Як підроблений електронний лист пройшов перевірку SPF і потрапив до моєї папки "Вхідні".

Двадцять років тому, Пол Віксі опублікував Запит на коментарі до Відмова від MAIL FROM що допомогло підштовхнути інтернет-спільноту до розробки нового способу боротьби зі спамом за допомогою Рамка політики щодо відправника (SPF). Проблема тоді, як і зараз, полягала в тому, що Простий протокол передачі пошти (SMTP), який використовується для надсилання електронної пошти в Інтернеті, не дозволяє виявити підроблені домени відправників.  

Однак, використовуючи SPF, власники доменів можуть публікувати записи системи доменних імен (DNS), які визначають IP-адреси, уповноважені використовувати їхнє доменне ім’я для надсилання електронної пошти. На одержувачі сервер електронної пошти може запитувати записи SPF здається домен відправника, щоб перевірити, чи IP-адреса відправника авторизована для надсилання електронної пошти від імені цього домену. 

Огляд електронної пошти SMTP і SPF 

Читачі, знайомі з механізмами надсилання повідомлень SMTP і взаємодією з ними SPF, можуть пропустити цей розділ, хоча він, на жаль, короткий. 

Уявіть, що Аліса в example.com бажає надіслати повідомлення електронної пошти Бобу за адресою example.org. Без SPF сервери електронної пошти Аліси та Боба брали б участь у SMTP-розмові приблизно на зразок наступного, яка спрощена за допомогою HELO, а не EHLO, але не таким чином, щоб істотно змінити основні конструкції: 

Ось як відбувалося надсилання та отримання електронної пошти через Інтернет (SMTP). з початку 1980-х років, але це має – принаймні за стандартами сучасного Інтернету – серйозну проблему. На діаграмі вище Чад на example.net міг так само легко підключитися до example.org Сервер SMTP, бере участь у такій самій розмові SMTP і отримує повідомлення електронної пошти, очевидно від Аліси на example.com доставлено Бобу о example.org. Що ще гірше, не було б нічого, що вказувало б на обман для Боба, за винятком, можливо, IP-адрес, записаних поряд з іменами хостів у заголовках діагностичних повідомлень (тут не показано), але це нелегко перевірити для неспеціалістів і, залежно від вашої клієнтської програми електронної пошти , часто навіть важкодоступні. 

Незважаючи на те, що на початку спаму електронною поштою не зловживали ним, оскільки масовий спам став усталеною, хоча й заслужено зневаженою бізнес-моделлю, такі методи підробки електронних листів були широко впроваджені, щоб підвищити шанси на те, що спам-повідомлення будуть прочитані та навіть оброблені. 

Повернемося до гіпотетичного Чаду в example.net надсилання цього повідомлення «від» Аліси… Це включатиме два рівні видавання себе за іншу особу (або підробки), де багато людей зараз вважають, що автоматизовані технічні перевірки можуть або повинні проводитися для виявлення та блокування таких підроблених повідомлень електронної пошти. Перший – на рівні конверта SMTP, а другий – на рівні заголовка повідомлення. SPF забезпечує перевірки на рівні конверта SMTP, а пізніше протоколи захисту від підробки та автентифікації повідомлень розширення dkim та Розширення DMARC забезпечити перевірки на рівні заголовка повідомлення. 

Чи працює SPF? 

За однією вчитися опублікований у 2022 році, близько 32% із 1.5 мільярдів досліджених доменів мали записи SPF. З них 7.7% мали недійсний синтаксис, а 1% використовували застарілий запис PTR, який вказує IP-адреси на доменні імена. Застосування SPF було повільним і справді з недоліками, що може призвести до іншого запитання: скільки доменів мають надто дозволені записи SPF?  

Недавні дослідження виявили що 264 організації лише в Австралії мали IP-адреси, придатні для використання, у своїх записах SPF, і тому мимоволі могли створити основу для широкомасштабних кампаній спаму та фішингу. Хоча це не пов’язано з результатами дослідження, нещодавно я мав власну щітку з потенційно небезпечними електронними листами, які використовували неправильно налаштовані записи SPF. 

Підроблений електронний лист у моїй папці "Вхідні". 

Нещодавно я отримав електронний лист, який нібито надійшов від французької страхової компанії Prudence Créole, але мав усе ознаки спаму і спуфінг: 

 

Хоча я знаю, що підробка заголовка електронного листа From: address є тривіальною, моя цікавість прокинулася, коли я перевірив повні заголовки електронної пошти та виявив, що домен у конверті SMTP MAIL FROM: адреса reply@prudencecreole.com пройшли перевірку SPF: 

Тому я знайшов запис SPF домену prudencecreole.com: 

Це величезний блок адрес IPv4! 178.33.104.0/2 містить 25% адресного простору IPv4, починаючи з 128.0.0.0 до 191.255.255.255. Понад мільярд IP-адрес є затвердженими відправниками для доменного імені Prudence Creole – раю для спамерів. 

Щоб переконатися, що я не обманюю себе, я налаштував сервер електронної пошти вдома, мій постачальник послуг Інтернету призначив мені випадкову, але придатну IP-адресу, і надіслав собі електронний лист для підробки prudencecreole.com:  

Успіх! 

На довершення всього я перевірив запис SPF домену з іншої спам-електронної пошти в моїй папці "Вхідні", яка була підробкою wildvoyager.com: 

Ось і ось, 0.0.0.0/0 дозволяє всьому адресному простору IPv4, що складається з понад чотирьох мільярдів адрес, проходити перевірку SPF, видаючи себе за Wild Voyager. 

Після цього експерименту я повідомив Prudence Créole і Wild Voyager про їхні неправильно налаштовані записи SPF. Пруденс Крéole оновили свої записи SPF перед публікацією цієї статті. 

Роздуми та отримані уроки 

Створення запису SPF для вашого домену не є смертельним ударом проти спроб спамерів спуфінгу. Однак, якщо безпечно налаштовано, використання SPF може зірвати багато спроб, подібних до тих, що надходять до моєї папки "Вхідні". Можливо, найсуттєвішою перешкодою, що стоїть на шляху негайного, більш широкого використання та суворішого застосування SPF, є можливість доставки електронної пошти. Щоб зіграти в SPF, потрібні двоє, оскільки і відправникам, і одержувачам необхідно узгодити свої політики безпеки електронної пошти на випадок, якщо електронні листи не можуть бути доставлені через надто суворі правила, які застосовуються обома сторонами. 

Однак, враховуючи потенційні ризики та шкоду від спамерів, які підмінюють ваш домен, можна застосувати наступні поради: 

• Створіть запис SPF для всіх ваших ідентифікацій HELO/EHLO, якщо будь-які верифікатори SPF дотримуються рекомендація в RFC 7208 щоб перевірити ці 
• Краще скористатися всі механізм з "-" or "~" кваліфікації, а не "?" кваліфікатор, як останній фактично дозволяє будь-кому підробити ваш домен 
• Налаштуйте правило «скинути все» (v=spf1 -все) для кожного домену та субдомену, якими ви володієте, які ніколи не повинні створювати (маршрутизовані через Інтернет) електронну пошту або з’являтися в частині імені домену команд HELO/EHLO або MAIL FROM: 

• Як правило, переконайтеся, що ваші записи SPF невеликі, бажано до 512 байт, щоб запобігти їх мовчазному ігноруванню деякими верифікаторами SPF 
• Переконайтеся, що ви авторизували лише обмежений і надійний набір IP-адрес у своїх записах SPF 

Широке використання SMTP для надсилання електронної пошти створило ІТ-культуру, зосереджену на надійній та ефективній передачі електронних листів, а не безпечній та конфіденційній. Переналагодження до культури, зосередженої на безпеці, може бути повільним процесом, але його слід здійснити з огляду на отримання явних дивідендів від однієї з бід Інтернету – спаму.