La sicurezza di inviare e-mail con SPF / DKIM, ma non firmato

8

Stiamo utilizzando un servizio di invio di e-mail (abbastanza conosciuto) per inviare le nostre e-mail. Abbiamo apportato modifiche al DNS in modo che le e-mail che le attraversavano avrebbero superato SPF e DKIM.

Alcuni giorni fa abbiamo notato che consentono a qualsiasi account con loro di inviare email per conto di domini che non appartengono a quell'account. Ad esempio, supponiamo che il mio dominio sia mycompany.com e ora desidero aggiungere mycompetitor.com al mio account. Questo servizio ora mi consente di inviare e-mail da @ mycompetitor.com.

Ne ho parlato con loro e la loro soluzione non era più "firmare" l'e-mail, ma permettermi comunque di aggiungere qualsiasi dominio desiderassi. Così ora posso ancora inviare da @ mycompetitor.com eccetto che Gmail, per esempio, mostrerebbe "via email-sending-service.com". SPF e DKIM sarebbero comunque passati e l'e-mail non è contrassegnata come spam.

Quindi, sono paranoico? Sento che usando questo servizio di posta elettronica permetterebbe a chiunque abbia un account di inviare e-mail che assomigliano a come vengono da noi.

Sostengono che questa è una "pratica standard" e che chiunque abbia una scatola da qualche parte potrebbe fare lo stesso. Ma SPF / DKIM passerebbe ancora in questi casi?

Ritengo che apportando modifiche al DNS autorizzo questa e-mail che invia l'azienda a inviare e-mail per mio conto, quindi la società va avanti e consente a chiunque abbia un account di inviare per mio conto (senza la parte per la firma); sono fuori servizio?

Grazie

    
posta pbz 09.04.2013 - 21:52
fonte

1 risposta

10

SPF sul tuo dominio non significa impedire a tu di inviare email contraffatte; si tratta di impedire ad altre persone di inviare email con il tuo dominio. Per essere più precisi, se possiedi dominio foo.com , puoi documentare in SPF che "ogni email che pretende di provenire da un indirizzo @ foo.com deve uscire dalla macchina smtp.foo.com e nessun'altra". I server di posta elettronica che ricevono un messaggio di posta elettronica con un mittente presunto con un @foo.com indirizzo possono quindi cercare i record SPF e verificare se l'email sembra provenire dal server legittimo (il tuo) o altri.

L'elaborazione SPF non è obbligatoria, quindi spetta a ciascun server e-mail applicarlo a suo piacimento.

I record SPF sul tuo dominio ( foo.com ) non ti impediranno di inviare un'email con un indirizzo falso, ad es. un indirizzo che termina con @bar.com . In tal caso, sarebbero i record SPF sul dominio bar.com che contano.

DKIM ha un obiettivo in qualche modo simile. Quando il tuo server utilizza DKIM, quindi firma ogni e-mail che lo attraversa. Il DNS per il tuo dominio documenta questo fatto e pubblica la chiave pubblica (quella utilizzata per verificare la firma). Presumibilmente, quando un server di posta elettronica riceve un'e-mail con un mittente di @foo.com , quel server vedrà la tua chiave DKIM nel DNS e verificherà quindi la firma. Se la firma è assente o non corrisponde al contenuto della posta, allora il server di posta elettronica ricevente saprà che qualcosa non va.

Anche in questo caso, l'elaborazione DKIM dipende da ciascun server di posta elettronica. E, ancora una volta, nulla nel tuo dominio ti impedirà di inviare email con @bar.com come presunto mittente, ma se il proprietario bar.com utilizza DKIM stesso, il tuo falso verrà rivelato.

Riepilogo: le regole DNS relative a SPF e DKIM, aggiunte al dominio foo.com , documentano come un messaggio di posta elettronica dovrebbe normalmente essere inviato / firmato quando finge di essere inviato da qualcuno con un indirizzo @foo.com . Le regole DNS in foo.com non dicono nulla di e-mail che pretendono di provenire da un altro dominio.

    
risposta data 09.04.2013 - 22:10
fonte

Leggi altre domande sui tag