ทำไมการตรวจสอบ SPF ดูเหมือนจะไร้ประโยชน์?

1

ฉันตั้งค่าระเบียน SPF สำหรับโดเมนอย่างไรก็ตามการปลอมแปลงผู้ส่งยังคงใช้งานได้เหตุผลค่อนข้างง่าย:

ดูเหมือนว่ามี "หลากหลาย" 3 อย่างในอีเมล:

  • ตอบกลับ
  • เส้นทางกลับ
  • ซองจดหมายจาก

ดู https://stackoverflow.com/questions/1235534/what-is-the-behavior-difference-between-return-path-reply-to-and-from สำหรับข้อมูลเพิ่มเติม

โปรแกรมรับส่งเมลของคุณกำลังแสดงผล reply to ในฐานะผู้ส่งอีเมลอย่างไรก็ตามเซิร์ฟเวอร์อีเมลดูเหมือนจะทำการตรวจสอบค่า SPF return path หรือ envelope from ซึ่งไม่มีเหตุผลสำหรับฉัน

หมายความว่าถ้าฉันส่งอีเมลที่จะบอกว่า return path และ envelope from เป็น hacker.net และ reply to คือ someone@victim.org ซึ่งฉันพยายามหลอกก็จะตรวจสอบค่า SPF ของ hacker.netตอนนี้สมมติว่าเป็นโดเมนของฉันซึ่งฉันได้กำหนดค่า SPF ไว้มันจะผ่านและส่งไปยังกล่องจดหมายของเหยื่อเป็นจดหมายจาก someone@victim.org แม้ว่าฉันจะไม่ได้รับอนุญาตให้ส่งอีเมลถึง victim.orgผ่านการตรวจสอบค่า SPF อย่างมีประสิทธิภาพ

มีวิธีแก้ไขไหม ดูเหมือนว่าเท่านั้น DMARC สามารถป้องกันสิ่งนี้ได้ แต่ถ้าเป็นจริงจุดตรวจสอบค่า SPF คืออะไร

email  spf 
Petr
แหล่งที่มา

คำตอบ:

1

เพียงกรอกรายการ "จาก" ค่าของคุณฉันจะเพิ่ม:

  • Fromซึ่งเป็นส่วนหัวที่กำหนดโดยไคลเอนต์และกำหนดไว้ใน RFC 5322 ( RFC 5322.From )
  • Reply toเป็นส่วนหัวที่กำหนดโดยไคลเอนต์และกำหนดไว้ใน RFC 5322
  • Return path และ Envelope from ทั้งที่อ้างถึงอาร์กิวเมนต์ของ MAIL FROM คำสั่งระหว่างเซสชัน SMTP ( RFC 5321.MailFrom )

วัตถุประสงค์ของ DMARC คือการนำเสนอนโยบายเพื่อนำไปใช้กับข้อความที่ล้มเหลวทั้ง SPF และ DKIM แทนที่จะใช้นโยบายท้องถิ่น นโยบายนี้แสดงโดยเจ้าของชื่อโดเมนของผู้ส่ง (โดยใช้ p= พารามิเตอร์ของระเบียน DMARC)

ในระหว่างการประเมิน DMARC จะมีการ การจัดตำแหน่งตัวบ่งชี้ ตรวจสอบ (ดู RFC 7489 Section-3.1) ที่รับรองว่า:

  • ชื่อโดเมนของ RFC 5321.MailFrom ของ SPF ที่ส่งผ่านตรงกับโดเมนของ RFC 5322.From
  • ชื่อโดเมนที่ใช้ใน DKIM ที่ผ่านมาตรงกับโดเมนของ RFC 5322.From

ดังนั้นเพื่อแก้ไขปัญหาของคุณคุณควรเผยแพร่ระเบียน DMARC ใน victim.org โซน DNS: 

_dmarc.victim.org IN TXT "v=DMARC1; p=quarantine; rua=mailto:admin@victim.org"

สิ่งนี้จะช่วยให้มั่นใจได้ว่าการจัดตำแหน่งตัวระบุที่ล้มเหลวดังเช่นในตัวอย่างของคุณจะนำไปสู่ความล้มเหลวของ DMARC และข้อความจะถูกตั้งค่าสถานะว่าเป็นสแปม

จุดของการตรวจสอบ SPF คือเพื่อให้แน่ใจว่าที่อยู่ IP ของลูกค้าในระหว่างเซสชัน SMTP ได้รับอนุญาตจากเจ้าของ hacker.net. ในตัวอย่างของคุณ SPF อยู่ที่นี่เพื่อปกป้อง hacker.net ไม่ victim.org :-)

หากคุณต้องการมุมมองแบบนกฉันได้เผยแพร่โพสต์พร้อมภาพประกอบ SPF, DKIM และ DMARC ทำงานร่วมกันอย่างไรเพื่อป้องกันหอกฟิชชิง (เลื่อนไปที่ตรงกลางของโพสต์)

anthony don
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.