Posso spoofare email?

-1

Voglio dire, se avessi il mio SMTP (anche, è solo una questione di soldi o ci sono alcune limitazioni per l'esecuzione del mio server SMTP?) e si limiterebbe a creare completamente la posta (intestazioni, IP falsificati e tutto il resto) e poi ha inviato la posta, sarebbe lì da qualcosa per fermarmi?

    
posta ShinobiUltra 25.09.2016 - 00:30
fonte

3 risposte

4

La semplice risposta è sì, è possibile falsificare la posta. È possibile eseguire lo spoofing dell'indirizzo e-mail FROM e del dominio di invio, tuttavia non sarà possibile falsificare l'indirizzo IP di origine. (Il tuo indirizzo IP è utilizzato nel processo di stabilire una connessione al server di posta ricevente, quindi se falsi il tuo indirizzo IP non sarai in grado di stabilire una connessione in quanto i pacchetti non ti restituiranno.)

Quindi supponiamo che tu invii un messaggio con un indirizzo e un dominio FROM falsificati, ma con il tuo vero indirizzo IP. Purtroppo, ciò che succede dopo è difficile da dire, poiché dipende dalla configurazione sia del dominio che si sta spoofing, sia della configurazione del server di posta ricevente. Se entrambi sono configurati correttamente, il tuo messaggio finirà nello SPAM o sarà rifiutato a titolo definitivo. In caso contrario, il tuo messaggio potrebbe arrivare alla casella postale del destinatario.

Perché il tuo messaggio potrebbe finire nello spam? Nel corso degli anni sono stati sviluppati numerosi meccanismi per combattere lo spoofing delle e-mail e aiutare i server di posta a identificare i messaggi falsificati. Esiste un semplice noto come SPF (Sender Policy Framework) e uno più robusto, noto come DKIM (Domain Identified Mail).

SPF

Se sei un proprietario di un dominio (il che significa che hai accesso ai record DNS del tuo dominio), puoi aggiungere un record speciale che elenca essenzialmente tutti gli indirizzi IP autorizzati a inviare email per conto del tuo nome di dominio. Quando un server di posta ricevente riceve un messaggio, può confrontare l'indirizzo IP che il messaggio è stato ricevuto da contro l'elenco di indirizzi autorizzati pubblicati dal proprietario del dominio. Se l'IP non è autorizzato, il server di posta ricevente può scegliere di rifiutare o contrassegnare il messaggio.

DKIM

DKIM sfrutta anche il DNS, ma è sostanzialmente più robusto perché si basa sulla crittografia a chiave pubblica piuttosto che su semplici elenchi di indirizzi IP. Se sei un proprietario di dominio, generi una coppia di chiavi pubblica-privata e pubblica la chiave pubblica come record DNS. Si installa la chiave privata su tutti i server di posta legittimi che inviano, che utilizzano la chiave privata per firmare crittograficamente ogni messaggio in uscita. La ricezione di server di posta può verificare che le firme siano valide recuperando la chiave pubblica tramite DNS. Se tenti di falsificare la posta elettronica da un dominio protetto da DKIM, non potrai aggiungere la firma crittografica perché non possiedi la chiave privata.

DMARC

Oltre a SPF e DKIM, i proprietari di domini possono anche pubblicare in DNS qualcosa chiamato un criterio DMARC, che indica ai server di posta di ricezione cosa fare se incontra un messaggio che non supera i controlli SPF o DKIM. Questa politica può essere lassista o severa a seconda di quanto il proprietario del dominio desideri combattere i messaggi falsi dal suo dominio.

In sintesi

Se il dominio che stai spoofing ha pubblicato i record SPF e DKIM con un rigido criterio DMARC e stai inviando il messaggio a un server di posta con un filtro antispam configurato correttamente, molto probabilmente il tuo messaggio finirà nello spam. Se stai falsificando un messaggio da un dominio che non ha configurato correttamente SPF / DKIM / DMARC e / o il server di posta ricevente ha un filtro lassista, il tuo messsage potrebbe farcela.

    
risposta data 25.09.2016 - 01:32
fonte
2

Fai una semplice domanda nel titolo. La risposta semplice è , puoi contraffare la posta elettronica. C'è ben poco da fermarti.

is it just about money or are there some limitations to running my own SMTP server?

Se intendi "perché non tutti eseguono il proprio server smtp", la risposta è: le persone non sanno come; le persone stanno bene con qualsiasi servizio offerto online; le persone non vogliono spendere gli sforzi per l'installazione e la manutenzione; o in effetti qualcuno non ha il proprio server e ottenerne uno è almeno $ 5 al mese o giù di lì, il che probabilmente non ne vale la pena.

A seconda di quanto ti preoccupi di aggiustare la merda di altre persone, può essere molto impegnativo anche crearne uno. Fondamentalmente l'invio di una e-mail è estremamente semplice, ma molte persone scelgono di utilizzare filtri anti-spam (o hanno filtri spam selezionati per loro) che ti bloccano. Se ti interessa, devi andare in giro e aggiustare tutto per i server di posta di altre persone: alcuni vogliono che tu riprovi un messaggio (greylisting), alcuni vogliano aggiungere SPF, alcuni richiedono DKIM, alcuni usano blacklist come spamhaus così hai per rimuovere il tuo indirizzo IP da lì se il precedente proprietario ha fatto in modo che l'indirizzo IP venga inserito in tale elenco e probabilmente dovresti occuparti di qualche problema specifico di Gmail. Non so cosa, ci sono sempre guai con il monopolista. Soprattutto perché le persone credono che Google abbia meno probabilità di commettere un errore rispetto a te, pensano che sia colpa tua, quindi vai e divertiti a cercare di ottenere la tua whitelist su Gmail.

Would a completely made-up mail (headers...

Le intestazioni sono solo testo che puoi scrivere. Spoof loro tutto quello che vuoi.

... spoofed IPs...

Tieni duro, come farai a spoofare il tuo indirizzo IP? Puoi inviare un pacchetto con un indirizzo IP falsificato a Internet e, se sei fortunato, il tuo ISP non lo blocca (anche se è la Best Current Practice®), ma tutte le risposte torneranno alla fonte falsificata in modo che tu possa ricevere ciò che il server sta inviando. In pratica stai mandando al buio e spero che tutto vada bene.

Inoltre, SMTP funziona su TCP. Puoi eseguire lo spoofing di una connessione TCP (contrariamente alla credenza popolare), anche se è difficile, soprattutto se devi inviare molti dati . Un'email richiede come minimo un HELO x , MAIL FROM:valid@address , RCPT TO:valid@address e infine i tuoi dati di posta elettronica (ad esempio ATTACK AT DAWN ). Poiché ci vogliono alcuni miliardi di tentativi per falsificare una connessione TCP, sono molti i dati che potrebbero non passare inosservati dal lato del destinatario.

Tecnicamente possibile, ma praticamente vicino a non fattibile. Al rialzo, le connessioni diventano sempre più veloci, quindi diventa sempre più disponibile in ogni momento.

... and everything

Non tutto! I sistemi di crittografia come DKIM, progettati per dimostrare che sei autorizzato a inviare email per il dominio da cui provieni, non possono essere falsificati.

Solitamente manca solo un'intestazione DKIM, tuttavia non si fermerà completamente l'email. Non ho impostato DKIM per il mio dominio e ho avuto problemi forse una volta ogni due anni. Dopo aver costruito la reputazione sull'indirizzo IP, funziona abbastanza bene.

would there be someone to stop me?

Le autorità potrebbero voler parlare con te. Lo spoofing potrebbe essere o meno illegale a seconda del Paese di provenienza o di destinazione, ma sono le frodi e lo spam.

    
risposta data 25.09.2016 - 01:23
fonte
0

s it just about money or are there some limitations to running my own SMTP server?

Supponendo di avere abbastanza soldi per le utilità richieste per eseguire il tuo server, e il tuo ISP non filtra le connessioni in entrata sulla porta TCP 25, dovresti stare bene.

Usando Telnet puoi inviare richieste malformate. Queste richieste possono contenere qualsiasi indirizzo email.

I problemi menzionati sopra, SPF, DKIM e DMARC sono tutti MOLTO protezione utile anche se sfortunatamente hanno lo stesso difetto: usano DNS, che usa UDP, che è altrettanto facile da falsificare. Infatti, il server che riceve l'e-mail contraffatta spara queste numerose richieste, ma non prima che riceva l'e-mail contraffatta.

Gli attaccanti traggono vantaggio da un enorme attacco legato ai tempi, qui: sanno di poter battere la legittima risposta del DNS con i propri falsi (in genere, lo stile della forza bruta per aumentare le probabilità di successo, in genere).

L'ostacolo principale è che gli attaccanti possono solo indovinare gli identificatori di pacchetto univoci richiesti per la corrispondenza. Se funziona la prima volta, ottimo, gli aggressori hanno dirottato con successo tutto il traffico SPF, DKIM e DMARC utilizzando l'inquinamento della cache DNS ... per anni, se decidono di farlo ...

Una volta che questo è compiuto, l'attaccante ha stabilito rifiuto del servizio dei servizi di autenticazione, e AFAIK se questi servizi non esistono, allora la posta viene inoltrata piuttosto che lasciata cadere.

Altrimenti gli aggressori devono aspettare che la voce della cache scada e riprovare (e possono anche recuperare un TTL che li aiuterà) ... ci sono stati attacchi documentati seri che permettono a un utente malintenzionato di dirottare il traffico DNS per un'intera zona; questi si basano sull'ingannare i server dei nomi upstream in voci del server dei nomi forgiate nella cache per i domini in questione.

La protezione contro questo si presenta sotto forma di DNSSEC (e possibilmente IPSEC?) oltre a SPF / DKIM / DMARC. Sfortunatamente, Internet non ha accettato all'unanimità questi termini, quindi abbiamo bisogno di un ripiego, che è quello di consegnare la posta solo dopo che i controlli SPF / DKIM / DMARC hanno fallito.

... spoofed IPs ...

Le connessioni TCP forgiate sono molto difficili da stabilire. Devi essere in grado di indovinare con precisione gli identificatori di pacchetto per ogni pacchetto. Possibile, ma poco pratico. Gli aggressori potrebbero essere più propensi a utilizzare una rete pubblica Wi-Fi per condurre i loro attacchi ... per non parlare degli occhiali da sole .

... would there by something to stop me ?

Suppongo che dipenda da dove vivi. Ci sono paesi che non trattano questi tipi di attacchi come incidenti criminali, e poi ci sono paesi che cercheranno di rivendicare che gli aggressori sono turisti !

Inoltre, l'autorità non condurrà generalmente un'indagine a meno che non venga commesso un crimine. Una volta che ti sei infiltrato con successo in un sistema, sei nel ... Alle tue autorità potrebbe non piacere, ma saranno (mesi) troppo tardi.

    
risposta data 25.09.2016 - 02:27
fonte

Leggi altre domande sui tag