Spoofing email Dall'indirizzo

Naviga le tue risposte
6

A patto che tutte le misure legali siano prese in considerazione, quali sono alcuni dei modi in cui qualcuno può falsificare un indirizzo di posta "Da" e ricevere effettivamente l'e-mail al destinatario senza che i filtri antispam mettano in mezzo. I seguenti sono i modi che attualmente conosco:

Telnet a un server di posta elettronica e inserire l'indirizzo da e poi l'indirizzo rcpt, ma normalmente vedo "550 incapace di inoltrare".

Utilizza Outlook con l'autorizzazione "Invia come".

Crea un account Windows Live Mail / Outlook Express con qualsiasi [email protected]

La linea di fondo è per scopi di test / didattici e vorrei sapere se è possibile inviare una e-mail che non viene catturata nel filtro spam con un campo "Da" falsificato con un link / logo nel corpo. Capisco che questo potrebbe cadere in una categoria "hacking", ma lo stesso vale per chiunque svolga esercizi di ingegneria sociale con documentazione firmata.

Nota: finora il metodo telnet sembra essere il miglior percorso, tranne per alcuni hangup come l'errore 550.

    
posta user6255 07.12.2011 - 20:55
fonte

2 risposte

13

Supponiamo che qualcuno (Mario) voglia inviare una e-mail a qualcun altro (chiamiamolo Nicolas). La cassetta postale di Nicolas è riempita da un server unico, diciamo smtp.gouv.fr (questo è un esempio fittizio). Quindi, qualunque cosa faccia Mario, l'email dovrà passare attraverso quel server, trasmesso con il protocollo SMTP (quello con il Comando 'RCPT'). Mario vorrebbe che la riga From fosse: From: [email protected] . Nota che ci sono in realtà due "da" indirizzi: quello nell'intestazione From: (che il destinatario vede con la sua solita applicazione di lettura della posta), e quello che viene dato tramite la MAIL FROM Comando SMTP (quest'ultimo apparirà nell'intestazione Return-Path: ).

Ora, sebbene l'e-mail debba passare attraverso il server SMTP di Nicolas, potrebbe fare alcuni salti. La normale situazione di invio della posta è che il mittente utilizza il server SMTP del proprio ISP e quel server parlerà con il server SMTP di destinazione. Il server ISP di Mario è smtp.governo.it . Mario può decidere di eseguire il suo telnet (o equivalente, ma sempre SMTP alla fine) su smtp.governo.it , smtp.gouv.fr o qualche altro server, ad es. smtp.bundestag.de (il server SMTP dell'ISP di Angela), o qualche altro server ( smtp.buckingham.uk ).

Ci sono varie cose che possono impedire a Mario di farlo:

  • L'ISP di Mario può impedire qualsiasi connessione in uscita dalla sua macchina a qualsiasi server SMTP (ad esempio qualsiasi connessione TCP che indirizza la porta 25) eccetto se la macchina di destinazione è smtp.governo.it . Molti ISP lo fanno, principalmente per impedire che la macchina zombie spammini ampiamente senza alcun controllo.

  • smtp.governo.it può rifiutare il tentativo perché l'indirizzo "da" pubblicizzato non è un indirizzo che termina con " @governo.it ". Il server può imporre tale filtro sull'intestazione " From: " o sul comando MAIL FROM o su entrambi. Alcuni (non tutti) ISP applicano tali regole.

  • Se Mario contatta smtp.buckingham.uk , quel server può rifiutare il tentativo perché la posta non è destinata a un indirizzo in buckingham.uk , o inviata con un indirizzo "da" in " @buckingham.uk ". I server che inoltrano e-mail arbitrarie da e verso l'esterno sono chiamati "open relay" e sono generalmente disapprovati, in particolare perché gli spammer li adorano.

  • Se Mario contatta smtp.bundestag.de , quel server può anche rifiutare il tentativo, sebbene la posta sia effettivamente pubblicizzata come inviata da Angela, perché smtp.bundestag.de sa che Angela userebbe una connessione proveniente da uno dei IP indirizzi che fanno effettivamente parte della rete gestita da bundestag.de . Se smtp.bundestag.de non lo stava facendo, sarebbe anche considerato un "relay aperto" (sebbene meno aperto rispetto all'istanza precedente, ma in parte comunque aperto).

  • Se Mario trova un server SMTP ( non smtp.bundestag.de ) che accetta di inoltrare l'e-mail, o se Mario si collega direttamente a smtp.gouv.fr , allora il tentativo può ancora essere rifiutato se il dominio bundestag.de utilizza SPF . SPF è un modo per un dominio di pubblicizzare, attraverso il DNS, alcune politiche di invio della posta. Qui, bundestag.de pubblicherebbe con SPF l'informazione che le email normali inviate da @bundestag.de persone dovrebbero provenire da smtp.bundestag.de e da nessun'altra parte. smtp.gouv.fr , dopo aver visto la connessione di Mario (o la connessione dal credulone server SMTP trovato da Mario), può quindi guardare i record SPF per bundestag.de e rilevare l'anomalia. Ovviamente SPF non è utilizzato ovunque e poiché è basato su DNS è vulnerabile agli attacchi DNS coordinati ("avvelenamento DNS" e cose del genere).

  • Alcuni grandi provider di posta impongono limiti oscuri e arbitrari, che possono avere lo stesso effetto di SPF, ma in modo non documentato e talvolta ufficialmente negato.

Quindi la migliore scommessa per Mario sarebbe quella di connettersi con telnet a smtp.gouv.fr (supponendo che il suo ISP glielo permetta, e che bundestag.de non usi SPF, o che smtp.gouv.fr ignori le informazioni SPF); o potrebbe provare a trovare qualche macchina hackerabile o comunque compiacente da qualche parte nel bundestag.de , e usarlo come un relay aperto per inviare la posta attraverso smtp.bundestag.de (che avrebbe il vantaggio di rendere tutte le intestazioni "realistiche", come se Angela l'avesse fatto lei stessa).

    
risposta data 07.12.2011 - 21:39
fonte
0

Sì, è possibile che i server di posta siano possibili, poiché spesso convalidano solo il tuo login e il loro dominio, ma non l'indirizzo e-mail.

Quindi se vuoi spoofare un @ mailserver potresti essere in grado di accedere come b @ mailserver e inviare una e-mail da un @ mailserver. Il server convalida il login e che il mittente proviene dal suo dominio e invia una mail, che è indistinguibile.

Molti provider fanno cose per impedirlo. Alcuni aggiungono il login come intestazione della posta o almeno un id univoco (cioè gmail) per l'utente. Gli altri filtrano solo dall'indirizzo del mittente se gli è permesso di usarlo. Molti altri sono solo aperti a questo tipo di attacco.

Questo ovviamente funziona solo se puoi ottenere un account sul server corrispondente.

    
risposta data 22.12.2017 - 14:48
fonte

Leggi altre domande sui tag

Ottenere l'indirizzo IP di una macchina virtuale per utilizzare Metasploit La politica di sicurezza dei contenuti è un approccio che vale la pena di supportare?