Utilizzo dell'e-mail come convalida individuale

2

La mia azienda invia spesso ordini a broker e banche per l'esecuzione di determinate azioni (come l'acquisto di fondi x o di y ). Al fine di ridurre la burocrazia, stiamo considerando di inviare una lista di e-mail che possono inviare ordini.

Ci sono grossi difetti in questa procedura? Ad esempio, qualcuno potrebbe fingere che stia inviando un messaggio di posta elettronica da qualcun altro (spoofing)? grazie!

    
posta matt_zarro 19.08.2015 - 20:08
fonte

2 risposte

11

È altrettanto facile spoofare il mittente dell'e-mail, come si può mentire sul mittente sulla busta di posta lumaca. Inoltre, non è solo facile ma molto utilizzato: la maggior parte delle e-mail spam e phishing utilizzano lo spoofing degli indirizzi. L'unico vero modo per essere sicuri del mittente è se il mittente firma la posta e il destinatario verifica la firma. Soluzioni comuni per la firma (e la crittografia) sono PGP e S / MIME .

Esistono altre tecniche anti-spoofing come DKIM o SPF ma questi funzionano al massimo a livello di domini e quindi non possono rilevare se qualcuno all'interno di un dominio sta spoofing un altro account di posta all'interno del dominio. Se la protezione a livello di dominio è tutto ciò che serve, DKIM deve essere preferito a SPF perché firma la posta in uscita utilizzando la crittografia. Questa firma può quindi essere verificata all'interno dei client di posta di supporto. Con SPF invece il server di posta ricevente deve verificare che la posta provenga dagli indirizzi IP previsti e l'utente finale non possa verificarlo. Ma puoi anche utilizzare contemporaneamente DKIM e SPF.

    
risposta data 19.08.2015 - 20:20
fonte
3

Se l'invio di ordini a broker e banche nella tua azienda richiede l'autorizzazione (solo i dipendenti autorizzati possono farlo), l'indirizzo email non è un metodo di autorizzazione.

Sì, è molto facile per qualcun altro fingere che stia inviando email da qualcun altro. Utilizzando una libreria client SMTP puoi facilmente falsificare un'e-mail. Vedi il seguente codice Python:

#!/usr/bin/python
import smtplib
from smtplib import SMTPException

sender = '[email protected]'
receivers = ['[email protected]']

message = """From: From Person <[email protected]>
To: To Person <[email protected]>
Subject: SMTP e-mail test

This is a test e-mail message.
"""

try:
   smtpObj = smtplib.SMTP('localhost')
   smtpObj.sendmail(sender, receivers, message)         
   print "Successfully sent email"
except SMTPException:
   print "Error: unable to send email"

NOTA: hai solo bisogno di installare ed eseguire un server SMTP sul tuo computer locale. Se non si sta eseguendo un server SMTP sul proprio computer locale, è possibile utilizzare il client smtplib per comunicare con un server SMTP remoto. Molti server SMTP remoti possono essere ingannati nell'invio di messaggi e-mail da email falsificate.

Ci sono alcuni strumenti che possono essere utilizzati per rilevare indirizzi email falsificati. Ma allora questi strumenti o tecniche di rilevamento devono essere eseguiti dai ricevitori che nel tuo caso presumo saranno i broker e le banche. Non penso che useranno questi strumenti :).

    
risposta data 19.08.2015 - 21:19
fonte

Leggi altre domande sui tag