O Sender Policy Framework (SPF) é eficaz na prevenção de e-mails de phishing?

3

Conforme definido no RFC4408 , o Sender Policy Framework apenas verifica o remetente do envelope (também conhecido como MAIL FROM ) . O cabeçalho From: não está sendo testado. Como é o valor do cabeçalho From: que geralmente é exibido em clientes de email, o invasor pode usar um remetente de envelope aleatório que pode até ter um registro SPF válido para o IP usado.
Os destinatários só descobrirão sobre um cabeçalho forjado de From: se verificarem o cabeçalho Return-Path: (que é definido como o valor do remetente do envelope pelo MTA) manualmente.

Então, como as verificações de SPF evitam spam ou phishing?

    
por Zulakis 14.10.2013 / 14:35

2 respostas

1

O SPF por si só não bloqueia totalmente o spam, porque, conforme você aponta, ele usa o domínio MAIL FROM para carregar as diretivas SPF. Como um invasor pode manipular MAIL FROM em seu benefício, ele pode usar o MAIL FROM em um domínio que eles controlam e falsificar seu domínio no cabeçalho From:.

Onde o SPF se torna realmente eficaz é quando acoplado ao DMARC.

O DMARC analisará uma mensagem e verificará se ela está autorizada usando o SPF ou o DKIM (é necessário apenas um). Depois que um desses mecanismos é aprovado, todos os domínios que passaram nas verificações são comparados com o domínio De :. Se qualquer um desses domínios e a correspondência De: domínio, eles estão em alinhamento e a mensagem é considerada autorizada pela perspectiva DMARC. Se o alinhamento falhar, a política do DMARC que você publica sobre o DNS é aplicada.

Você tem a opção de pedir que as mensagens com falha no DMARC sejam enviadas para um sistema de pastas de quarentena / spam ou até mesmo solicitar que essas mensagens sejam rejeitadas imediatamente.

O DMARC também permite solicitar que os destinatários enviem relatórios agregados para que você possa entender como seu e-mail está sendo processado em todo o planeta.

Gmail, Yahoo, Hotmail e muitas outras organizações já participam do DMARC.

O DMARC.org tem uma lista de recursos para ajudá-lo a saber mais sobre o DMARC .

Há também assistente de configuração do DMARC de Scott Kitterman

O DMARC não é uma bala de prata; Ele não bloqueará spam, onde o domínio De: não está sob seu controle. No entanto, impedir que invasores falsifiquem seu domínio é uma opção de alto valor em termos de forçar os invasores a usar outras estratégias mais abertas à filtragem inteligente em seu pipeline de spam.

    
por 28.03.2016 / 11:24
-1

Assim como a maioria dos problemas de segurança, esse mecanismo não impede totalmente o problema, mas torna mais difícil a superação de pessoas mal-intencionadas.

Nesse caso, a proteção oferecida não é o que é exibido em um cliente de email, mas ajuda a retransmissão de email no lado de recebimento a decidir se aceita o email (ou possivelmente a tag é como spam). Isso é antes que o email chegue ao cliente final. Ao verificar o IP do relé de envio em relação aos IPs "permitidos" contidos no registro SPF do domínio de envio, o relé pode ver se o email foi originado de um IP aprovado.

Naturalmente, se você puder falsificar o IP de origem ou envenenar a consulta DNS do relé de destino com o registro SPF, poderá vencer o sistema. Mas isso é mais difícil.

    
por 14.10.2013 / 17:25