Sicurezza del server di posta: invia destinatari interni con indirizzo di mittente contraffatto

1

Ho notato che sono in grado di inviare e-mail dal server di posta della mia azienda a ricevitori interni da falsi indirizzi interni del mittente senza problemi e mi chiedo se questo dovrebbe essere considerato un problema di sicurezza o meno.

Ho scritto un piccolo script python per connettermi al server e inviare una mail da [email protected] a [email protected] e quella mail è stata consegnata senza problemi. A volte è stato contrassegnato come spam, a volte no. Dopo alcune e-mail, il server mittente è stato bloccato a causa della scarsa reputazione. Quindi la mia domanda è: questo comportamento è realmente previsto?

Mi aspetto che una tale configurazione sia ideale per inviare messaggi di phishing o spam ai dipendenti di quella particolare organizzazione. Ovviamente, capisco che dovresti essere in grado di collegarti a un server smtp dall'esterno per inviare mail a destinatari locali, altrimenti non è possibile recapitare alcuna posta. Ma è davvero normale che non ci sia alcun tipo di verifica dell'indirizzo del mittente o che sia così debole?

Un membro del dipartimento IT non sembrava sorpreso quando gli ho parlato di quel problema e mi ha detto che si trattava di un comportamento abbastanza normale. Questo post suggerisce che ha ragione: Problemi con l'utilizzo di un server di posta che non supporta l'autenticazione per inviare posta? . Così ho controllato se potevo fare lo stesso con il mio (mail-provider) sensibile alla sicurezza: il client è stato bloccato prima che potesse persino inviare la posta e l'indirizzo del client e del destinatario, entrambi i miei normali indirizzi di posta, sono stati respinti. Questo è quello che mi aspetterei da un server configurato correttamente. Ho sbagliato qui? È davvero trascurabile?

    
posta Michael Helwig 19.01.2016 - 11:03
fonte

1 risposta

1

Il problema che stai descrivendo è noto come spoofing , in cui puoi inviare un messaggio da [email protected], anche se non sei [email protected].

Poiché il protocollo SMTP risale ai primi anni '80, quando Internet era nelle sue fasi iniziali e utilizzato solo da un numero relativamente piccolo di utenti, gli ingegneri del protocollo SMTP non prevedevano il problema dello spoofing. Per questo motivo, gli utenti possono facilmente inviare messaggi che sembrano essere stati inviati da qualsiasi mittente che scelgono.

Per contrastare il problema dello spoofing, sono emersi metodi di autenticazione dei messaggi. Questi metodi vengono utilizzati per determinare se l'indirizzo del mittente che appare su un messaggio è probabilmente legittimo o se è probabile che sia stato falsificato. Autenticato se è probabile che un messaggio sia stato inviato dal mittente o da cui si presume che sia stato inviato, i filtri antispam possono determinare con maggiore precisione se un messaggio può essere o meno spam. Due standard ampiamente utilizzati per l'autenticazione dei messaggi sono Sender Policy Framework (SPF) e Domain Keys Identified Mail (DKIM).

SPF è un modo di pubblicare gli indirizzi IP dei server di posta da cui è autorizzata la spedizione della posta in uscita per un dominio. Ciò consente ai filtri antispam di determinare se un messaggio è stato probabilmente falsificato. Se il messaggio è stato inviato da un server di posta il cui indirizzo IP non è elencato nel record SPF per il dominio del presunto mittente, è probabile che il messaggio sia stato falsificato. I record SPF sono pubblicati come record TXT nel DNS per un dominio.

DKIM è un altro metodo per l'autenticazione dei messaggi. È una conseguenza di uno standard precedente, noto come DomainKeys, ed è basato su crittografia a chiave pubblica e firme digitali. Usando DKIM, il messaggio è firmato digitalmente da un'entità, che può essere il mittente stesso o una terza parte. La chiave pubblica del firmatario, che viene utilizzata per verificare la firma, viene pubblicata nel DNS per il loro dominio. Quando viene firmato un messaggio, la firma DKIM viene inserita nell'intestazione del messaggio. Al ricevimento del messaggio, la firma viene verificata utilizzando la chiave pubblica del firmatario. Se la firma è valida, significa che il firmatario ha garantito l'autenticità del messaggio. UltraSMTP può DKIM firmare i tuoi messaggi per tuo conto usando le nostre chiavi, oppure i messaggi possono essere firmati da UltraSMTP usando le tue chiavi.

Il dominio della tua azienda dovrebbe avere informazioni SPF o DKIM pubblicate nel suo DNS. Se configuri il tuo MX in arrivo per verificare che i messaggi in arrivo che sembrano essere stati inviati dagli utenti nel dominio della tua azienda siano stati inviati da un server SMTP incluso nel record SPF della tua azienda, o contengano una firma DKIM valida, allora può usare questo flag questi messaggi falsificati.

    
risposta data 19.01.2016 - 12:52
fonte

Leggi altre domande sui tag