spoofing dell'indirizzo di posta: come proteggermi [duplicato]

Naviga le tue risposte
0

Ho un server di posta, postfix per SMTP e Dovecot per IMAP, entrambi richiedono l'autenticazione. Ho appena ricevuto un'e-mail dal mio indirizzo, ma proveniente da un altro server SMTP. E, naturalmente, nella fonte del messaggio, posso vedere questo server da cui è stato inviato, ma non l'utente che l'ha fatto, solo il suo nome di macchina "debian.world".

Come posso proteggermi da questo? Perché in pratica significa che il tizio può inviare e-mail a chiunque usi il mio indirizzo, e non penso che le persone casuali controlleranno l'origine dei messaggi per verificare da quale SMTP proviene. Posso configurare qualcosa sul mio server che verificherà l'autenticità di un mittente? O dovrei scrivere un'intera sceneggiatura da solo?

Un'altra domanda: come dovrei leggere questo: 

Return-Path: <[email protected]>
Delivered-To: <[email protected]>
Received: from my.imap.myserver.com
    by my.imap.myserver.com (Dovecot) with LMTP id aEG5JBhePlnSDgAAz5VDmw
    for <[email protected]>; Mon, 12 Jun 2017 11:25:44 +0200
Received: from smtp25.services.sfr.fr (smtp25.services.sfr.fr [93.17.128.25])
    by my.smtp.myserver.com (Postfix) with ESMTPS id C693C3F0FE
    for <[email protected]>; Mon, 12 Jun 2017 11:25:43 +0200 (CEST)
Received: from debian.world (45.159.2.109.rev.sfr.net [109.2.159.45])
    by msfrf2635.sfr.fr (SMTP Server) with ESMTP id 055631C00081D
    for <[email protected]>; Mon, 12 Jun 2017 11:25:28 +0200 (CEST)
Received: from debian.world (45.159.2.109.rev.sfr.net [109.2.159.45])   (using TLSv1.2
    with cipher ECDHE-RSA-AES128-SHA256 (128/128 bits)) (No client certificate requested)
    by msfrf2635.sfr.fr (SMTP Server) with ESMTPS   for <[email protected]>;
    Mon, 12 Jun 2017 11:25:22 +0200 (CEST)
Message-ID: <953862.473459111-sendEmail@debian>
From: ME <[email protected]>
To: "[email protected]" <[email protected]>
Subject: etc...

(Ho ricevuto una mail da [email protected] al mio indirizzo [email protected], ma mi ha anche inviato una mail da [email protected] per esempio)

Che cosa significa? L'email proviene da smtp25.services.sfr.fr, ma cos'è msfrf2635.sfr.fr? Perché ci sono 3 SMTP coinvolti? Mi piacerebbe capire questo per favore ...

Grazie amici.

PS: Ho cambiato alcune informazioni cruciali perché conosco il ragazzo che l'ha fatto, e non voglio che abbia problemi con i suoi server. Il file msfrf2635.sfr.fr è comunque invariato.

    
posta NdFeB 12.06.2017 - 15:13
fonte

2 risposte

0

Per impedire ad altri di inviare email nel tuo nome, puoi utilizzare SPF . Questo è un record DNS che pubblica tutti gli indirizzi IP autorizzati a inviare posta da quel dominio.

Puoi anche utilizzare DKIM per firmare un messaggio con una chiave privata, la chiave pubblica è pubblicata in un DNS- registra e il server ricevente può verificare con quella chiave se era davvero tu a inviarlo.

Implementando sia SPF che DKIM dovresti riuscire a impedire ad altre persone di impersonare il tuo indirizzo email.

Per tenere traccia di quando la consegna della posta non funziona, puoi utilizzare DMARC . Questo può essere configurato su cosa deve fare un server di posta elettronica quando la verifica SPF o DKIM fallisce e anche quale indirizzo email per inviare un report.

    
risposta data 12.06.2017 - 15:38
fonte
0

Questo è il modo in cui SMTP va ...

Presumibilmente, msfrf2635.sfr.fr è un server SMTP legittimo dal provider di servizi Internet provider francese SFR. E il proprietario di debian.world probabilmente ha un account valido a SFR. Quindi IMHO ecco cosa è successo qui:

  • l'altro ragazzo ha preparato un messaggio contraffatto contenente intestazioni false (in particolare Da, forse altri)
  • si è collegato al proprio server ISP SMTP con il proprio account e ha inviato il messaggio falso. Il server controlla solo che l'indirizzo da envelop (SMTP MAIL FROM: fiels) sia valido e coerente con l'account utilizzato e che gli indirizzi di enveloping (SMTP RCPT TO: fields) siano raggiungibili. Quindi registra e inoltra il contenuto del messaggio (comprese le intestazioni esistenti) aggiungendo solo la propria intestazione Received e, facoltativamente, manca le intestazioni richieste come Date .
  • il tuo server riceve un messaggio da un server SMTP noto e lo accetta

Qualsiasi intestazione in un messaggio SMTP può essere falsificata (anche se non è possibile contraffarli tutti allo stesso tempo). Se è necessario essere in grado di ottenere un'autenticazione sicura del mittente, è necessario utilizzare un incapsulamento come S / MIME o PGP che sia in grado di firmare e / o crittografare in modo sicuro un messaggio.

    
risposta data 12.06.2017 - 15:39
fonte

Leggi altre domande sui tag

Snort regole uricontent Plausibile PayPal phishing ... senza prove le credenziali sono state rubate