Bu e-posta SPF kontrollerini nasıl alt üst ediyor?

13

SPF seti ile e-postaları doğru şekilde işleyen bir posta sunucusu çalıştırıyorum - ancak bir bankadan geldiğini iddia eden sahte e-postalar almaya başladım - Kimden adresi banka olarak ayarlanmış - ancak kesinlikle bankadan kaynaklanmadı.

E-postanın ilgili başlıkları aşağıdaki gibidir:

Delivered-To: me@mydomain.name
Received: from mail.mydomain.org (localhost [127.0.0.1])
    by mail.mydomain.org (Postfix) with ESMTP id AD4BB80D87
    for <user@mydomain.com>; Thu, 13 Oct 2016 20:04:01 +1300 (NZDT)
Received-SPF: none (www.tchile.com: No applicable sender policy available) receiver=mydomain.org; identity=mailfrom; envelope-from="apache@www.tchile.com"; helo=www.tchile.com; client-ip=200.6.122.202
Received: from www.tchile.com (www.tchile.com [200.6.122.202])
    (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
    (No client certificate requested)
    by mail.mydomain.org (Postfix) with ESMTPS id 40F6080B9F
    for <user@mydomain.com>; Thu, 13 Oct 2016 20:03:57 +1300 (NZDT)
Received: from www.tchile.com (localhost.localdomain [127.0.0.1])
    by www.tchile.com (8.13.1/8.13.1) with ESMTP id u9D73sOG017283
    for <user@mydomain.com>; Thu, 13 Oct 2016 04:03:55 -0300
Received: (from apache@localhost)
    by www.tchile.com (8.13.1/8.13.1/Submit) id u9D73smu017280;
    Thu, 13 Oct 2016 04:03:54 -0300
Date: Thu, 13 Oct 2016 04:03:54 -0300
Message-Id: <201610130703.u9D73smu017280@www.tchile.com>
To: user@mydomain.com
Subject: CANCELLATION_PROCESS.
From: KIWI BANK <noreply@kiwibank.co.nz>
Reply-To: 
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary=029F3E3270D5187AA69203962BF830E3
X-Virus-Scanned: ClamAV using ClamSMTP

Burada önemli olan kiwibank.co.nz olduğum meşru, saygın bir bankadır ve şu okuyan bir SPF kaydına sahiptir:

kiwibank.co.nz.     13594   IN  TXT "v=spf1 include:_spf.jadeworld.com ip4:202.174.115.25 ip4:202.126.81.240 ip4:202.12.250.165 ip4:202.12.254.165 ip4:66.231.88.80 include:spf.smtp2go.com include:spf.protection.outlook.com -all"

Yani, biraz okuduktan sonra - Envolope-From doğru, ancak "Kimden" taklit gibi görünüyor. "Genel" e-postayı kırmadan bunu düzeltmem / azaltmamın bir yolu var mı? Postfix, Spamassassin ve policyd (postfix-policyd-spf-perl) kullandığımı ve gerçekten atlaması çok kolaysa, SPF'nin amacı nedir?

postfix  spf 
davidgo
kaynak

Yanıtlar:

13

Bu durumda muhtemelen sunucunuza şöyle bir şey söylediler:

EHLO www.tchile.com
MAIL FROM: apache@www.tchile.com 
RCPT TO: user@mydomain.com
DATA
Date: Thu, 13 Oct 2016 04:03:54 -0300
Message-Id: <201610130703.u9D73smu017280@www.tchile.com>
To: user@mydomain.com
Subject: CANCELLATION_PROCESS.
From: KIWI BANK <noreply@kiwibank.co.nz>
Reply-To: 
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary=029F3E3270D5187AA69203962BF830E3
X-Virus-Scanned: ClamAV using ClamSMTP

The contents of mail...
.

SMTP görüşmesi ("zarf" olarak da bilinir) e-posta başlıklarından farklı olabilir. SPF üstbilgiyi denetlemez, ancak her zaman son kullanıcıya görüntülenen üstbilgidir! Evet, SMTP o kadar bozuk. Evet, SPF olduğu o kırık.

En iyi şekilde yalnızca SPF'yi kontrol etmek yerine DMARC'yi kontrol ederek hizmet alırsınız. DMARC varsayılan olarak SPF'yi kontrol eder, ancak From header öğesinin SMTP MAIL FROM ile hizalanmasını kontrol eder (alan adlarının eşleşmesi gerekir - kullanıcı adı bölümünü yoksayar). Bonus olarak, SPF için çok faydalı bir ek olan DKIM desteği de alabilirsiniz.

DMARC, _dmarc.kiwibank.co.nz adresinde ayarlanan DNS TXT kaydına bağlı olacaktır. ama şu anda yok. İnternet düzenlemelerinin mevcut durumu başına kiwibank.co.nz sahibi anlamına gelir. bu tür sahtekarlıklara karşı korunmayı hiç umursamıyor. Ancak bazı uygulamalarda gelen tüm e-postalar için DMARC uygulayabilirsiniz.

Kubanczyk
kaynak
SPF bozuk değil. Posta burada bozuluyor. Zarf! = Başlığının iyi nedenleri var. ! = Header kaynağından web alanları arası zarfın iyi bir nedeni yoktur.
joshudson
1
@joshudson evet öyle. Örneğin, .forwardhesaplarımdan birinden diğerine iletmek için bir dosya (veya başka bir e-posta yönlendirme) ayarlarsam , iletinin kimden olduğunu (başlıktan) korumak ve dosyayı kimden geldiğini göstermek mantıklı olur E-posta istemcisi, vb. Ancak iletinin (zarf göndereninin) oluşturduğu herhangi bir geri dönme, iletiyi ilk gönderen kişiye değil, bana gitmelidir. Aynısı posta listeleri için de geçerlidir.
derobert
1
@ derobert Posta listeleri bir saçaktır. Posta istemcileri kullanıcıları bariz bir sahte konusunda uyarmaz - bu büyük bir sorundur ve hiçbir .forwardkullanım bunu haklı çıkaramaz.
kubanczyk
Bu inanılmaz.
g33kz0r
2

Yani, biraz okuduktan sonra - Envolope-From doğru, ancak "Kimden" taklit gibi görünüyor. "Genel" e-postayı kırmadan bunu düzeltmem / azaltmamın bir yolu var mı?

Doğrulama Frombaşlığını olacak posta listeleri kırmak:

  1. foo @ yourbank cat-picture-sharing-list @ çubuğuna bir posta gönderir.

  2. Posta listesi postayı alacak,

    • Envelope-Fromkedi-resim-paylaşım-list-bounce @ çubuğuna benzer bir şeyle değiştirin ,
    • Yanıtla başlığını değiştirebilir ve
    • postayı tüm alıcılara (örneğin siz) yeniden gönderin.

Şimdi posta sunucunuz

Envelope-From: cat-picture-sharing-list-bounce@bar
From: foo@yourBank

çubuğunun posta sunucularından gönderilir.

Postfix, Spamassassin ve policyd (postfix-policyd-spf-perl) kullandığımı ve gerçekten atlaması çok kolaysa, SPF'nin amacı nedir?

  1. Birçok spam göndericisi "doğru" bir Zarf Gönderme zahmetine girmiyor.
  2. NDR'ler Zarf Gönderen adresine gönderildiği (veya: gönderilmesi gerektiği ) için bankanız bu spam postanın geri saçılımını (çoğunu) alamaz .
  3. Zarf-Başlangıç ​​puanlama daha güvenilir olur. Siz (veya güvendiğiniz bir puanlama sağlayıcısı) Envelope-From = ... @ bankanızdaki tüm postaları çok olumsuz bir spam puanı atarsanız, spam gönderenler bunu kötüye kullanamaz.
Heinzi
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.