Je pense que vous avez tous oublié un petit détail qui a été mentionné dans la dramatisation ci-dessus, qui est en fait très facile à vérifier:
Les e-mails frauduleux ne proviennent pas d'une adresse e-mail qui appartient légitimement au domaine dont ils prétendent être originaires. Une partie du protocole SMTP comprend un ensemble d ' en-têtes de message complets qui incluent toujours le chemin de retour du message, qui est l'adresse e-mail qui en fait a envoyé le message. Non seulement cela, mais les adresses IP ont également une région géographique définitive à laquelle elles sont attribuées. Donc, vous pouvez attraper ces écarts avec un peu de fouille.
Prenons, par exemple, dit dramatisation.
Il mentionne que l'e-mail provient de whitehouse.gov. Voici son adresse IP:
calyodelphi @ dragonpad: ~ $ dig + short whitehouse.gov173.223.0.110
Maintenant, disons que nastyhackerz.cn résout une adresse IP quelque part dans le bloc 1.0.32.0-1.0.63.255 (pour référence: http://www.nirsoft.net/countryip/cn.html premier bloc de la liste). Cette adresse IP va figurer dans les en-têtes complets du message. Tout ce que vous avez à faire est de prendre cette IP en ligne pour retrouver sa géolocalisation (vous pouvez utiliser http://www.geoiptool.com/ par exemple)
L'adresse IP de la maison blanche. gov (173.223.0.110) au moment de la rédaction de cet article se géolocalise à Boston, Massachusetts (pour une raison quelconque, un système de prévention du spam ne me permettra pas de publier ma recherche sur geoiptool en raison de points de réputation, vous pouvez donc faire la recherche vous-même) qui est assez proche de chez nous (District de Columbia)! Supposons simplement que whitehouse.gov soit hébergé dans un centre de données qui se trouve à Boston, juste pour rendre cela plus facile à expliquer.
Tant que l'adresse IP et l'adresse e-mail auxquelles l'e-mail était réellement fort > envoyé de ne correspond pas à l'adresse IP et à l'adresse e-mail desquelles l'e-mail prétend être envoyé, il peut être considéré comme une usurpation. Il vous suffit de regarder dans les en-têtes de message complets .
Regardons les en-têtes d'un e-mail que j'ai envoyé depuis l'un de mes propres domaines (dragon-architect.com) vers ma propre adresse e-mail personnelle:
Delivered-To: dragon.architect @ gmail.com Reçu: par 10.180.89.68 avec l'ID SMTP bm4csp105911wib; Mar 29 janvier 2013 08:54:47 -0800 (PST) X-Received: par 10.60.30.38 avec l'ID SMTP p6mr1296792oeh.2.1359478487251; Mar, 29 Jan 2013 08:54:47 -0800 (PST) Return-Path: <calyodelphi@dragon-architect.com>Reçu: de gateway14.websitewelcome.com (gateway14.websitewelcome.com. [69.93.154.35]) par mx.google .com avec l'ID ESMTP m7si14056914oee.29.2013.01.29.08.54.45; Mar, 29 Jan 2013 08:54:46 -0800 (PST) Reçu-SPF: neutre (google.com: 69.93.154.35 n'est ni autorisé ni refusé par le domaine de calyodelphi@dragon-architect.com) client-ip = 69.93. 154.35; Résultats d'authentification: mx.google.com; spf = neutral (google.com: 69.93.154.35 n'est ni autorisé ni refusé par le domaine de calyodelphi@dragon-architect.com) smtp.mail=calyodelphi@dragon-architect.comReceived: by gateway14.websitewelcome.com (Postfix, from userid 5007) id 0530E1DFDB334; Mar 29 Jan 2013 10:54:43 -0600 (CST) Reçu: de bentley.websitewelcome.com (bentley.websitewelcome.com [70.84.243.130]) par gateway14.websitewelcome.com (Postfix) avec l'ID ESMTP EA7191DFDB314 pour <dragon .architect @ gmail.com>; Mar, 29 Jan 2013 10:54:42 -0600 (CST) Reçu: de [127.0.0.1] (port = 43458 helo = dragon-architect.com) par bentley.websitewelcome.com avec esmtpa (Exim 4.80) (enveloppe- de <calyodelphi@dragon-architect.com>) id 1U0ESK-0001KE-DP pour dragon.architect@gmail.com; Tue, 29 Jan 2013 10:54:44 -0600MIME-Version: 1.0Content-Type: text / plain; jeu de caractères = UTF-8; format = flowedContent-Transfer-Encoding: 7bitDate: Mar, 29 Jan 2013 10:54:44 -0600 De: calyodelphi@dragon-architect.com À: <dragon.architect@gmail.com>Subject: Headers Test
Message-ID: <11c694cd1e07c66a404000008321d0c4@dragon-architect.com>X-Sender: calyodelphi@dragon-architect.comUser-Agent: Roundcube Webmail / 0.8.4X-AntiAbuse: Cet en-tête a été ajouté à un rapport d'abus s'il vous plaît : Nom d'hôte principal - bentley.websitewelcome.comX-AntiAbuse: Domaine d'origine - gmail.comX-AntiAbuse: UID / GID de l'expéditeur / appelant - [47 12] / [47 12] X-AntiAbuse: Domaine d'adresse de l'expéditeur - dragon-architect.comX -BWhitelist: noX-Source: X-Source-Args: X-Source-Dir: X-Source-Sender: (dragon-architect.com) [127.0.0.1]: 43458X-Source-Auth: calyodelphi @ dragon-architect. comX-Email-Count: 1X-Source-Cap: ZHJhZ2FyY2g7ZHJhZ2FyY2g7YmVudGxleS53ZWJzaXRld2VsY29tZS5jb20 = Test des tests!
C'est beaucoup de données aléatoires à parcourir, mais il y a deux lignes que nous examinons: chemin de retour et de. Puisque je me suis légitimement envoyé cet e-mail, ils correspondent tous les deux. Le chemin de retour ne peut pas être usurpé. Ou si c'est possible, il est incroyablement difficile d'usurper efficacement et nécessite une configuration délibérée du démon SMTP utilisé pour envoyer du courrier. Comparer le chemin de retour et les champs de données from dans les en-têtes complets est une façon pour moi et mes collègues où je travaille d'identifier l'usurpation d'identité et de déterminer si un ticket d'assistance doit être soumis.
Alors, que se passe-t-il si ils correspondent tous les deux, mais l'e-mail doit toujours être falsifié? J'y reviendrai dans la section suivante ...
Maintenant, comme mentionné précédemment, il existe d'autres moyens de déterminer l'usurpation d'un e-mail. Les enregistrements SPF sont l'un de ces moyens, mais ils ne sont pas toujours parfaits. Prenez, par exemple, le SPF de whitehouse.gov et comparez-le au SPF de mon propre domaine:
calyodelphi @ dragonpad: ~ $ dig + short txt whitehouse.gov "v = spf1 + mx ~ all "calyodelphi @ dragonpad: ~ $ dig + short txt dragon-architect.com" v = spf1 + a + mx + ip4: 70.84.243.130? all "
Habituellement, un bon enregistrement SPF comprend également l'adresse IP du serveur qui a envoyé le courrier, donc celui qui a créé l'enregistrement SPF pour whitehouse.gov ne le sait probablement pas. Je considérerais l'enregistrement SPF de whitehouse.gov trop générique pour être efficace pour déterminer les origines réelles de tout message prétendant provenir de whitehouse.gov. Le SPF pour mon propre domaine, en revanche, qui a été automatiquement généré par le serveur qui héberge mon domaine (avec l'aimable autorisation de mon hébergeur), est très spécifique et inclut l'adresse IP du serveur lui-même.
J'avouerai ne pas être intimement familier avec la façon dont les enregistrements SPF sont formatés et comment ils fonctionnent, mais j'en ai suffisamment appris sur mon travail pour que je puisse au moins identifier les enregistrements SPF génériques et spécifiques. Je suppose que c'est quelque chose que je devrais probablement approfondir un week-end quand je m'ennuie et que je veux des lectures techniques!
Quoi qu'il en soit, revenons sur la bonne voie ici. Regardez les lignes reçues. L'un d'eux déclare ainsi: Reçu: de bentley.websitewelcome.com (bentley.websitewelcome.com [70.84.243.130])
Devinez quoi? Cela correspond à l'adresse IP de l'enregistrement SPF de mon domaine.
Si l'adresse IP dans le SPF ne correspond pas à l'adresse IP du serveur qui a réellement envoyé l'e-mail, c'est une autre indication que vous avez usurpé votre mains. Par conséquent, un enregistrement SPF générique comme "v = spf1 + mx ~ all"
ne va tout simplement pas couper la moutarde de sécurité. Je ne ferais même pas confiance aux e-mails provenant d'un domaine légitime qui a un SPF générique comme celui-ci.
Peut-être devrions-nous déposer une pétition sur petitions.whitehouse.gov pour exiger que leur les administrateurs de sécurité revisitent l'enregistrement SPF qu'ils ont créé pour le domaine! (Je plaisante, je plaisante.)
MODIFIER
En fait, je dois MASSIVEMENT me corriger à propos des enregistrements SPF! J'ai fait de fausses hypothèses et appris quelques choses aujourd'hui après avoir interrogé un collègue qui était plus au courant que moi au sujet des enregistrements SPF. Donc, j'utiliserai les deux SPF pour whitehouse.gov et dragon-architect.com dans mon auto-correction:
calyodelphi @ dragonpad: ~ $ dig + short txt whitehouse.gov "v = spf1 + mx ~ all "calyodelphi @ dragonpad: ~ $ dig + short txt dragon-architect.com" v = spf1 + a + mx + ip4: 70.84.243.130? all "
Le SPF pour mon propre domaine est en fait plus clément que le SPF pour whitehouse.gov (quelque chose que je prévois de corriger ce soir après avoir terminé cette modification). Je vais vous expliquer pourquoi:
"v = spf1 + mx ~ all"
dit essentiellement que les e-mails de whitehouse.gov sont censés provenir des noms d'hôte définis dans les enregistrements MX pour whitehouse.gov, et tous les e-mails qui ne proviennent pas de ces noms d'hôte sont censés être usurpés, mais le fait de savoir s'ils sont marqués comme usurpation ou non dépend du destinataire de l'e-mail.
calyodelphi @ dragonpad: ~ $ dig + short mx whitehouse.gov110 mail6.eop.gov.105 mail2.eop.gov.110 mail5.eop.gov.105 mail1.eop.gov.105 mail4.eop.gov.105 mail3.eop. gov.
"v = spf1 + a + mx + ip4: 70.84.243.130? all"
indique que les e-mails de dragon-architect.com sont censés arriver depuis l'adresse IP de dragon-architect.com (67.18.28.78), les noms d'hôte définis dans le ou les enregistrements MX de dragon-architect.com, ou l'adresse IP du serveur qui héberge dragon-architect.com (70.84 .243.130). Tous les e-mails qui ne viennent pas de ceux-là, eh bien, cela? Tout à la fin signifie simplement qu'il n'y a aucun conseil sur l'opportunité de passer ou de rejeter les e-mails.
Alors, quelle est la viande et les pommes de terre d'un enregistrement SPF? Le «tout» à la toute fin. Pour citer ce collègue à propos du "tout":
+ tout signifie fondamentalement ALL passer - l'enregistrement est inutile, le domaine de l'expéditeur ne se soucie pas? Tout indique neutre et conseille de ne pas passer ou rejeter le courrier
~ tout indique un échec, et le serveur est considéré comme invalide, mais ne suggère pas spécifiquement une action.-tout est un échec brutal, tout le reste est invalide, rejetez-le ou marquez-le.
Pour que "tout" est l'endroit où vous définissez à quel point votre enregistrement SPF est strict. Mais la question de savoir si l’enregistrement SPF est réellement utilisé pour déterminer l’usurpation d’un e-mail dépend complètement du service de messagerie de réception.
Alors voilà l'avoir. SPF en un mot.
Alors oui. TL; DR: vérifiez vos en-têtes complets pour voir si le chemin de retour et les champs from correspondent. Vérifiez ensuite vos enregistrements SPF s'il y en a pour voir si vous obtenez des adresses IP correspondantes.