欺骗电子邮件如何通过SPF支票并降落在我的收件箱中

发件人策略框架如果您允许数十亿个IP地址作为您的域发送,则无法帮助防止垃圾邮件和网络钓鱼

发件人策略框架如果您允许数十亿个IP地址作为您的域发送,则无法帮助防止垃圾邮件和网络钓鱼

二十年前,保罗·维克西(Paul Vixie)发布了关于评论的请求拒绝来自的邮件这有助于刺激互联网社区开发一种与垃圾邮件打击的新方法发件人策略框架(SPF)。那时的问题是简单邮件传输协议(SMTP)用于在Internet上发送电子邮件,无法检测锻造的发送者域。

但是,当使用SPF时,域所有者可以发布域名系统(DNS)记录,该记录定义了授权使用其域名发送电子邮件的IP地址。在接收端,电子邮件服务器可以查询SPF记录显而易见发件人域以检查发件人的IP地址是否被授权代表该域发送电子邮件。

SMTP电子邮件和SPF概述

熟悉SMTP消息发送机制以及SPF如何与他们互动的读者可能更喜欢跳过本节,尽管它很短。

想象爱丽丝在example.com希望向鲍勃发送电子邮件example.org。如果没有SPF,Alice和Bob的电子邮件服务器将进行SMTP对话,类似以下内容,它可以使用HELO而不是EHLO进行简化,但不会显着改变基本结构:

这就是发送和接收互联网(SMTP)电子邮件的方式自1980年代初以来,但至少按照当今的互联网标准,它是一个主要问题。在上面的图中,乍得在示例.net可以很容易地连接到example.orgSMTP服务器,进行完全相同的SMTP对话,并显然来自Alice的电子邮件example.com交付给鲍勃example.org。更糟糕的是,除了与诊断消息标头中的主机名一起录制的IP地址(在此不显示)中,没有什么表明鲍勃的欺骗,通常很难访问。

尽管在电子邮件垃圾邮件的初期没有虐待,但随着大众垃圾邮件成为已建立的,虽然值得鄙视的商业模式,但这种电子邮件伪造技术被广泛采用,以提高正在阅读甚至采取行动的垃圾邮件信息的机会。

回到假设的乍得示例.net传达“来自”爱丽丝的消息……这将涉及两个级别的模仿(或伪造),现在许多人认为可以或应该进行自动化的技术检查来检测和阻止此类伪造的电子邮件。第一个是在SMTP信封级别,第二个位于消息标题级别。spf在SMTP信封级别提供检查,以及后来的反诉讼和消息身份验证协议DKIMDMARC在消息标题级别提供检查。

SPF可以工作吗?

根据一个学习SPF记录于2022年出版,其中约有15亿个域名有32%。在这些中,有7.7%的语法无效,1%的人使用了弃用的PTR记录,其中IP地址将IP地址指向域名。SPF的吸收确实很慢,确实有缺陷,这可能会导致另一个问题:有多少域的SPF记录过于允许?

最近的研究发现仅澳大利亚的264个组织在其SPF记录中就有可剥削的IP地址,因此可能不知不觉地为大型垃圾邮件和网络钓鱼活动奠定了基础。虽然与该研究发现的内容无关,但我最近有自己的刷子和潜在的危险电子邮件,这些电子邮件利用了错误配置的SPF记录。

在我的收件箱中欺骗电子邮件

最近,我收到了一封电子邮件,声称来自法国保险公司Prudence CRéOle,但拥有所有垃圾邮件的标志和欺骗:

虽然我知道伪造来自电子邮件的地址消息标题是微不足道的,但是当我检查完整的电子邮件标题并发现SMTP信封邮件中的域中,我的好奇心就引起了:地址:地址。回复@prudencecreole.com已经通过了SPF检查:

所以我查找了域的SPF记录prudencecreole.com

这是IPv4地址的巨大块!178.33.104.0/2包含25%的IPv4地址空间128.0.0.0191.255.255.255。超过十亿的IP地址获得了Prudence Creole的域名批准的发件人 - 垃圾邮件发送者的天堂。

只是为了确保我不是在开玩笑,我在家中设置了一封电子邮件服务器,我的互联网服务提供商分配了一个随机但符合条件的IP地址,并向自己发送了一封电子邮件prudencecreole.com

成功!

最重要的是,我从我的收件箱中的另一封垃圾邮件中查看了一个域名的SPF记录wildvoyager.com

瞧,0.0.0.0/0Block允许整个IPv4地址空间,包括超过40亿个地址,可以通过SPF检查,同时摆姿势为Wild Voyager。

在此实验之后,我通知了Prudence CRéOle and Wild Voyager关于他们配置错误的SPF记录。Prudence créOle在本文发布之前更新了SPF记录。

思考和经验教训

为您的领域创建SPF记录不是反对垃圾邮件发送者欺骗努力的死亡中风。但是,如果使用安全配置,SPF的使用会挫败许多尝试,例如到达我的收件箱中的尝试。也许立即使用,更广泛使用和更严格地应用SPF的障碍是电子邮件的交付性。玩SPF游戏需要两个,因为发件人和收件人都需要协调他们的电子邮件安全策略,以防由于双方使用的过于严格的规则,因此无法发送电子邮件。

但是,考虑到垃圾邮件机的潜在风险和损害,可以适当地应用以下建议:

  • 为您的所有HELO/EHLO身份创建SPF记录,以防任何SPF验证者遵循RFC 7208中的建议检查这些
  • 最好使用全部带有的机制-透明或者透明预选赛而不是透明预选赛,后者有效地允许任何人欺骗您的领域
  • 设置“删除所有内容”规则(v = spf1 -all)对于您拥有的每个域和子域,它永远不会生成(Internet路由)电子邮件或出现在Helo/ehlo的域名部分或邮件中:命令
  • 作为指南,请确保您的SPF记录较小,最多512个字节,最好防止某些SPF验证符默默地忽略它们
  • 确保您仅在SPF记录中授权一组有限且值得信赖的IP地址

SMTP的广泛使用来发送电子邮件创造了一种IT文化,专注于可靠,有效地传输电子邮件,而不是安全,并具有隐私。重新调整以安全为中心的文化可能是一个缓慢的过程,但是鉴于与互联网的一大片垃圾邮件中的一项垃圾邮件中的垃圾邮件之一获得明确的股息。

注册以收到电子邮件更新,每当我们在我们的乌克兰危机 - 数字安全资源中心

通讯

讨论