Perché la verifica DKIM ha esito positivo con una firma di Yahoo quando tutte le intestazioni sono falsificate per sembrare GMail?

7

Oggi ho ricevuto una e-mail truffa che ho deciso di eliminare. Ho subito scoperto che era stato inviato da un indirizzo GMail ( From , Reply-To , Return-Path ) ma che la posta proveniva da Yahoo.

  • HELO di Yahoo
  • Ricevuto dalle mappe IP sia in avanti che in senso inverso
  • Mail ha una firma DKIM valida per yahoo.com
  • La posta non funziona correttamente. GMail SPF non funziona perché un IP di proprietà di Yahoo non ne fa parte

Ho trasmesso la posta tramite opendkim-testmsg, che mi dice che il messaggio va bene.

Sono davvero confuso da tutto questo. Ovviamente chiunque può firmare tecnicamente qualsiasi email utilizzando DKIM per il proprio dominio, anche se non corrisponde a nessuno dei domini utilizzati nella posta. Ma perché Yahoo dovrebbe farlo? E perché OpenDKIM non indica che c'è qualcosa di fasullo su questa mail, anche se il dominio Return-Path e il dominio DKIM non corrispondono?

Per richiesta popolare, alcune intestazioni e-mail. Si prega di notare che questa e-mail è stata attraverso un servizio di lavaggio della posta aziendale, Exchange e ho spogliato un sacco di dati di identificazione. La firma DKIM per la parte di intestazione corrisponde ancora, però. Ho omesso il corpo, ma convalida anche.

Received-SPF: softfail (MYMX: transitioning domain of gmail.com does not designate 87.248.110.97 as permitted sender) client-ip=87.248.110.97; [email protected]; helo=sonic302-34.consmr.mail.ir2.yahoo.com;
Received: from sonic302-34.consmr.mail.ir2.yahoo.com ([87.248.110.97])
    by MYMX with esmtps (TLSv1.2:ECDHE-RSA-AES128-GCM-SHA256:128)
    (envelope-from <[email protected]>)
    for MYNAME@MYDOMAIN; Wed, 28 Feb 2018 05:03:02 -0800
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.com; s=s2048; t=1519822976; bh=35/Syp7oOntp7GfGR2tdK316KBE4uAxZC5lOM//DYjg=; h=Date:From:Reply-To:Subject:References:From:Subject; b=KvnuAmNY1sujXiLsVnNqOJzF3MFxu/jY93zu5QKtbWRy9nMOhomUrZ+398oRwLC0P0RAkCbOj5a2x5JZtrZG4/71RKmHD/ftzOJI2goX2A4KaWrsczH4RsR/kfvpmz0jNRF4nxZONN4a5NKLavt6WPG7yWokVrGh2n/zUZPiFFv8kZL0uNPdIyCC94OiBh0c6GlSRpmTe0GbTQmbDgXZ+8nf7O5kiWpALbpSBHJ22QmdFhLLQWS18xZhl/AwprHFV+txsWtat02ldjYUmoGKhXNmTcWHDLPw7n5uyKXwsaOuX1uXSLzaWUgpnrD/v/FonebJoo1qkcnZoziov6TJmw==
X-YMail-OSG: dOZOfQ0VM1lyzg2OUT1yoveGRURYm6FHV_CU8qWTCRbr8jkKD_gBSwprVT5nSNr
 oxL32bI8ge8m_n_BDyDXFKnfZTDdFMGUPxFQt8bl2TLbWIC72.HGgEg6S8trxoSkeYLsPM8tUIhL
 XPCdlp3sNlz4quLJyyJznVo55S3vYeLt5fYSOqw2kJtOvf3l.puohOlVCc5WBZO1lp82MLbBi0rq
 0tCsbA3xDFW8_3JsxoJGinZ8fn0BBoqUfkfFdGv7UyoM94wlv4_GWYAQwIzicSQsC5od.fBm1lM_
 zSZlsV9hfeDUkwDyQiAmFq5rCUJ.3N7Lu9IKZTwnKjWvRFNudXOkEEJwW7Dg0eRNCBx.N2c.52Bi
 dfwYepO_0jqL.vF19srHCbj6PrUQjFYiIzaauD.m9IdfE692oG6o9B.w20VkMLmTcxjBKg7NC1pk
 6mWavSA7yHndoNrMfcB.liBw3XSLggRvPH60M
Received: from sonic.gate.mail.ne1.yahoo.com by sonic302.consmr.mail.ir2.yahoo.com with HTTP; Wed, 28 Feb 2018 13:02:56 +0000
Date: Wed, 28 Feb 2018 13:02:52 +0000 (UTC)
From: hs <[email protected]>
Reply-To: hs <[email protected]>
Message-ID: <[email protected]>
Subject: MRS.HELEN SOLOMON FUNDS TRANSFER ASSISTANCE.
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
References: <[email protected]>
To: Undisclosed recipients:;
Return-Path: [email protected]
MIME-Version: 1.0
    
posta jornane 28.02.2018 - 14:42
fonte

3 risposte

3

Non posso essere sicuro di non vedere le intestazioni, ma suppongo che da / reply-to / return-path siano tutte falsificate e consegnate dall'hacker come parte della transazione SMTP. Come hai detto tu, l'HELO è di yahoo, ed è yahoo che lo ha firmato. Yahoo non sta attestando il / i valore / i di nessuna delle intestazioni nella transazione, solo che è stato iniettato in un server yahoo, che poi ha dovuto firmarlo DKIM, a nome di yahoo, e che è andato via.

Per quanto riguarda il motivo per cui OpenDKIM non indica phishy-ness quando Return-Path e DKIM domain non corrispondono, sarebbe una domanda / bug-report per gli utenti di OpenDKIM a cui rispondere. Di nuovo, suppongo che sia solo il controllo del dominio del mittente MTA, contro la firma DKIM, che corrisponderà.

Sono d'accordo che sembra un bug.

    
risposta data 28.02.2018 - 19:00
fonte
2

Tutti DKIM fa dire che alcune parti del messaggio non sono state alterate tra firma del server SMTP in uscita e del client (in questo caso, DKIM ha firmato il corpo e diverse intestazioni identificate dalle chiavi b e h nell'intestazione DKIM-Signature ).

Integrità ≠ Autorità ≠ Sicurezza

Integrità: questi elementi firmati si limitano a garantire che non siano intromessi tra il relay di invio e il destinatario finale (tu). Una verifica verificata sulle firme dimostrerà solo che il server ha visto lo stesso contenuto che fai.

Questo messaggio con DKIM valido ha integrità, quindi lo vedi come previsto dal mittente.

Autorità: DMARC (e SPF ) possono determinare se il messaggio è stato approvato dal dominio in questione (gmail. com). SPF elenca i server di posta autorizzati a inviare per il dominio specificato e DMARC descrive le politiche da seguire se il messaggio manca allineato SPF o DKIM. (Allineamento significa che l'intestazione From corrisponde alla mail enveolope from (per SPF) o alla DKIM-Signature dell'intestazione d key (DKIM). Può essere "strict" per le corrispondenze host esatte o "rilassata" per le corrispondenze del dominio dell'organizzazione.)

DKIM's d = yahoo.com non è allineato con From's @ gmail.com, quindi non passa DMARC. SPF non riesce (l'infrastruttura di Yahoo non è consentita da GMail) ... e non è comunque allineata.

Questo messaggio manca di DKIM o SPF allineati + validi, quindi non è autorizzato.
... Sebbene il criterio DMARC (p = nessuno) non imponga un'azione, quindi è stato consegnato a te.

Sicurezza è qualcosa su cui i server hanno poco controllo. Se un utente viene compromesso (o all'inizio era malizioso), l'account può essere utilizzato per inviare spam firmato. La maggior parte dei relay di posta in uscita, in particolare quelli gratuiti come Yahoo e GMail, dispongono di funzionalità di rilevamento dello spam in uscita, ma tutti i sistemi di rilevamento dello spam hanno errori e mancano (soprattutto per l'outbound) sul lato della consegna. negativi invece di intrappolare la posta legittima come falsi positivi.

⚠️ DKIM, SPF e DMARC non giudicano la sicurezza del contenuto, solo l'integrità e l'autorità.

    
risposta data 15.03.2018 - 18:55
fonte
0

Spero di entrare nel vivo della questione così com'è ora espressa.

DKIM non ha lo scopo di verificare che i contenuti della busta siano precisi per il loro dominio. DKIM autorizza l'e-mail e il destinatario utilizza il protocollo DKIM per verificare che l'e-mail sia stata autorizzata per essere inviata dal mailer registrato nella busta.

Dalla RFC :

DKIM allows an organization to take responsibility for transmitting a message, in a way that can be verified by a recipient.

Ciò consente ad un intermediario di firmare e autorizzare l'invio della posta elettronica e l'invio da parte di un emailer per conto di altri domini.

Quindi, nel tuo caso, qualcuno ha creato un mittente falsificato, ma ha utilizzato il client e-mail e il mailer Yahoo per inviarlo. SPF fallisce (come dovrebbe) ma il protocollo DKIM fa esattamente quello che dovrebbe: firma la busta e il mailer la invia come email legittima inviata dai suoi sistemi. Il destinatario può vedere che la posta è stata autorizzata per essere inviata dal mailer di Yahoo e non modificata durante il trasporto, grazie a DKIM.

Quindi, sì, ciò che vedi nella tua intestazione è possibile, ma completamente valido, secondo il protocollo DKIM. Il mittente non verifica; autorizza.

Qual è il punto di DKIM, quindi? DKIM è utile in molti modi, inclusa la prevenzione della manipolazione in transito, ma anche per impedire che un server di posta elettronica personalizzato sia configurato per falsificare un emailer legittimo. Ad esempio, se realizzo un server di posta elettronica e configuro tutte le buste per indicare che l'e-mail è Yahoo. DKIM garantisce che quando il destinatario riceve l'e-mail, l'IP e i domini e le firme non corrispondono.

DKIM ha un caso d'uso molto ristretto e specifico. Quel caso d'uso è molto utile ma ha delle limitazioni conosciute, come questa. Ecco perché la raccomandazione è quella di combinare SPF, DKIM e DMARC. DMARC è il protocollo che dice al ricevitore cosa fare quando SPF fallisce (come ha fatto) ma passa DMARC. DMARC lega insieme i protocolli e insieme può essere creato il criterio che avrebbe respinto questa email sul tuo sistema.

    
risposta data 03.03.2018 - 12:24
fonte

Leggi altre domande sui tag