Perché il mio server di posta elettronica non può identificare automaticamente gli indirizzi falsificati?

3

Ho ricevuto molte domande dagli stakeholder aziendali e ho cercato di risolvere questo problema da solo. Ho un approccio potenziale, ma voglio sfidare le mie ipotesi.

Nella mia mente, dovrebbe essere banale analizzare un'intestazione email per identificare un indirizzo falsificato confrontando i campi:

Il 100% degli incidenti di phishing che indago, vi è un'evidente mis-match nei 4 campi perché l'attacker ha specificato manualmente almeno uno dei primi 3 campi. Qualsiasi combinazione del dominio aziendale interno o del destinatario con domini esterni è una bandiera. Un alias che assomiglia a un'e-mail che non corrisponde a from e a reply-to è un flag.

Ma la complessità arriva quando l'email è:

  1. parte di una catena
  2. inoltrato
  3. inviato a più persone
  4. inviato da un servizio di gestione della posta

Capire quali messaggi di posta elettronica sono contraffatti può diventare complicato in questi casi, ma nessuna delle suddette condizioni esiste nelle mie indagini. Ad esempio, un tentativo di email o phishing falsificato è sempre stato un contatto iniziale da una singola fonte esterna. I servizi di gestione della posta elettronica sono noti e facili da inserire nella whitelist

Se continua così, non sarebbe banale identificare e allertare su email falsificate? Hai due campi di intestazione da analizzare ( from e reply-to ), e il loro contenuto è prevedibile e abbastanza semplice da creare una semplice espressione regolare da testare con i campi alias e Received .

Mi manca un elemento nelle mie ipotesi?

    
posta schroeder 27.01.2016 - 23:35
fonte

2 risposte

3

Penso che questo metodo restituirebbe molti falsi positivi. Un caso in particolare in cui si hanno falsi positivi è dove l'organizzazione del mittente ha il proprio nome di dominio (senderdomain.com), ma utilizzano un server SMTP in uscita ospitato da terzi (come il server SMTP in uscita dell'ISP o un host di posta elettronica server SMTP in uscita della società) per inviare la posta in uscita. Questo è molto comune - soprattutto in questi giorni, con molte grandi aziende che esternalizzano la posta a Gmail. Quindi, in questo caso, avresti:

•alias: "Joe Sender"
•from: [email protected]
•reply-to: [email protected]
•Received: smtp.sendersmailprovider.com

Come puoi vedere - in questo caso, il quarto campo (dove appare il nome del server SMTP in uscita con cui è stato inviato il messaggio) non contiene nulla che corrisponda a nessuna delle informazioni negli altri tre campi, quindi il messaggio sarebbe erroneamente contrassegnato come spam secondo la tua logica.

Ecco perché abbiamo metodi di autenticazione dei messaggi come SPF e DKIM, che si basano sulle informazioni pubblicate nel DNS del dominio del mittente per consentire ai filtri antispam di determinare (con ragionevole certezza) se un messaggio sia stato effettivamente inviato o meno da il mittente che appare nelle intestazioni del messaggio.

SPF realizza ciò specificando esplicitamente gli indirizzi IP (o l'intervallo di indirizzi IP) dei server SMTP da cui proviene la posta dal dominio, nel DNS per il dominio.

DKIM realizza ciò firmando digitalmente i messaggi inviati dal dominio, dove la firma digitale è scritta nelle intestazioni dei messaggi e la chiave pubblica utilizzata per verificare che la firma digitale sia pubblicata nel DNS per il dominio.

Per ulteriori informazioni su come funzionano entrambi questi metodi, consulta link .

    
risposta data 28.01.2016 - 20:29
fonte
1

È successo molte volte a me, che dovevo usare e-mail fornite localmente per inviare qualcosa, ma avevo bisogno che la risposta arrivasse al mio account principale / ufficiale. Per esempio, sono in compagnia venerdì sera, vedo la connessione persa dal server principale ma non posso essere spenta / accesa per ovvi motivi. Inoltre il lunedì mattina deve essere completamente recuperato. Sono in grado di farlo, ho solo bisogno di una nuova password per il server e qualche lungo binario da un collega, che ha appena lasciato il permesso di farlo da capo già a casa. Quindi scrivo email a quei due di il mio account aziendale, ma ho impostato reply-to sul mio account di casa. Poi vado a casa. Il giorno dopo ho una password e un binario nella mia e-mail e il permesso di entrare in azienda nel fine settimana sia sulla mia email di casa, così posso prenderlo, mostrarlo alla sicurezza, entrare e poi riparare tutti i problemi.

Ci sono molti più scenari, ma questo mi è successo personalmente. Inoltre, molte volte invio gli inviti alle attività del fine settimana a tutti i miei amici dal lavoro, ma con una risposta al mio indirizzo di casa in quanto non è stato possibile ricevere le risposte in tempo dal mio indirizzo di lavoro.

D'altra parte, di tanto in tanto, ho inviato alcune domande ufficiali dalla mia posta domestica con risposta alla mia email di lavoro, poiché quelle risposte erano relative al lavoro e urgenti.

Niente di tutto ciò era malevolo, ma avresti rifiutato tutto questo come spam falsificato.

E tu sai- la mia posta aziendale è [email protected], mentre la mia email di casa è [email protected] - nulla da abbinare automaticamente, ma tutti (e il suo cane) mi conoscono meglio con il mio nickname, quindi dal mio nome ufficiale.

    
risposta data 28.01.2016 - 19:48
fonte

Leggi altre domande sui tag