O spoofing de e-mail pode ser evitado?

49

A conta de e-mail da minha esposa foi invadida e o invasor recebeu o catálogo de endereços dela. Não sei se o ataque ocorreu em seu cliente de email local (Thunderbird em execução no Windows 7) ou no servidor (hospedado no GoDaddy). De qualquer maneira, os dados da lista de contatos estão disponíveis e não posso desfazer isso. Eu mudei todas as senhas, atualizei a segurança, etc., e não creio que tenha havido mais intrusões.

No entanto, quem fez isso enviou grandes quantidades de spam, usando o nome da minha esposa como "remetente". Eles ficam quietos por um tempo, e então muitas vezes eu acordo com algumas dúzias de e-mails da minha esposa, o que é claro que ela não mandou, e todas as outras pessoas em sua lista de endereços também receberam . E como o catálogo de endereços dela estava cheio de muitos endereços mortos, minha esposa recebe centenas de mensagens de bounceback "Falha na entrega de e-mails", além de centenas de e-mails rejeitados pelo domínio de recebimento como spam. As pessoas em sua lista de contatos estão ficando irritadas e isso está se tornando um problema real.

Eu perguntei ao GoDaddy sobre isso, e eles dizem que qualquer pessoa A pode enviar um e-mail para [email protected] afirmando ser [email protected] e não há nenhuma infraestrutura de e-mail para verificar se A pessoa A está autorizada a enviar um email de ccc.com . Conseqüentemente, não há absolutamente nada que eu possa fazer sobre isso, e esse spammer poderá assediar pessoas, prejudicar a reputação de minha esposa, obter seu e-mail na lista negra etc. e não há como pará-lo . / p>

Isso é verdade ou há algo que eu possa fazer para impedir esses spammers ou reduzir os danos?

    
por Joshua Frank 04.12.2015 / 16:03

8 respostas

44

É realmente muito difícil resolver o problema de spoofing de e-mail de uma maneira geral, devido à maneira simples e altamente distribuída como o protocolo é projetado.

A analogia da letra física se sustenta muito bem neste exemplo: posso colocar uma carta no correio e escrever nela que vem de sua casa; Eu não preciso ter invadido sua casa para fazer isso, basta colocá-lo em uma caixa postal pública. E se a postagem estiver marcada como "retornar ao remetente", ela pode acabar sendo "devolvida" para você, mesmo que você não a tenha escrito. O mesmo acontece com o e-mail: qualquer um pode entregar uma mensagem no sistema, com um endereço Para e um De; o servidor do qual você envia e-mails pode não ser o mesmo para o qual você recebe e não há nenhum serviço centralizado que verifique sua identidade quando você envia uma mensagem para o sistema.

Existem duas abordagens gerais para resolver isso:

As assinaturas digitais são uma forma de incluir em uma mensagem uma espécie de assinatura ou selo que somente o remetente real sabe gerar (usando uma chave privada que eles nunca compartilham). O destinatário pode então verificar a assinatura usando uma chave pública que prova matematicamente quem produziu a assinatura (e que ela corresponde ao texto recebido).

No entanto, isso não é muito útil para o seu exemplo, porque não impede que as mensagens sejam entregues e exige que os destinatários conheçam a chave pública ou um local verificado para recuperá-la.

Os sistemas

de verificação de remetente com base em domínio foram desenvolvidos para tentar evitar spam. Esses armazenam dados no DNS (pesquisa de diretório) para o domínio do endereço (a parte após o @), que permite que um sistema de recebimento verifique se um email é legítimo. Um sistema, SPF , lista quais sistemas têm permissão para enviar mensagens em nome desse domínio; outro, DKIM , armazena chaves públicas usadas de maneira semelhante à abordagem de assinatura digital acima, mas para verificar o sistema de transmissão, em vez do remetente real.

(Para ampliar ligeiramente a analogia da letra física, o SPF é como dizer publicamente "Eu só posto cartas usando esta caixa de correio" e DKIM é como dizer publicamente "Eu sempre envio e-mail desta agência postal que imprime uma evidência evidente rotular para mim ".)

Isso seria mais relevante para o seu caso - se sua esposa estivesse usando um domínio personalizado, uma configuração adequada de SPF ou DKIM faria com que muitos sistemas rejeitassem silenciosamente mensagens que ela não havia enviado (ou marcassem como spam, sem atribuir para ela). No entanto, ele só funciona no nível do domínio, não no endereço individual, e alguns sistemas de destinatários podem não verificar os registros.

    
por 04.12.2015 / 17:49
16

Enviando e-mails para todos os contatos ativos em sua agenda de endereços & contá-los sobre os problemas de spam de e-mail provavelmente ajudaria. E agora é um bom momento para remover qualquer contato morto da lista.

O uso de PGP / GPG no futuro seria uma solução quase perfeita para usuários particulares & Os remetentes verificam por si mesmos que um e-mail é realmente enviado pelo remetente, e podem ocultar / criptografar o conteúdo das mensagens também, para que sejam vistos apenas pelo destinatário pretendido. Mas, embora o PGP esteja disponível há décadas, não é muito fácil para qualquer pessoa começar a usá-lo, e os e-mails somente da web (como Gmail, etc) tornam difícil manter as partes secretas realmente secretas apenas para você e ainda fáceis de use de qualquer lugar ...

Autenticação de e-mail

Há coisas que podem ser feitas para autenticar os destinatários de e-mail (pelo menos alguns, como Yahoo & Google & outros, que " representam uma alta porcentagem de usuários de e-mail da Internet " - FAQ do DMARC ) que uma mensagem que diz que é do seu domínio é realmente do seu domínio . Eles usam DMARK, o que permite que um remetente indique que suas mensagens são protegidas por SPF e / ou DKIM, e diz a um receptor o que fazer se nenhum desses métodos de autenticação passar - como lixo ou rejeitar a mensagem. > "- FAQ do DMARC .

Mudar para um endereço de e-mail diferente também pode ajudar a curto prazo, e você & todos os outros poderiam ignorar com segurança / "marcar como spam" todas as mensagens adicionais dos spammers. Mas mesmo que essa não seja sua principal preocupação, já que eles são "obviamente spam super-spam" e ninguém está sendo enganado, você provavelmente vai querer evitar que a linha "from:" seja facilmente falsificada, já que usuários suficientes sempre "marcam como spam "o e-mail comercial da sua esposa, os filtros de spam provavelmente começarão a excluir todas as mensagens desse endereço.

A autenticação de e-mail deve ajudar o remetente & Receber servidores de e-mail para verificar as mensagens é realmente enviado de quem eles dizem que são. Eu encontrei algumas informações no Gmail, já que é uma das "três grandes" empresas de e-mail que provavelmente é um bom lugar para começar. Até mesmo mudar os provedores de e-mail para um que já esteja configurado / autenticado, como o Gmail for Business < em> deve ajudar & pode ser mais fácil, mas não deve ser necessário, apesar de julgar pela sua resposta da GoDaddy, eles podem não ser o anfitrião dos seus sonhos.

A ajuda do Gmail na autenticação de e-mail tem alguns conselhos para o envio de domínios:

If you’re a sending domain

Messages with DKIM signatures use a key to sign messages. Messages signed with short keys can be easily spoofed (see http://www.kb.cert.org/vuls/id/268267), so a message signed with a short key is no longer an indication that the message is properly authenticated. To best protect our users, Gmail will begin treating emails signed with less than 1024-bit keys as unsigned, starting in January 2013. We highly recommend that all senders using short keys switch to RSA keys that are at least 1024-bits long. Authentication is highly recommended for every mail sender to ensure that your messages are correctly classified. For other recommendations see our Bulk Senders Guidelines.

     

A autenticação por si só não é suficiente para garantir que suas mensagens possam   ser entregue, pois os spammers também podem autenticar o correio. Gmail combina   relatórios de usuários e outros sinais, com informações de autenticação, quando   classificando mensagens.

     

Da mesma forma, o fato de uma mensagem não ser autenticada não é suficiente para   classificá-lo como spam, porque alguns remetentes não autenticam   mail ou porque a autenticação é interrompida em alguns casos (por exemplo, quando   mensagens são enviadas para listas de discussão).

     

Saiba mais sobre como você pode criar uma política para ajudar a controlar e-mails não autenticados seu domínio.

O último link Controlar e-mails não autenticados do seu domínio é particularmente relevante:

To help fight spam and abuse, Gmail uses email authentication to verify if a message was actually sent from the address it appears to be sent from. As part of the DMARC initiative, Google allows domain owners to help define how we handle unauthenticated messages that falsely claim to be from your domain.

What you can do

Domain owners can publish a policy telling Gmail and other participating email providers how to handle messages that are sent from your domain but aren’t authenticated. By defining a policy, you can help combat phishing to protect users and your reputation.

On the DMARC website, learn how to publish your policy, or see the instructions for Google Apps domains.

Here are some things to keep in mind:

  • You'll receive a daily report from each participating email provider so you can see how often your emails are authenticated and how often invalid emails are identified.
  • You might want to adjust your policy as you learn from the data in these reports. For example, you might adjust your actionable policies from “monitor” to “quarantine” to “reject” as you become more confident that your own messages will all be authenticated.
  • Your policy can be strict or relaxed. For example, eBay and PayPal publish a policy requiring all of their mail to be authenticated in order to appear in someone's inbox. In accordance with their policy, Google rejects all messages from eBay or PayPal that aren’t authenticated.

More about DMARC

DMARC.org was formed to allow email senders to influence unauthenticated mail by publishing their preferences in a discoverable and flexible policy. It also enables participating email providers to provide reports so that senders can improve and monitor their authentication infrastructure.

Google is participating in DMARC along with other email domains like AOL, Comcast, Hotmail, and Yahoo! Mail. In addition, senders like Bank of America, Facebook, Fidelity, LinkedIn, and Paypal have already published policies for Google and other receivers to follow.

For more information, please refer to this post in the Official Gmail Blog.

Outros links úteis:

por 04.12.2015 / 16:27
10

O que pode ser feito depende de quanto da infra-estrutura você tem controle, e se você está usando seu próprio nome de domínio ou simplesmente tem um endereço sob um domínio controlado por outra pessoa.

Se você tiver seu próprio domínio, será fácil mudar para um novo endereço de e-mail no mesmo domínio. Além disso, você pode configurar registros DNS para dizer ao mundo que todos os e-mails do seu domínio devem ser assinados digitalmente. (SPF, DKIM e DMARC são os termos para pesquisar se essa é a abordagem que você deseja seguir.)

Você não pode esperar que todos verifiquem essas assinaturas, portanto, mesmo que você configure registros DNS indicando que os e-mails do seu domínio devem ser assinados, ainda haverá usuários que não assinem e que aceitem esses e-mails não assinados. .

Se você não controlar o domínio, a alteração do endereço de e-mail não será tão fácil e você terá pouca influência sobre se os registros DNS são usados para limitar a capacidade de falsificar o domínio em e-mails enviados.

O problema com as mensagens de spam que usam um endereço de origem falsificado, fazendo com que as devoluções voltem ao endereço legítimo, é pelo menos em princípio fácil de resolver.

Você pode registrar o Message-ID de todos os e-mails enviados. Todos os retornos precisam incluir o Message-ID da mensagem original em algum lugar - caso contrário, a rejeição é completamente inútil, porque é isso que informa qual mensagem foi devolvida. Qualquer mensagem devolvida que não contenha um Message-ID que você tenha enviado anteriormente pode ser enviada diretamente para a pasta de spam ou ser rejeitada na hora de recebimento (que tem o benefício de empurrar o problema um passo mais próximo da fonte).

As rejeições podem ser informadas, além de outros e-mails, pelo endereço MAIL From . Rejeições sempre têm um endereço MAIL From vazio, outros e-mails nunca têm um endereço MAIL From vazio.

Portanto, se MAIL From estiver vazio - e o DATA não contiver um Message-ID enviado anteriormente, o e-mail poderá ser rejeitado com segurança.

Esse é o princípio. Transformar isso em prática é um pouco mais difícil. Em primeiro lugar, a infra-estrutura para e-mails enviados e recebidos pode ser separada, o que torna problemático para a infraestrutura de e-mails recebidos saber sempre sobre cada Message-ID que passou pela infraestrutura de e-mails enviados.

Além disso, alguns provedores insistem em enviar retornos que não estejam de acordo com o senso comum. Por exemplo, eu vi provedores enviando retornos contendo nenhuma informação sobre o e-mail original que foi devolvido. Minha melhor recomendação para esses saltos inúteis é tratá-los como spam, mesmo que tenham origem em um sistema de correio legítimo.

Lembre-se de que quem obteve a lista de endereços de e-mail pode colocar qualquer um dos endereços como endereço de origem e qualquer um dos endereços como endereço de destino. Assim, a menos que você tenha informações adicionais, você não pode ter certeza de que o vazamento ocorreu em seu próprio sistema. Pode ser qualquer um dos seus contatos que vazou a lista de endereços, incluindo o seu.

Quanto mais você puder descobrir quais endereços estão na lista que vazou e quais não são, melhor você será capaz de descobrir de onde ela vazou. Pode ser que você já tenha feito isso e concluiu que o vazamento deve ter se originado de sua lista de contatos, já que nenhum de seus contatos saberia que todos os endereços confirmados vazaram.

Minha abordagem para isso é usar meu próprio domínio e um endereço de e-mail separado nesse domínio para cada contato com o qual me comunico. Eu incluo a data da primeira comunicação com o contato no endereço de e-mail, de modo que possa parecer com [email protected] se eu fosse escrever um e-mail para um novo contato hoje. Essa abordagem obviamente não é para todos, mas para mim certamente ajuda saber exatamente quem está vazando uma lista de endereços de e-mail em que um dos meus está. Isso também significa que posso fechar os endereços individuais de forma que apenas a pessoa que vazou meu endereço tenha que atualizar suas informações de contato para mim.

    
por 04.12.2015 / 23:57
8

Sim e não.

Nada me impede de escrever um email com o seu endereço como remetente. Isso não é diferente do correio normal, onde também posso colocar um endereço de destino na frente do envelope e um (qualquer!) Endereço de retorno no verso do envelope.

No entanto, você pode adicionar uma assinatura digital para provar que você é o remetente (veja a resposta do PGP e do Xen). E os provedores de email também estão começando a implementar verificações de segurança para a comunicação entre os servidores de email. (Veja TLS - Segurança da Camada de Transporte). Mas o correio é baseado nos protocolos antigos, onde todos se comportavam e cooperavam bem. Não foi projetado para o grande mundo ruim.

    
por 04.12.2015 / 16:35
6

Você está se aproximando disso incorretamente.

Dos anos que passei na indústria de conserto de computadores, posso dizer que é muito improvável que haja qualquer "hacking" acontecendo aqui. É muito mais provável que o computador da sua esposa tenha um vírus e esse vírus tenha acessado o catálogo de endereços do Thunderbird.

Isso é bastante comum. Normalmente, o vírus está enviando os e-mails diretamente do computador infectado, então remover o vírus interromperá os e-mails de spam - eles não estão "falsificando" o endereço de e-mail da sua esposa, eles são o endereço de e-mail da sua esposa.

É muito improvável que a alteração de endereços de e-mail, conforme sugerido por outro usuário, resolva qualquer coisa ... especialmente se você inseri-la no Thunderbird no mesmo computador.

Faça o download e execute Combofix no computador da sua esposa.

link

Existem instruções sobre como executá-lo em: link

Essencialmente, baixe-o, execute-o como administrador (clique com o botão direito - > execute como administrador), clique em OK / Yes / Continue nos prompts e saia por 30 minutos a uma hora. Ele será executado por um longo tempo e provavelmente reinicializará o computador (lembre-se de fazer o login novamente para continuar trabalhando).

Você saberá que está pronto quando um bloco de notas em tela cheia estiver aberto com um monte de texto. Feche, reinicie mais uma vez e você provavelmente resolveu seu problema ... só o tempo dirá.

    
por 04.12.2015 / 20:59
2

Existem dois problemas aqui. Sua pergunta específica sobre a validação de remetentes de e-mail e o que se pode fazer quando um e-mail é enviado em seu nome.

Infelizmente, é uma questão simples falsificar o endereço From: em um e-mail, e isso é tudo. Embora existam maneiras de configurar o email para que o remetente possa ser verificado (como a assinatura do dispositivo mencionado em outras respostas), ele não está em uso geral. Se os contatos roubados de sua esposa incluíam muitas conexões casuais, clientes antigos, listas de discussão, etc., isso não é uma novidade: se os destinatários acham que os e-mails falsos são um problema, a última coisa que eles querem é instalar software especial. em seus computadores.

O que nos leva ao que ela pode fazer. Endereços roubados são amplamente usados como cobertura por spammers, e a maioria das pessoas sabe ignorar spam óbvio que finge vir de um conhecido. Se isso é tudo o que está acontecendo, a solução é claramente que sua esposa receba um novo e-mail, de preferência um que seja facilmente distinguível do antigo; se possível, combine-o com o nome completo do termo de forma diferente, por exemplo, adicione um nome do meio ou um cargo. Em seguida, notifique todos em sua lista de contatos e pare de usar o e-mail antigo, mas continue monitorando as mensagens recebidas de pessoas que perderam o memorando.

As coisas são mais difíceis se você acredita que alguém está alvejando especificamente sua esposa, tentando personificá-la, prejudicar sua reputação etc. Nesse caso, um novo e-mail será rapidamente adotado pelo atacante (já que sua esposa não será mantendo em segredo). Mas essa é uma ponte que você pode atravessar se alguma vez chegar a isso (o que eu considero improvável).

    
por 04.12.2015 / 21:08
2

Pode não ser ideal, mas, se eu fosse você, encerraria minha conta e começaria uma nova. Dizer a todos o meu novo endereço e colocar na lista negra o antigo.

    
por 07.12.2015 / 12:58
1

Como Freeman disse ... deixe todos os correspondentes de e-mail regulares saberem que todos os e-mails futuros dela terão a frase que ele mencionou ou algo semelhante.

Alguns dos meus contatos mais regulares sabem que, se quiserem que eu abra suas mensagens, eles devem dizer algo no e-mail que nenhum spammer jamais conheceria, por exemplo: "Sim, Dennis é realmente

por 04.12.2015 / 20:01