Czy można zapobiec fałszowaniu wiadomości e-mail?

Konto e-mail mojej żony zostało zhakowane, a osoba atakująca dostała swoją książkę adresową. Nie wiem, czy atak miał miejsce na jej lokalnym kliencie e-mail (Thunderbird działającym w systemie Windows 7), czy na serwerze (hostowanym w GoDaddy). Tak czy inaczej, dane z listy kontaktów są dostępne i nie mogę tego cofnąć. Zmieniłem wszystkie hasła, zaktualizowałem zabezpieczenia itp. I nie sądzę, aby były jakieś dalsze ingerencje.

Jednak ktokolwiek to zrobił, wysyłał ogromne ilości spamu, używając imienia mojej żony jako „nadawcy”. Przez chwilę milczą, a potem tak często budzę do kilkudziesięciu e-maili od mojej żony, których oczywiście tak naprawdę nie wysłała, a każda inna osoba w jej książce adresowej też je otrzymuje . A ponieważ jej książka adresowa była pełna wielu martwych adresów, moja żona otrzymuje setki wiadomości zwrotnych „Mail Delivery Failed”, a także setki wiadomości e-mail odrzuconych przez domenę odbierającą jako spam. Ludzie na jej liście kontaktów denerwują się i staje się to prawdziwym problemem.

Poprosiłem GoDaddy o to, a oni mówią, że każda osoba A może wysłać wiadomość e-mail do osoby, która b@bbb.comtwierdzi c@ccc.com, że jest , i że nie ma infrastruktury e-mail do zweryfikowania, czy osoba A jest upoważniona do wysyłania wiadomości e-mail ccc.com. W związku z tym absolutnie nic nie mogę na to poradzić, a ten spamer będzie mógł nękać ludzi, szkodzić reputacji mojej żony, umieszczać jej adresy e-mail na czarnej liście itp. I nie ma sposobu, aby temu zapobiec .

Czy to prawda, czy jest coś, co mogę zrobić, aby powstrzymać tych spamerów lub w dzierżawie zmniejszyć szkody?

Naprawdę bardzo trudno jest rozwiązać problem fałszowania wiadomości e-mail w sposób ogólny, ze względu na prosty i wysoce rozproszony sposób zaprojektowania protokołu.

Fizyczna analogia do listu trzyma się całkiem dobrze w tym przykładzie: mogę umieścić list na poście i napisać na nim, że pochodzi on z twojego domu; Nie muszę włamać się do twojego domu, aby to zrobić, po prostu upuść go w publicznej skrzynce pocztowej. A jeśli post oznaczony jest jako „zwrot do nadawcy”, może on zostać „zwrócony”, nawet jeśli go nie napisałeś. To samo dzieje się z pocztą e-mail: każdy może dostarczyć wiadomość do systemu z adresem Do i Od; serwer, z którego wysyłasz pocztę, może nie być tym samym, na który otrzymujesz pocztę, i nie ma scentralizowanej usługi weryfikującej twoją tożsamość po upuszczeniu wiadomości do systemu.

Istnieją dwa ogólne podejścia do rozwiązania tego:

Podpisy cyfrowe to sposób na zawarcie w wiadomości rodzaju podpisu lub pieczęci, którą tylko prawdziwy nadawca wie, jak wygenerować (używając klucza prywatnego, którego nigdy nie udostępnia). Odbiorca może następnie zweryfikować podpis przy użyciu klucza publicznego, który matematycznie dowodzi, kto wyprodukował podpis (i czy pasuje do otrzymanego tekstu).

Nie jest to jednak bardzo przydatne w twoim przykładzie, ponieważ nie uniemożliwia dostarczenia wiadomości i wymaga od odbiorców znajomości klucza publicznego lub zweryfikowanej lokalizacji w celu jego odzyskania.

W celu zapobiegania spamowi opracowano oparte na domenie systemy weryfikacji nadawców . Przechowują one dane w DNS (wyszukiwanie katalogu) dla domeny adresu (część po @), które pozwalają systemowi odbierającemu sprawdzić, czy poczta jest prawdziwa. Jeden system, SPF , wymienia, które systemy mogą wysyłać pocztę w imieniu tej domeny; inny, DKIM , przechowuje używane klucze publiczne podobne do powyższego podejścia do podpisu cyfrowego, ale do weryfikacji systemu nadawczego, a nie faktycznego nadawcy.

(Aby nieco rozszerzyć fizyczną analogię listów, SPF jest jak publiczne powiedzenie „Wysyłam tylko listy przy użyciu tej skrzynki pocztowej”, a DKIM jest jak publiczne powiedzenie „Zawsze wysyłam pocztę z tego urzędu pocztowego, który drukuje dla mnie etykietę umożliwiającą manipulację „.)

Byłyby one bardziej odpowiednie dla twojej sprawy - gdyby twoja żona używała niestandardowej domeny, odpowiednia konfiguracja SPF lub DKIM spowodowałaby, że wiele systemów po cichu odrzuciłoby pocztę, której sama nie wysłała (lub oznaczyło ją jako spam, bez przypisywania jej jej ). Działa jednak tylko na poziomie domeny, a nie na indywidualnym adresie, a niektóre systemy odbiorców mogą nie sprawdzać zapisów.

Wysłanie wiadomości e-mail do wszystkich kontaktów na żywo w jej książce adresowej i poinformowanie ich o problemach ze spamem e-mail prawdopodobnie by pomogło. A teraz jest tak dobry moment, jak każdy, aby usunąć martwe kontakty z listy.

Korzystanie z PGP / GPG w przyszłości byłoby prawie idealnym rozwiązaniem dla prywatnych użytkowników i nadawców , którzy mogliby sami zweryfikować, czy wiadomość e-mail jest faktycznie wysyłana od nadawcy, i mogliby ukryć / zaszyfrować zawartość wiadomości, aby były widoczne tylko dla zamierzony odbiornik. Ale chociaż PGP jest dostępny od dziesięcioleci, powszechnie nie jest łatwo rozpocząć korzystanie z niego, a poczta internetowa (np. Gmail itp.) Utrudnia trzymanie tajnych części w tajemnicy tylko dla Ciebie i nadal jest łatwa do używać z dowolnego miejsca ...

Potwierdzenie email

Są rzeczy, które można zrobić, aby uwierzytelnić się w odbiorcach e-maili (przynajmniej niektórzy, np. Yahoo i Google i inni, którzy „ reprezentują wysoki odsetek użytkowników internetowych e-maili ” - DMARC FAQ ), że wiadomość, która mówi, że pochodzi z Twojej domeny, naprawdę jest z twojej domeny. Używają DMARK, który „ pozwala nadawcy wskazać, że jego wiadomości są chronione przez SPF i / lub DKIM, i mówi odbiorcy, co zrobić, jeśli żadna z tych metod uwierzytelnienia nie przejdzie - na przykład śmieci lub odrzuć wiadomość ” - DMARC FAQ .

Zmiana innego adresu e-mail może również pomóc w krótkim okresie, wtedy Ty i wszyscy inni możecie bezpiecznie zignorować / „oznaczyć jako spam” wszystkie dalsze wiadomości od spamerów. Ale nawet jeśli nie jest to twoim głównym zmartwieniem, ponieważ są one „spamem o najwyższym stopniu spamu” i nikogo nie można oszukać, prawdopodobnie chcesz powstrzymać łatwą sfałszowanie wiersza „od:”, ponieważ jeśli wystarczająca liczba użytkowników zawsze „oznacza” jako spam ”firmowy adres e-mail żony, filtry antyspamowe prawdopodobnie zaczną wyrzucać wszystkie wiadomości z tego adresu.

Uwierzytelnianie wiadomości e-mail powinno pomóc serwerom wysyłającym i odbierającym w sprawdzaniu, czy wiadomości są faktycznie wysyłane od tego, od kogo pochodzą. Znalazłem trochę informacji na temat Gmaila, ponieważ jest to jedna z firm zajmujących się pocztą elektroniczną „z wielkiej trójki” i prawdopodobnie jest to dobre miejsce na rozpoczęcie. Nawet zmiana dostawcy poczty e-mail na takiego, który jest już skonfigurowany / uwierzytelniony, na przykład Gmail dla Firm, powinien pomóc i może być łatwiejszy, ale nie powinien być konieczny, chociaż sądząc po odpowiedzi GoDaddy, może nie być Twoim wymarzonym gospodarzem.

Pomoc Gmaila na temat uwierzytelniania poczty e-mail zawiera porady dotyczące wysyłania domen:

Jeśli jesteś domeną wysyłającą

Wiadomości z podpisami DKIM używają klucza do podpisywania wiadomości. Wiadomości podpisane krótkimi klawiszami można łatwo sfałszować (patrz http://www.kb.cert.org/vuls/id/268267 ), więc wiadomość podpisana krótkim klawiszem nie oznacza już, że wiadomość jest poprawnie uwierzytelniona. Aby najlepiej chronić naszych użytkowników, Gmail zacznie traktować wiadomości e-mail podpisane przy użyciu kluczy mniejszych niż 1024-bitowe jako niepodpisane, począwszy od stycznia 2013 r. Zdecydowanie zalecamy, aby wszyscy nadawcy używający krótkich kluczy przełączali się na klucze RSA o długości co najmniej 1024-bitowej. Uwierzytelnianie jest wysoce zalecane dla każdego nadawcy poczty, aby upewnić się, że wiadomości są poprawnie klasyfikowane. Inne zalecenia można znaleźć w naszych Wytycznych dla nadawców masowych .

Samo uwierzytelnianie nie wystarcza do zagwarantowania dostarczenia wiadomości, ponieważ spamerzy mogą również uwierzytelniać pocztę. Gmail klasyfikuje wiadomości użytkowników i inne sygnały z informacjami uwierzytelniającymi.

Podobnie fakt, że wiadomość nie jest uwierzytelniona, nie wystarcza, aby zaklasyfikować ją jako spam, ponieważ niektórzy nadawcy nie uwierzytelniają swojej poczty lub ponieważ uwierzytelnianie psuje się w niektórych przypadkach (na przykład, gdy wiadomości są wysyłane na listy mailingowe).

Dowiedz się więcej o tym, jak utworzyć zasadę, która pomoże kontrolować nieuwierzytelnioną pocztę ze swojej domeny.

Ostatni link Kontrola nieuwierzytelnionej poczty z Twojej domeny jest szczególnie istotny:

Aby pomóc w walce ze spamem i nadużyciami, Gmail używa uwierzytelnienia e-mail, aby sprawdzić, czy wiadomość została faktycznie wysłana z adresu, z którego wygląda na to, że została wysłana. W ramach inicjatywy DMARC Google zezwala właścicielom domen na określenie sposobu obsługi nieuwierzytelnionych wiadomości, które fałszywie twierdzą, że pochodzą z Twojej domeny.

Co możesz zrobić

Właściciele domen mogą opublikować zasady informujące Gmaila i innych uczestniczących dostawców poczty e-mail o tym, jak obsługiwać wiadomości wysyłane z Twojej domeny, ale nie są uwierzytelniane. Definiując zasady, możesz pomóc w walce z phishingiem, aby chronić użytkowników i swoją reputację.

Na stronie DMARC dowiedz się, jak opublikować swoje zasady lub zapoznaj się z instrukcjami dla domen Google Apps .

Oto kilka rzeczy, o których należy pamiętać:

• Otrzymasz codzienny raport od każdego uczestniczącego dostawcy poczty e-mail, dzięki czemu zobaczysz, jak często Twoje wiadomości są uwierzytelniane i jak często są wykrywane nieprawidłowe wiadomości.
• Możesz dostosować swoje zasady, korzystając z danych zawartych w tych raportach. Na przykład możesz dostosować swoje możliwe do zastosowania zasady z „monitoruj” do „poddaj kwarantannie”, aby „odrzucić”, ponieważ zyskujesz większą pewność, że wszystkie twoje wiadomości zostaną uwierzytelnione.
• Twoja polityka może być surowa lub zrelaksowana. Na przykład eBay i PayPal publikują zasady wymagające uwierzytelnienia całej poczty w celu wyświetlenia w czyjejś skrzynce odbiorczej. Zgodnie z ich zasadami Google odrzuca wszystkie wiadomości z serwisu eBay lub PayPal, które nie są uwierzytelnione.

Więcej o DMARC

Utworzono DMARC.org, aby umożliwić nadawcom wiadomości e-mail wpływ na nieuwierzytelnioną pocztę poprzez opublikowanie ich preferencji zgodnie z wykrywalnymi i elastycznymi zasadami. Umożliwia także uczestniczącym dostawcom poczty e-mail dostarczanie raportów, dzięki czemu nadawcy mogą poprawić i monitorować infrastrukturę uwierzytelniania.

Google uczestniczy w DMARC wraz z innymi domenami e-mail, takimi jak AOL, Comcast, Hotmail i Yahoo! Poczta. Ponadto nadawcy tacy jak Bank of America, Facebook, Fidelity, LinkedIn i Paypal opublikowali już zasady obowiązujące Google i innych odbiorców.

Aby uzyskać więcej informacji, zapoznaj się z tym postem na oficjalnym blogu Gmaila .

Inne pomocne linki:

• Skonfiguruj Gmaila do wysyłania / odbierania wiadomości e-mail przy użyciu własnej nazwy domeny
• Przejmij kontrolę nad swoim adresem e-mail

To, co można zrobić, zależy od tego, ile infrastruktury kontrolujesz i od tego, czy używasz własnej nazwy domeny, czy po prostu masz adres pod domeną kontrolowaną przez kogoś innego.

Jeśli masz własną domenę, możesz łatwo przejść na nowy adres e-mail w tej samej domenie. Dodatkowo możesz skonfigurować rekordy DNS, aby informować świat, że wszystkie wiadomości e-mail z Twojej domeny powinny być podpisane cyfrowo. (SPF, DKIM i DMARC to terminy, których należy szukać, jeśli takie podejście chcesz zastosować).

Nie można oczekiwać, że wszyscy zweryfikują te podpisy, więc nawet jeśli skonfigurujesz rekordy DNS wskazujące, że wiadomość e-mail z Twojej domeny musi być podpisana, nadal będą nadużywający wysyłający niepodpisane wiadomości e-mail, które twierdzą, że pochodzą z Twojej domeny, i odbiorcy przyjmujący te niepodpisane wiadomości e-mail.

Jeśli nie kontrolujesz domeny, zmiana adresu e-mail nie jest tak łatwa i masz niewielki wpływ na to, czy rekordy DNS są używane do ograniczenia możliwości fałszowania domeny w wychodzących wiadomościach e-mail.

Problem z wiadomościami spamowymi używającymi sfałszowanego adresu źródłowego powodującymi odesłania do prawidłowego adresu jest co najmniej w zasadzie łatwy do rozwiązania.

Możesz zarejestrować Message-IDwszystkie wysyłane e-maile. Wszystkie Message-IDodrzuceń muszą zawierać gdzieś oryginalną wiadomość - w przeciwnym razie odesłanie i tak jest całkowicie bezużyteczne, ponieważ to mówi ci, która wiadomość została odesłana. Każda odesłana wiadomość, która nie zawiera Message-IDwcześniej wysłanej wiadomości, może zostać wysłana bezpośrednio do folderu ze spamem lub odrzucona w momencie otrzymania (co ma tę zaletę, że przesuwa problem o krok bliżej źródła).

MAIL FromAdres może odróżniać od innych wiadomości e-mail od adresu. Odbicia zawsze mają pusty MAIL Fromadres, inne e-maile nigdy nie mają pustego MAIL Fromadresu.

Jeśli więc MAIL Fromjest pusty - i DATAnie zawiera Message-IDwcześniej wysłanej wiadomości, można ją bezpiecznie odrzucić.

To jest zasada. Przekształcenie go w praktykę jest nieco trudniejsze. Przede wszystkim infrastruktura dla poczty wychodzącej i przychodzącej może być osobna, co sprawia, że ​​problematyczne jest, aby infrastruktura dla przychodzących wiadomości e-mail zawsze wiedziała o wszystkim, Message-IDco przeszło przez infrastrukturę dla wiadomości wychodzących.

Ponadto niektórzy dostawcy nalegają na wysyłanie odrzuceń, które nie są zgodne ze zdrowym rozsądkiem. Na przykład widziałem dostawców wysyłających odesłania niezawierające żadnych informacji o pierwotnym e-mailu, który został odesłany. Moja najlepsza rekomendacja dla takich bezużytecznych odsyłaczy polega na traktowaniu ich jako spamu, nawet jeśli pochodzą one z innego legalnego systemu pocztowego.

Pamiętaj, że ktokolwiek uzyskał listę adresów e-mail, może ustawić dowolny z adresów jako adres źródłowy, a dowolny z adresów jako adres docelowy. Dlatego jeśli nie masz dodatkowych informacji, nie możesz być pewien, że wyciek nastąpił nawet z twojego własnego systemu. Może to być którykolwiek z twoich kontaktów, który ujawnił listę adresów, w tym twój.

Im więcej możesz dowiedzieć się, które adresy znajdują się na liście wyciekłych, a które nie, tym lepiej będziesz w stanie ustalić, skąd wyciekły. Możliwe, że już to zrobiłeś i doszedłeś do wniosku, że wyciek musiał pochodzić z twojej listy kontaktów, ponieważ żaden z twoich kontaktów nie znałby wszystkich adresów potwierdzonych jako wyciekły.

Podejście do tego polega na użyciu mojej domeny i osobnego adresu e-mail w tej domenie dla każdego kontaktu, z którym się komunikuję. Podaję datę pierwszej komunikacji z kontaktem na adres e-mail, tak aby mogło to wyglądać, kasperd@mdgwh.04.dec.2015.kasperd.netgdybym dzisiaj napisał wiadomość e-mail do nowego kontaktu. To podejście oczywiście nie jest dla wszystkich, ale dla mnie z pewnością pomaga dokładnie wiedzieć, kto przeciekał listę adresów e-mail, na których znajduje się jeden z moich. Oznacza to również, że mogę zamknąć poszczególne adresy, tak że tylko osoba, która ujawniła mój adres, musi zaktualizować dla mnie swoje dane kontaktowe.

Tak i nie.

Nic nie powstrzymuje mnie przed napisaniem wiadomości e-mail z Twoim adresem jako nadawcy. Nie różni się to od zwykłej papierowej poczty, w której mogę również umieścić adres docelowy na przedniej stronie koperty i (dowolny!) Adres zwrotny na tylnej stronie koperty.

Możesz jednak dodać podpis cyfrowy, aby potwierdzić, że jesteś nadawcą (patrz odpowiedź PGP i Xen). Dostawcy poczty również zaczynają wdrażać kontrole bezpieczeństwa w komunikacji między serwerami pocztowymi. (Patrz TLS - Transport Layer Security). Ale poczta opiera się na starych protokołach, w których wszyscy zachowywali się i współpracowali ładnie. Nie został zaprojektowany dla wielkiego złego świata.

Podchodzisz do tego niepoprawnie.

Od lat spędzonych w branży napraw komputerowych mogę powiedzieć, że jest bardzo mało prawdopodobne, aby miało miejsce tutaj „hackowanie”. Jest o wiele bardziej prawdopodobne, że komputer twojej żony ma wirusa, i ten wirus uzyskał dostęp do swojej książki adresowej Thunderbird.

Jest to dość powszechne. Zazwyczaj wirus wysyła wiadomości e-mail bezpośrednio z zainfekowanego komputera, więc usunięcie wirusa zatrzyma wiadomości spamowe - nie „fałszują” adresu e-mail żony, są adresem e-mail żony.

Zmiana adresów e-mail zgodnie z sugestiami innego użytkownika jest bardzo mało prawdopodobna, aby rozwiązać cokolwiek ... zwłaszcza jeśli wpiszesz go do Thunderbirda na tym samym komputerze.

Pobierz i uruchom Combofixna komputerze swojej żony.

http://www.bleepingcomputer.com/download/combofix/

Instrukcje dotyczące uruchomienia można znaleźć na stronie : http://www.bleepingcomputer.com/combofix/how-to-use-combofix

Zasadniczo pobierz go, uruchom jako administrator (kliknij prawym przyciskiem myszy -> uruchom jako administrator), kliknij przycisk OK / Tak / Kontynuuj wyświetlane monity, a następnie odejdź na 30 minut do godziny. Będzie działał przez długi czas i prawdopodobnie uruchomi ponownie komputer (zaloguj się ponownie, aby kontynuować pracę).

Będziesz wiedział, że zrobiono to, gdy otwarty jest pełny ekran notatnika z dużą ilością tekstu. Zamknij go, uruchom ponownie, a prawdopodobnie rozwiązałeś problem ... czas pokaże.

Istnieją tutaj dwa problemy. Twoje szczegółowe pytanie dotyczące sprawdzania poprawności nadawców wiadomości e-mail i tego, co możesz zrobić, gdy wiadomość e-mail jest wysyłana w Twoim imieniu.

Niestety sfałszowanie From:adresu w wiadomości e-mail jest proste , i to wszystko. Chociaż istnieją sposoby skonfigurowania wiadomości e-mail, aby umożliwić weryfikację nadawcy (takie jak podpisywanie różnicowe wspomniane w innych odpowiedziach), nie są one jednak w powszechnym użyciu. Jeśli skradzione kontakty Twojej żony zawierały wiele przypadkowych połączeń, jednorazowych klientów, list mailingowych itp., Nie jest to początek: jeśli odbiorcy uznają fałszywe wiadomości e-mail za kłopotliwe, ostatnią rzeczą, jakiej chcą, jest poproszenie o zainstalowanie specjalnego oprogramowania na swoich komputerach.

Co prowadzi nas do tego, co potrafi. Skradzione adresy są szeroko stosowane jako spamerzy, a większość ludzi wie, jak ignorować oczywisty spam, który udaje, że pochodzi od znajomego. Jeśli to wszystko, co się dzieje, rozwiązaniem jest, aby twoja żona otrzymała nowy e-mail, najlepiej taki, który można łatwo odróżnić od starego; jeśli to możliwe, połącz to z literowaniem jej pełnego imienia w inny sposób, np. dodaj drugie imię lub stanowisko. Następnie powiadom wszystkich na liście kontaktów i przestań używać starego e-maila, ale nadal monitoruj go pod kątem wiadomości przychodzących od osób, które przegapiły notatkę.

Sprawy są trudniejsze, jeśli uważasz, że ktoś specjalnie atakuje twoją żonę, próbuje podszyć się pod nią, zaszkodzić jej reputacji itp. W takim przypadku atakujący szybko przyjmie nowy e-mail (ponieważ twoja żona nie będzie go utrzymywać sekret). Ale to most, który można pokonać, jeśli kiedykolwiek do niego dojdzie (co uważam za mało prawdopodobne).

Jak powiedział Freeman ... niech wszyscy regularni korespondenci e-mail będą wiedzieć, że wszystkie przyszłe e-maile od niej będą miały zwrot, o którym wspominał, lub coś podobnego.

Kilka moich najbardziej regularnych kontaktów wie, że jeśli chcą, żebym otworzył ich wiadomości, muszą powiedzieć coś w e-mailu, czego żaden spamer nigdy by nie znał, na przykład „Tak, Dennis, to naprawdę ______, a imię twojego psa to ______” I powiedz coś podobnego do nich. Czy to kłopot? Być może jest to raczej niewielka irytacja.

Gdyby wszyscy przyjęli SPF, byłoby to ogromną pomocą.

To może nie być idealne, ale gdybym był tobą, zamknąłem moje konto i założyłem nowe. Mówię wszystkim o moim nowym adresie i wpisuję na starą listę.