัดและเชื่อถือได้ในระเบียน SPF ของคุณ
การใช้ SMTP เพื่อส่งอีเมลอย่างแพร่หลายได้สร้างวัฒนธรรมไอทีที่เน้นการถ่ายโอนอีเมลอย่างน่าเชื่อถือและมีประสิทธิภาพ มากกว่าความปลอดภัยและเป็นส่วนตัว การปรับใหม่ไปสู่วัฒนธรรมที่มุ่งเน้นการรักษาความปลอดภัยอาจเป็นกระบวนการที่ช้า แต่ควรดำเนินการโดยคำนึงถึงการได้รับเงินปันผลที่ชัดเจนจากหนึ่งในความเสียหายของอินเทอร์เน็ต ซึ่งก็คือสแปม
- blockchain
- เหรียญอัจฉริยะ
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- phish
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- เราอยู่การรักษาความปลอดภัย
- ความปลอดภัยของเว็บไซต์
- ลมทะเล