Làm thế nào một email giả mạo đã vượt qua kiểm tra SPF và đến hộp thư đến của tôi

Hai mươi năm trước, Paul Vixie đã xuất bản Yêu cầu nhận xét về Từ chối MAIL FROM điều đó đã giúp thúc đẩy cộng đồng internet phát triển một cách mới để chống lại thư rác với Khung chính sách người gửi (SPF). Vấn đề sau đó, như bây giờ, là Giao thức chuyển thư đơn giản (SMTP), được sử dụng để gửi email trên internet, không cung cấp cách nào để phát hiện miền người gửi giả mạo.  

Tuy nhiên, khi sử dụng SPF, chủ sở hữu miền có thể xuất bản bản ghi hệ thống tên miền (DNS) xác định địa chỉ IP được phép sử dụng tên miền của họ để gửi email. Ở đầu nhận, máy chủ email có thể truy vấn các bản ghi SPF của rõ ràng miền người gửi để kiểm tra xem địa chỉ IP của người gửi có được ủy quyền để gửi email thay mặt cho miền đó hay không. 

Tổng quan về email SMTP và SPF 

Độc giả quen thuộc với cơ chế gửi tin nhắn SMTP và cách SPF tương tác với chúng có thể muốn bỏ qua phần này, mặc dù nó rất ngắn. 

Hãy tưởng tượng rằng Alice ở example.com muốn gửi một email cho Bob tại ví dụ.org. Nếu không có SPF, máy chủ email của Alice và Bob sẽ tham gia vào một cuộc hội thoại SMTP giống như sau, được đơn giản hóa bằng cách sử dụng HELO thay vì EHLO, nhưng không theo những cách làm thay đổi đáng kể các cấu trúc cơ bản: 

Đây là cách gửi và nhận email qua internet (SMTP) đã xảy ra kể từ những 1980 đầu tiên, nhưng nó có - ít nhất là theo tiêu chuẩn của internet ngày nay - là một vấn đề lớn. Trong sơ đồ trên, Chad tại ví dụ.net có thể dễ dàng kết nối với ví dụ.org Máy chủ SMTP, tham gia vào cùng một cuộc trò chuyện SMTP và có một thông báo email dường như từ Alice tại example.com giao cho Bob lúc ví dụ.org. Tệ hơn nữa, sẽ không có gì chỉ ra sự lừa dối đối với Bob, ngoại trừ có lẽ các địa chỉ IP được ghi cùng với tên máy chủ trong tiêu đề thư chẩn đoán (không hiển thị ở đây), nhưng những người không phải chuyên gia này không dễ dàng kiểm tra và tùy thuộc vào ứng dụng ứng dụng email khách của bạn , thường khó truy cập. 

Mặc dù không bị lạm dụng trong những ngày đầu của thư rác email, vì việc gửi thư rác hàng loạt đã trở thành một mô hình kinh doanh được thiết lập, mặc dù đáng bị coi thường, nhưng các kỹ thuật giả mạo email như vậy đã được áp dụng rộng rãi để cải thiện cơ hội đọc và thậm chí xử lý thư rác. 

Quay lại Chad giả định tại ví dụ.net gửi tin nhắn đó “từ” Alice… Điều đó sẽ liên quan đến hai cấp độ mạo danh (hoặc giả mạo) trong đó nhiều người hiện cảm thấy rằng các kiểm tra kỹ thuật, tự động có thể hoặc nên được thực hiện để phát hiện và chặn các email giả mạo như vậy. Đầu tiên là ở cấp phong bì SMTP và thứ hai ở cấp tiêu đề thư. SPF cung cấp các kiểm tra ở cấp độ phong bì SMTP và các giao thức xác thực tin nhắn và chống giả mạo sau này phần mở rộng dkim và DMARC cung cấp kiểm tra ở cấp tiêu đề thư. 

SPF có hoạt động không? 

Theo một nghiên cứu được xuất bản vào năm 2022, khoảng 32% trong số 1.5 tỷ tên miền được điều tra có bản ghi SPF. Trong số này, 7.7% có cú pháp không hợp lệ và 1% đang sử dụng bản ghi PTR không được dùng nữa, trỏ địa chỉ IP đến tên miền. Việc sử dụng SPF thực sự rất chậm và thiếu sót, điều này có thể dẫn đến một câu hỏi khác: có bao nhiêu tên miền có bản ghi SPF quá mức cho phép?  

Nghiên cứu gần đây được tìm thấy rằng chỉ riêng 264 tổ chức ở Úc đã có địa chỉ IP có thể khai thác được trong hồ sơ SPF của họ và do đó có thể vô tình tạo tiền đề cho các chiến dịch spam và lừa đảo quy mô lớn. Mặc dù không liên quan đến những gì nghiên cứu đã tìm thấy, nhưng gần đây tôi đã có bàn chải của riêng mình với các email tiềm ẩn nguy hiểm lợi dụng các bản ghi SPF bị định cấu hình sai. 

Email giả mạo trong hộp thư đến của tôi 

Gần đây, tôi nhận được một email được cho là từ công ty bảo hiểm Pháp Prudence Créole, nhưng có tất cả dấu hiệu của thư rác và giả mạo: 

 

Mặc dù tôi biết rằng việc giả mạo tiêu đề thư Từ: địa chỉ của một email là không đáng kể, nhưng sự tò mò của tôi đã được khơi dậy khi tôi kiểm tra các tiêu đề email đầy đủ và nhận thấy rằng miền trong phong bì SMTP MAIL FROM: address reply@prudencecreole.com đã vượt qua kiểm tra SPF: 

Vì vậy, tôi đã tra cứu bản ghi SPF của miền pruncecreole.com: 

Đó là một khối lớn địa chỉ IPv4! 178.33.104.0/2 chứa 25% không gian địa chỉ IPv4, từ 128.0.0.0 đến 191.255.255.255. Hơn một tỷ địa chỉ IP là những người gửi được chấp thuận cho tên miền của Prudence Creole - thiên đường của những kẻ gửi thư rác. 

Để đảm bảo rằng bản thân không đùa, tôi đã thiết lập một máy chủ email tại nhà, được nhà cung cấp dịch vụ internet chỉ định một địa chỉ IP ngẫu nhiên nhưng đủ điều kiện và tự gửi cho mình một email giả mạo pruncecreole.com:  

Thành công! 

Trên hết, tôi đã kiểm tra bản ghi SPF của một miền từ một email spam khác trong hộp thư đến của tôi là giả mạo hoang dã.com: 

Lo và kìa, 0.0.0.0/0 khối cho phép toàn bộ không gian địa chỉ IPv4, bao gồm hơn bốn tỷ địa chỉ, vượt qua kiểm tra SPF trong khi đóng giả là Wild Voyager. 

Sau thử nghiệm này, tôi đã thông báo cho Prudence Créole và Wild Voyager về bản ghi SPF bị định cấu hình sai của họ. Prudence Créole đã cập nhật hồ sơ SPF của họ trước khi xuất bản bài báo này. 

Suy ngẫm và bài học kinh nghiệm 

Tạo bản ghi SPF cho tên miền của bạn không phải là một cái chết chống lại những nỗ lực giả mạo của những kẻ gửi thư rác. Tuy nhiên, nếu được định cấu hình an toàn, việc sử dụng SPF có thể làm nản lòng nhiều lần thử như những người đến hộp thư đến của tôi. Có lẽ rào cản quan trọng nhất đối với việc sử dụng ngay lập tức, rộng rãi hơn và áp dụng SPF chặt chẽ hơn là khả năng gửi email. Chơi trò chơi SPF phải mất hai lần vì cả người gửi và người nhận cần phải hài hòa chính sách bảo mật email của họ trong trường hợp email không được gửi do các quy tắc quá khắt khe được áp dụng bởi một trong hai bên. 

Tuy nhiên, xem xét những rủi ro tiềm ẩn và thiệt hại do những kẻ gửi thư rác giả mạo miền của bạn, có thể áp dụng lời khuyên sau đây khi thích hợp: 

• Tạo bản ghi SPF cho tất cả danh tính HELO / EHLO của bạn trong trường hợp bất kỳ người xác minh SPF nào đang theo dõi khuyến nghị trong RFC 7208 để kiểm tra những 
• Tốt hơn là sử dụng tất cả các cơ chế với "–" or "~" vòng loại hơn là "?" vòng loại, như sau cho phép bất kỳ ai giả mạo miền của bạn một cách hiệu quả 
• Thiết lập quy tắc "bỏ mọi thứ" (v = spf1 -all) cho mỗi miền và miền phụ mà bạn sở hữu không bao giờ được tạo email (được định tuyến trên internet) hoặc xuất hiện trong phần tên miền của lệnh HELO / EHLO hoặc MAIL FROM: 

• Theo nguyên tắc, hãy đảm bảo rằng bản ghi SPF của bạn nhỏ, tốt nhất là tối đa 512 byte, để ngăn chúng bị một số trình xác minh SPF âm thầm bỏ qua 
• Đảm bảo bạn chỉ ủy quyền một tập hợp địa chỉ IP giới hạn và đáng tin cậy trong bản ghi SPF của mình 

Việc sử dụng rộng rãi SMTP để gửi email đã tạo ra một nền văn hóa CNTT tập trung vào việc chuyển email một cách đáng tin cậy và hiệu quả, thay vì bảo mật và riêng tư. Điều chỉnh cho phù hợp với một nền văn hóa tập trung vào bảo mật có thể là một quá trình chậm, nhưng một quá trình cần được thực hiện để kiếm được lợi tức rõ ràng trước một trong những điểm yếu của Internet - thư rác.