Perché la posta falsa ha ricevuto un "pass"? E perché non compare nel rapporto aggregato?

0

Buongiorno a tutti, sono stato buttato nel profondo con una richiesta del mio direttore. Conosco poco DMARC e lo spoofing delle e-mail in generale, ma sto cercando di estirpare in qualche modo PERCHÉ questo messaggio falso sia "passato". Viene da alcuni "[email protected]" con il nome visualizzato di uno dei nostri VP. :(

Sono anche preoccupato perché il rapporto aggregato non includeva questa email ... Ho cercato tra gennaio 31, 1 febbraio e 2. Dove è andato?

Vedi sotto ... In realtà non sono al 100% ciò che è "Sicuro" da condividere dall'intestazione dell'e-mail, ma le informazioni riportate di seguito sembrano abbastanza sicure da postare (ho eliminato il nome del dipendente e il nostro dominio). Per favore fatemi sapere se ho rivelato qualcosa che non dovrei avere (blocco stabile dopo che il cavallo si è schiantato, lo so).

Qualsiasi aiuto sarebbe apprezzato!

Consegnato a: [email protected]

Ricevuto: entro il 10.200.57.59 con SMTP id s56csp1949294qtb;         Mar, 31 Gen 2017 06:53:50 -0800 (PST)

X-Received: da 10.55.72.210 con SMTP id v201mr26460280qka.145.1485874430676;         Mar, 31 Gen 2017 06:53:50 -0800 (PST)

Return-Path:

Ricevuto: da mail-qt0-x242.google.com (mail-qt0-x242.google.com. [2607: f8b0: 400d: c0d :: 242])         di mx.google.com con ID ESMTPS g56si12092937qte.273.2017.01.31.06.53.50

per

(versione = TLS1_2 cipher = XXXXX-XXX-XXXXX-XXX-XXXXX bit = 128/128);         Mar, 31 Gen 2017 06:53:50 -0800 (PST) Received-SPF: pass (google.com: dominio di [email protected] indica 2607: f8b0: 400d: c0d :: 242 come mittente consentito) client-ip = 2607: f8b0: 400d: c0d :: 242; Risultati di autenticazione: mx.google.com;

dkim = pass [email protected];

spf = pass (google.com: dominio di [email protected] indica 2607: f8b0: 400d: c0d :: 242 come mittente consentito)  [email protected];

dmarc = pass (p = NONE sp = NONE dis = NONE) header.from = gmail.com Ricevuto: per mail-qt0-x242.google.com con ID SMTP s58so19260189qtc.2         per; Mar, 31 Gen 2017 06:53:50 -0800 (PST)

    
posta RGuthrie 03.02.2017 - 17:21
fonte

2 risposte

3

Anche se consideri questa email come falsificata, in realtà non lo è, o almeno non è realmente falsificata. Viene da un account gmail valido che non ha alcun rapporto con la tua azienda. E l'unico "spoofing" che è stato fatto è che il proprietario di questo account ha impostato il nome del tuo VP come proprio nome in modo che venga visualizzato come mittente.

Google non sa quale sia il vero nome della persona che ha configurato l'account. E Google non sa che il tuo VP ha bisogno di una protezione speciale in modo che nessuno possa essere in grado di usare il suo nome. E Google non sa che il tuo VP non configurerebbe mai un account Gmail. Quindi non c'è nulla di sbagliato in questa mail dal punto di vista di Google ed è per questo che ha passato tutti i controlli.

L'unico che potrebbe considerare sospetto questo messaggio sarebbe la tua azienda perché hai il nome del tuo vicepresidente e sai che il nome potrebbe essere utilizzato in modo errato per ingannare gli utenti. Ecco perché dovresti avere il tuo sistema di filtraggio della posta e alimentarlo con tali informazioni in modo che possa proteggerti con le tue conoscenze.

    
risposta data 03.02.2017 - 18:21
fonte
1

Oltre a ciò che Steffen ha già menzionato nella sua risposta, mi piacerebbe notare che lo spoofing del nome visualizzato è comune nei tentativi di phishing. Molti client di posta elettronica mostrano il mittente di un messaggio di posta elettronica come Display Name <Email Address> Gonfiando il nome visualizzato, in alcuni casi la parte dell'indirizzo email cade, ad esempio in questo modo:

John Johnssons, Vice President of Wing Tip Toys Inc. <[email protected]>

Per quanto riguarda i rapporti DMARC mancanti. Vengono inviati ai proprietari del dominio Header.From , in questo caso [email protected] , l'indirizzo nel record DMARC per il dominio gmail.com, dicendo che tutto è stato ottimo, perché sia SPF sia DKIM hanno prodotto un risultato Pass.

    
risposta data 10.01.2019 - 13:43
fonte

Leggi altre domande sui tag