¿Por qué mi servidor de correo electrónico no puede identificar automáticamente las direcciones falsificadas?

Navega tus respuestas
3

Recibo mucho esta pregunta de las partes interesadas del negocio, y he tratado de resolver este problema por mi cuenta. Tengo un enfoque potencial, pero quiero desafiar mis suposiciones.

En mi opinión, debería ser trivial analizar un encabezado de correo electrónico para identificar una dirección falsificada comparando los campos:

El 100% de los incidentes de phishing que investigo, hay una falta de coincidencia evidente en los 4 campos porque el atacante especificó manualmente al menos uno de los 3 primeros campos. Cualquier combinación del dominio corporativo interno o del receptor con dominios externos es una marca. Un alias que parece un correo electrónico que no coincide con from y reply-to es una bandera.

Pero la complejidad viene cuando el correo electrónico es:

  1. parte de una cadena
  2. reenviado
  3. enviado a varias personas
  4. enviado desde un servicio de administración de correo electrónico

Averiguar qué correos electrónicos son falsificados puede ser complicado en estos casos, pero ninguna de las condiciones anteriores existe en mis investigaciones. Por ejemplo, un correo electrónico falso o un intento de phishing siempre ha sido un contacto inicial de una única fuente externa. Los servicios de gestión de correo electrónico son conocidos y fáciles de incluir en la lista blanca

Si este sigue siendo el caso, ¿no sería trivial identificar y alertar en correos electrónicos falsificados? Tiene dos campos de encabezado para analizar ( from y reply-to ), y su contenido es predecible y lo suficientemente sencillo como para crear una expresión regular simple para probar contra los campos alias y Received .

¿Me estoy perdiendo un elemento en mis suposiciones?

    
pregunta schroeder 27.01.2016 - 23:35
fuente

2 respuestas

3

Creo que este método devolvería muchos falsos positivos. Un caso en particular donde tendría falsos positivos es cuando la organización del remitente tiene su propio nombre de dominio (senderdomain.com), pero utilizan un servidor SMTP saliente alojado por un tercero (como el servidor SMTP saliente de su ISP o un servidor de correo electrónico servidor SMTP saliente de la empresa) para enviar correo saliente. Esto es muy común, especialmente en estos días, con muchas compañías grandes que subcontratan su correo a Gmail. Entonces, en este caso, tendrías: 

•alias: "Joe Sender"
•from: [email protected]
•reply-to: [email protected]
•Received: smtp.sendersmailprovider.com

Como puede ver, en este caso, el cuarto campo (donde aparece el nombre del servidor SMTP saliente a través del cual se envió el mensaje) no contiene nada que coincida con la información de los otros tres campos, por lo que el mensaje se marcaría incorrectamente como spam según su lógica.

Es por esto que tenemos métodos de autenticación de mensajes como SPF y DKIM, que se basan en la información publicada en el DNS del dominio del remitente para permitir que los filtros de correo no deseado determinen (con una certeza razonable) si un mensaje fue enviado desde El remitente que aparece en los encabezados del mensaje.

SPF logra esto especificando explícitamente las direcciones IP (o rango de direcciones IP) de los servidores SMTP desde los que se originarán los correos del dominio, en el DNS del dominio.

DKIM logra esto firmando digitalmente los mensajes enviados desde el dominio, donde la firma digital se escribe en los encabezados de los mensajes y la clave pública que se usa para verificar que la firma digital se publica en el DNS del dominio.

Para obtener más información sobre cómo funcionan estos dos métodos, consulte enlace .

    
respondido por el mti2935 28.01.2016 - 20:29
fuente
1

A mí me sucedió muchas veces, que tuve que usar el correo electrónico proporcionado localmente para enviar algo, pero necesitaba que la respuesta viniera a mi cuenta principal / oficial. Por ejemplo, estoy en la empresa el viernes por la noche, veo la conexión perdida del servidor principal pero no se puede encender / apagar por razones obvias. Además, el lunes por la mañana debe ser totalmente recuperado. Estoy en posición de hacerlo, solo necesito una nueva contraseña para el servidor y algún binario largo de un compañero de trabajo, que acaba de dejarlo y permiso del jefe que ya está en casa. Así que escribo un correo electrónico a esos dos desde la cuenta de mi empresa, pero configuro responder a en mi cuenta de origen. Luego voy a casa. Al día siguiente, tengo una contraseña y un código binario en mi correo electrónico y permiso para ingresar a la empresa en el fin de semana, tanto en el correo electrónico de mi casa, para poder obtenerlo, mostrarlo de forma segura, entrar y luego reparar todos los problemas.

Hay muchos más escenarios, pero este me sucedió personalmente. También muchas veces envío invitaciones a actividades de fin de semana a todos mis amigos del trabajo, pero con respuesta a la dirección de mi casa ya que no hubo oportunidad de obtener sus respuestas a tiempo de la dirección de mi trabajo.

Por otra parte, ocasionalmente envío algunas preguntas oficiales del correo de mi casa con una respuesta al correo electrónico de mi trabajo, ya que esas respuestas estaban relacionadas con el trabajo y eran urgentes.

Nada de eso era malicioso, pero rechazarías todo esto como spam falsificado.

Y sabes, el correo de mi empresa es [email protected], mientras que el correo electrónico de mi casa es [email protected]: no hay nada que coincida automáticamente, pero todos (y su perro) me conocen mejor por mi apodo. por mi nombre oficial.

    
respondido por el gilhad 28.01.2016 - 19:48
fuente

Lea otras preguntas en las etiquetas

diferencia entre necesidad de saber, privilegio mínimo y confidencial documentación de exploits y cargas útiles metasploit