Spoofing email From address

6

Si se toman todas las medidas legales necesarias, ¿cuáles son algunas de las formas en que alguien puede falsificar una dirección de campo "De" y enviar el correo electrónico al destinatario sin que haya filtros de correo no deseado? Las siguientes son las formas que conozco actualmente:

Telnet a un servidor de correo e ingrese la dirección de origen y luego la dirección rcpt, pero normalmente veo "550 incapaces de retransmitir".

Use Outlook con el permiso "Enviar como".

Cree una cuenta de Windows Live Mail / Outlook Express con cualquier nombre de [email protected]

La conclusión es que es para fines de prueba / educativos y me gustaría saber si es posible enviar un correo electrónico que no quede atrapado en el filtro de spam con un campo "De" falsificado con un enlace / logotipo en el cuerpo. Entiendo que esto podría caer en una categoría de "piratería", pero lo mismo se aplica a cualquiera que realice ejercicios de ingeniería social con documentación firmada.

Nota: Hasta el momento, el método de telnet parece ser la mejor ruta, a excepción de algunos problemas como el error 550.

    
pregunta user6255 07.12.2011 - 20:55
fuente

2 respuestas

13

Supongamos que alguien (Mario) quiere enviar un correo electrónico a otra persona (llamémosle Nicolas). El buzón de correo de Nicolas está ocupado por un servidor único, digamos smtp.gouv.fr (ese es un ejemplo ficticio). Entonces, lo que sea que haga Mario, el correo electrónico tendrá que pasar por ese servidor, transmitido con el protocolo SMTP (el que tiene Comando 'RCPT'). A Mario le gustaría que la línea From fuera: From: [email protected] . Tenga en cuenta que en realidad hay dos direcciones "de": la que se encuentra en el encabezado From: (que el destinatario ve con su aplicación habitual de lectura de correo) y la que se proporciona a través de% co_de Comando% SMTP (este último aparecerá en el encabezado MAIL FROM ).

Ahora, aunque el correo electrónico tiene que pasar por el servidor SMTP de Nicolas, puede hacer algunos saltos. La situación normal de envío de correo es que el remitente utiliza el servidor SMTP de su ISP, y ese servidor se comunicará con el servidor SMTP de destino. El servidor ISP de Mario es Return-Path: . Mario puede decidir hacer su telnet (o su equivalente, pero siempre SMTP al final) ya sea a smtp.governo.it , smtp.governo.it , o algún otro servidor, por ejemplo. smtp.gouv.fr (el servidor SMTP del ISP de Angela), o algún otro servidor ( smtp.bundestag.de ).

Hay varias cosas que pueden evitar que Mario lo haga:

  • El ISP de Mario puede evitar cualquier conexión saliente de su máquina a cualquier servidor SMTP (es decir, cualquier conexión TCP que se dirija al puerto 25), excepto si la máquina de destino es smtp.buckingham.uk . Muchos ISP hacen eso, principalmente para evitar que la máquina zombie haga spam en gran medida sin ningún control.

  • smtp.governo.it puede rechazar el intento porque la dirección "de" anunciada no es una dirección que termina con " smtp.governo.it ". El servidor puede aplicar dicho filtro en el encabezado " @governo.it ", en el comando From: o en ambos. Algunos (no todos) ISP aplican tales reglas.

  • Si Mario se pone en contacto con MAIL FROM , ese servidor puede rechazar el intento porque el correo no está destinado a una dirección en smtp.buckingham.uk , o se envía con una dirección "de" en " buckingham.uk ". Los servidores que envían correos electrónicos arbitrarios desde y hacia el exterior se denominan "relés abiertos" y, en general, son mal vistos, especialmente porque los spammers los aman.

  • Si Mario se pone en contacto con @buckingham.uk , ese servidor también puede rechazar el intento, aunque el correo se anuncia como enviado por Angela, porque smtp.bundestag.de sabe que Angela usará una conexión proveniente de uno de los IP Direcciones que de hecho forman parte de la red gestionada por smtp.bundestag.de . Si bundestag.de no estuviera haciendo eso, también se consideraría un "relé abierto" (aunque menos abierto que la instancia anterior, pero en parte está abierto).

  • Si Mario encuentra un servidor SMTP ( no smtp.bundestag.de ) que acepta reenviar el correo electrónico, o si Mario se conecta directamente a smtp.bundestag.de , entonces el intento aún puede ser rechazado si el dominio smtp.gouv.fr utiliza SPF . SPF es una forma para que un dominio anuncie, a través del DNS, algunas políticas de envío de correo. Aquí, bundestag.de publicaría con SPF la información que los mensajes de correo electrónico normal enviados desde bundestag.de personas deben originarse en @bundestag.de y en ninguna otra parte. smtp.bundestag.de , al ver la conexión de Mario (o la conexión del servidor SMTP crédulo que encontró Mario), puede ver los registros SPF para smtp.gouv.fr y detectar la anomalía. Por supuesto, SPF no se usa en todas partes, y como se basa en DNS, es vulnerable a los ataques de DNS coordinados ("envenenamiento de DNS" y cosas por el estilo).

  • Algunos proveedores de correo grandes imponen limitaciones oscuras arbitrarias, que pueden tener el mismo efecto que SPF, pero de manera indocumentada y, a veces, oficialmente denegada.

Así que la mejor opción para Mario sería conectar con telnet a bundestag.de (suponiendo que su ISP le permita hacer eso y que smtp.gouv.fr no use SPF, o que bundestag.de ignore la información de SPF); o podría intentar encontrar alguna máquina pirateable o complaciente en algún lugar del smtp.gouv.fr , y usarla como retransmisión abierta para enviar el correo a través de bundestag.de (lo que tendría la ventaja adicional de hacer que todos los encabezados sean "realistas", como si Angela lo hubiera hecho ella misma.

    
respondido por el Tom Leek 07.12.2011 - 21:39
fuente
0

En muchos servidores de correo es posible, ya que a menudo solo validan su inicio de sesión y su dominio, pero no la dirección de correo electrónico.

Entonces, si desea falsificar un @ mailserver, puede iniciar sesión como b @ mailserver y enviar un correo electrónico desde un @ mailserver. El servidor valida el inicio de sesión y que el remitente es de su dominio y envía un correo, que no se puede distinguir.

Muchos proveedores hacen cosas para prevenir esto. Algunos agregan el inicio de sesión como encabezado de correo o al menos alguna identificación única (es decir, gmail) para el usuario. Otros simplemente se filtran por completo de la dirección del remitente si se le permite usarlo. Muchos otros están abiertos a este tipo de ataque.

Esto, por supuesto, solo funciona, si puede obtener una cuenta propia en el servidor correspondiente.

    
respondido por el allo 22.12.2017 - 14:48
fuente

Lea otras preguntas en las etiquetas