¿Por qué el correo electrónico falso recibió un "pase"? ¿Y por qué no apareció en el informe agregado?

Navega tus respuestas
0

Buenos días a todos, me han echado al fondo con una solicitud de mi director. Sé muy poco de la falsificación de correos electrónicos y DMARC en general, pero estoy tratando de eliminar de alguna manera POR QUÉ este correo electrónico falso "pasado". Viene de algunos "[email protected]" con el nombre para mostrar de uno de nuestros VP. :(

También me preocupa porque el informe agregado no incluyó este correo electrónico ... Busqué hasta el 31 de enero, el 1 de febrero y el 2. ¿Dónde fue?

Vea a continuación ... En realidad, no estoy 100% de lo que es "Seguro" compartir desde el encabezado del correo electrónico, pero la información a continuación parecía lo suficientemente segura como para publicar (anote el nombre de los empleados y nuestro dominio). Déjeme saber si revelé algo que no debería haber hecho (bloqueo estable después de que el caballo haya huido, lo sé).

Cualquier ayuda sería apreciada!

Entregado a: [email protected]

Recibido: hasta el 10.200.57.59 con el ID de SMTP s56csp1949294qtb;         Mar, 31 de enero de 2017 06:53:50 -0800 (PST)

X-Received: por 10.55.72.210 con ID de SMTP v201mr26460280qka.145.1485874430676;         Mar, 31 de enero de 2017 06:53:50 -0800 (PST)

Ruta de retorno:

Recibido: de mail-qt0-x242.google.com (mail-qt0-x242.google.com. [2607: f8b0: 400d: c0d :: 242])         por mx.google.com con ID de ESMTPS g56si12092937qte.273.2017.01.31.06.53.50

para

(versión = cifrado TLS1_2 = XXXXX-XXX-XXXXX-XXX-XXXXX bits = 128/128);         Mar, 31 de enero de 2017 06:53:50 -0800 (PST) Received-SPF: pass (google.com: domain of [email protected] designa 2607: f8b0: 400d: c0d :: 242 como remitente permitido) client-ip = 2607: f8b0: 400d: c0d :: 242; Resultados de la autenticación: mx.google.com;

dkim = pass [email protected];

spf = pass (google.com: domain of [email protected] designa 2607: f8b0: 400d: c0d :: 242 como remitente permitido)  [email protected];

dmarc = pass (p = NONE sp = NONE dis = NONE) header.from = gmail.com Recibido: por mail-qt0-x242.google.com con el ID de SMTP s58so19260189qtc.2         para ; Mar, 31 de enero de 2017 06:53:50 -0800 (PST)

    
pregunta RGuthrie 03.02.2017 - 17:21
fuente

1 respuesta

2

Si bien considera que este correo electrónico es falso, en realidad no lo es, o al menos no es realmente falso. Viene de una cuenta de gmail válida que no tiene relación con su empresa. Y la única "suplantación de identidad" que se hizo es que el propietario de esta cuenta ha establecido el nombre de su VP como su propio nombre para que aparezca como remitente.

Google no sabe cuál es el nombre real de la persona que configura la cuenta. Y Google no sabe que su VP necesita alguna protección especial para que nadie pueda usar su nombre. Y Google no sabe que su VP nunca configuraría una cuenta de gmail. Así que nada está realmente mal con este correo desde la perspectiva de Google y es por eso que pasó todas las comprobaciones.

El único que podría considerar este correo como sospechoso sería su compañía, ya que tiene el nombre de su VP y sabe que el nombre puede ser mal usado para engañar a los usuarios. Es por eso que debe tener su propio sistema de filtrado de correo y alimentarlo con dicha información para que pueda protegerlo con su conocimiento.

    
respondido por el Steffen Ullrich 03.02.2017 - 18:21
fuente

Lea otras preguntas en las etiquetas

¿Es seguro este RNG de PHP? ¿Cómo encontrar la dirección IP externa que utiliza una carga útil para conectarse al atacante?