Вопрос или проблема
Итак, я думаю, что знаю основы SPF, DKIM, DMARC и понимаю, почему мы не можем подделывать адреса электронной почты, как в 1998 году. Но как такое фишинг-сообщение все еще существует в 2024 году:
Я очень редко вижу реальные адреса отправителей, подобные этому, потому что, очевидно, это просто не сработает с SPF/DKIM/DMARC. Но отправитель из фактических заголовков почты прочитано:
From: “[email protected]” [email protected]
Как они это делают? Как они обходят SPF/DKIM/DMARC? Я имею в виду, я предполагаю, что у PayPal свои DNS-записи зацементированы основательно, верно?
Они даже теряют 7.5 баллов по спаму (ESF):
-7.5 USER_IN_DEF_DKIM_WL Адрес: находится в стандартном списке приветствий DKIM
всегда какой-то фиктивный (обычно microsoft.com) адрес. Но все равно. Сегодня получил еще одно сообщение с адреса microsoft.com. Заголовки показывают длинный список (microsoft) серверов, через которые прошло сообщение. Все еще интересно, как они это делают. Не удивлюсь, если это связано с лазейкой в Microsoft, их серверы/домены всегда, кажется, участвуют.
ESF не срабатывает, у него даже есть проверка “Претендует на то, что это от paypal, отправлено на домен Microsoft365 – вероятный мошенничество, если вы не используете MSFT365!”. Я не использую, у меня нет никаких учетных записей microsoft.com (электронной почты). Возможно, он должен был сработать, но как это сообщение вообще прошло через SPF в первую очередь?
Полные заголовки сообщения ниже. Изменил несколько деталей по соображениям конфиденциальности:
- mydomain.com: было моим доменным именем
- myname: было моим именем
- myserverdomain: было моим доменным именем сервера
Return-path: <[email protected]>
Envelope-to: [email protected]
Delivery-date: Fri, 13 Dec 2024 16:40:51 +0100
Received: from mail-dm6nam11lp2177.outbound.protection.outlook.com ([104.47.57.177] helo=NAM11-DM6-obe.outbound.protection.outlook.com)
by server.myserverdomain with esmtps (TLS1.2) tls TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
(Exim 4.94)
(envelope-from <[email protected]>)
id 1tM7mb-0007Xh-J5
for [email protected]; Fri, 13 Dec 2024 16:40:51 +0100
Received: from CH0P221MB0520.NAMP221.PROD.OUTLOOK.COM (2603:10b6:610:10d::19)
by CH3P221MB1301.NAMP221.PROD.OUTLOOK.COM (2603:10b6:610:1b3::8) with
Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.8251.15; Fri, 13 Dec
2024 15:36:25 +0000
Received: from PH8P221MB1064.NAMP221.PROD.OUTLOOK.COM (2603:10b6:510:1c8::5)
by CH0P221MB0520.NAMP221.PROD.OUTLOOK.COM (2603:10b6:610:10d::19) with
Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.8251.16; Fri, 13 Dec
2024 15:35:32 +0000
Received: from PH8P221MB1064.NAMP221.PROD.OUTLOOK.COM
([fe80::cbb9:aac0:166a:39f]) by PH8P221MB1064.NAMP221.PROD.OUTLOOK.COM
([fe80::cbb9:aac0:166a:39f%7]) with mapi id 15.20.8230.010; Fri, 13 Dec 2024
15:35:32 +0000
Received: from SJ0PR13CA0051.namprd13.prod.outlook.com (2603:10b6:a03:2c2::26)
by SA1P221MB1360.NAMP221.PROD.OUTLOOK.COM (2603:10b6:806:3e2::21) with
Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.8230.18; Fri, 13 Dec
2024 14:58:44 +0000
Received: from CO1PEPF000042A9.namprd03.prod.outlook.com
(2603:10b6:a03:2c2:cafe::f5) by SJ0PR13CA0051.outlook.office365.com
(2603:10b6:a03:2c2::26) with Microsoft SMTP Server (version=TLS1_3,
cipher=TLS_AES_256_GCM_SHA384) id 15.20.8272.5 via Frontend Transport; Fri,
13 Dec 2024 14:58:44 +0000
Authentication-Results: spf=softfail (sender IP is 104.47.26.41)
smtp.mailfrom=paypal.com; dkim=pass (signature was verified)
header.d=paypal.com;dmarc=pass action=none header.from=paypal.com;
Received-SPF: SoftFail (protection.outlook.com: domain of transitioning
paypal.com discourages use of 104.47.26.41 as permitted sender)
Received: from APC01-PSA-obe.outbound.protection.outlook.com (104.47.26.41) by
CO1PEPF000042A9.mail.protection.outlook.com (10.167.243.38) with Microsoft
SMTP Server (version=TLS1_3, cipher=TLS_AES_256_GCM_SHA384) id 15.20.8251.15
via Frontend Transport; Fri, 13 Dec 2024 14:58:43 +0000
_received: from PSAPR01MB3944.apcprd01.prod.exchangelabs.com
(2603:1096:301:47::11) by SG2PR01MB4097.apcprd01.prod.exchangelabs.com
(2603:1096:4:1c0::11) with Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.8230.19; Fri, 13 Dec
2024 14:55:56 +0000
Received: from PSAPR01MB3944.apcprd01.prod.exchangelabs.com
([fe80::c921:b2d5:8914:3896]) by PSAPR01MB3944.apcprd01.prod.exchangelabs.com
([fe80::c921:b2d5:8914:3896%4]) with mapi id 15.20.8251.015; Fri, 13 Dec 2024
14:55:56 +0000
Received: from PUZP153CA0015.APCP153.PROD.OUTLOOK.COM (2603:1096:301:c2::13)
by OSNPR01MB7748.apcprd01.prod.exchangelabs.com (2603:1096:604:317::13) with
Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.8230.19; Fri, 13 Dec
2024 14:54:20 +0000
Received: from HK2PEPF00006FB3.apcprd02.prod.outlook.com
(2603:1096:301:c2:cafe::1d) by PUZP153CA0015.outlook.office365.com
(2603:1096:301:c2::13) with Microsoft SMTP Server (version=TLS1_3,
cipher=TLS_AES_256_GCM_SHA384) id 15.20.8272.4 via Frontend Transport; Fri,
13 Dec 2024 14:54:20 +0000
Authentication-Results-Original: spf=pass (sender IP is 66.211.170.94)
smtp.mailfrom=paypal.com; dkim=pass (signature was verified)
header.d=paypal.com;dmarc=pass action=none header.from=paypal.com;
Received-SPF: Pass (protection.outlook.com: domain of paypal.com designates
66.211.170.94 as permitted sender) receiver=protection.outlook.com;
client-ip=66.211.170.94; helo=mx10.phx.paypal.com; pr=C
Received: from mx10.phx.paypal.com (66.211.170.94) by
HK2PEPF00006FB3.mail.protection.outlook.com (10.167.8.9) with Microsoft SMTP
Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
15.20.8251.15 via Frontend Transport; Fri, 13 Dec 2024 14:54:19 +0000
DKIM-Signature: v=1; a=rsa-sha256; d=paypal.com; s=pp-dkim1; c=relaxed/relaxed;
q=dns/txt; [email protected]; t=1734101657;
h=From:From:Subject:Date:To:MIME-Version:Content-Type;
bh=84fe6HBaKiwNYOP82k4My1CU200+iXPO4AlFa2gb93g=;
b=zrJRPbjvJuQv3US3SrK88TKiq1RdsDLlAPxsO2QsTplH8pM4cXD5InoKI+LYOYFp
t91xZsA3PeqhIAit802Fbvnwb7ekShaqEv4M6SRMij4HgBjtmL1EmjzGauHOAd7k
oh8R4LByfi6ZjjxH0Tp/HtFkBrTtZfRgS5G+wWAPk8m5PpVUu1JcdzDVSjlzEeMy
jGDGY/mbFvjUW7xd+R3O+njH645qXm9iaTT/hZ0h4k5kG/vG5N0IUtWU8dmDIDmV
gU/zkffE+Uwe7Ft5eCnlvl88wtgQ+kBA3SfrANWCYb2YUwZ2riItA+1R3JIGCAwT
W4vsX2SEE0QWwD2jMl6LrA==;
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html; charset="UTF-8"
Date: Fri, 13 Dec 2024 06:54:17 -0800
Message-ID: <99.FF.22381.99A4C576@ccg01mail10>
MIME-Version: 1.0
From: "[email protected]" <[email protected]>
To: [email protected]
Subject: У вас есть запрос на деньги
X-MaxCode-Template: PPC001017
X-PP-Priority: 0-none-false
PP-Correlation-Id: f251106d671cd
X-PP-Email-transmission-Id: 20b5e63f-b962-11ef-b72b-8598d087db10
X-PP-REQUESTED-TIME: 1734101653276
X-Email-Type-Id: PPC001017
AMQ-Delivery-Message-Id: nullval
X-XPT-XSL-Name: nullval
X-EOPAttributedMessage: 1
X-MS-TrafficTypeDiagnostic:
HK2PEPF00006FB3:EE_|OSNPR01MB7748:EE_|SG2PR01MB4097:EE_|CO1PEPF000042A9:EE_|SA1P221MB1360:EE_|CH0P221MB0520:EE_|CH3P221MB1301:EE_
X-MS-Office365-Filtering-Correlation-Id: a248d5bf-27dc-4557-8704-08dd1b86a384
X-Moderation-Data: 12/13/2024 2:55:54 PM
X-LD-Processed: 722a6975-ecfd-47c3-8d05-f280bdb2cfd8,ExtAddr
X-Auto-Response-Suppress: DR, OOF, AutoReply
X-MS-Exchange-Transport-CrossTenantHeadersStamped: SG2PR01MB4097
X-EOPTenantAttributedMessage: 624f3c32-f22b-428d-b817-8e4e6859e628:0
X-MS-Exchange-Transport-CrossTenantHeadersStripped: CO1PEPF000042A9.namprd03.prod.outlook.com
X-MS-Exchange-Transport-CrossTenantHeadersPromoted: CO1PEPF000042A9.namprd03.prod.outlook.com
X-MS-PublicTrafficType: Email
X-MS-Office365-Filtering-Correlation-Id-Prvs:
14bebb39-181f-4c10-194b-08dd1b86065c
X-Moderation-Data: 12/13/2024 3:35:30 PM
X-LD-Processed: 624f3c32-f22b-428d-b817-8e4e6859e628,ExtAddr,ExtAddr
X-OriginatorOrg: dokandar.shop
X-MS-Exchange-CrossTenant-Network-Message-Id: a248d5bf-27dc-4557-8704-08dd1b86a384
X-MS-Exchange-CrossTenant-Id: 624f3c32-f22b-428d-b817-8e4e6859e628
X-MS-Exchange-CrossTenant-AuthSource: CO1PEPF000042A9.namprd03.prod.outlook.com
X-MS-Exchange-CrossTenant-AuthAs: Anonymous
X-MS-Exchange-CrossTenant-FromEntityHeader: Internet
X-MS-Exchange-CrossTenant-OriginalArrivalTime: 13 Dec 2024 15:35:32.1868
(UTC)
X-MS-Exchange-Transport-CrossTenantHeadersStamped: CH3P221MB1301
Forward-Confirmed-ReverseDNS: Успешный обратный и прямой поиск на 104.47.57.177, -10 баллов спама
BlacklistCheck: Занесен в черный список, +50 баллов спама
SPFCheck: Soft Fail, 30 баллов спама
X-DKIM: signer="paypal.com" status="pass" reason=''
DKIMCheck: Сервер проходит тест DKIM, -20 баллов спама
X-DKIM: signer="@paypal.com" status="pass" reason=''
X-Spam-Score: -8.3 (--------)
X-Spam-Report: Программное обеспечение для обнаружения спама, работающее на системе "server.myserverdomain",
не определило это входящее электронное письмо как спам. Исходное
сообщение прилагается, чтобы вы могли его просмотреть или пометить
аналогичные будущие письма. Если у вас есть какие-либо вопросы, обратитесь
к администратору этой системы за подробностями.
Предпросмотр содержимого: У вас есть запрос на деньги orderstatus10@oplacrm. onmicrosoft.
com, вот детали запроса. Привет, orderstatus10@oplacrm. onmicrosoft.
com CN Accounting & Business Services, LLC отправил вам запрос на деньги
Подробности анализа содержимого: (-8.3 баллов, требуется 5.0)
pts rule name description
---- ---------------------- --------------------------------------------------
-1.9 BAYES_00 ТЕКСТ: Вероятность спама по Байесу от 0 до 1%
[скора: 0.0000]
-0.0 RCVD_IN_MSPIKE_H2 RBL: Средняя репутация (+2)
[104.47.57.177 в wl.mailspike.net]
0.0 RCVD_IN_ZEN_BLOCKED_OPENDNS RBL: УВЕДОМЛЕНИЕ АДМИНИСТРАТОРА: Запрос
к zen.spamhaus.org был заблокирован из-за
использования открытого резолвера. См.
https://www.spamhaus.org/returnc/pub/
[104.47.57.177 в zen.spamhaus.org]
-0.0 RCVD_IN_DNSWL_NONE RBL: Отправитель указан на https://www.dnswl.org/,
нет доверия
[104.47.57.177 в list.dnswl.org]
0.0 RCVD_IN_VALIDITY_SAFE_BLOCKED RBL: УВЕДОМЛЕНИЕ АДМИНИСТРАТОРА: Запрос
к Validity был заблокирован. См.
https://knowledge.validity.com/hc/en-us/articles/20961730681243
для получения дополнительной информации.
[104.47.57.177 в sa-trusted.bondedsender.org]
0.0 RCVD_IN_VALIDITY_RPBL_BLOCKED RBL: УВЕДОМЛЕНИЕ АДМИНИСТРАТОРА: Запрос
к Validity был заблокирован. См.
https://knowledge.validity.com/hc/en-us/articles/20961730681243
для получения дополнительной информации.
[104.47.57.177 в bl.score.senderscore.com]
-0.0 SPF_HELO_PASS SPF: HELO соответствует записи SPF
0.7 SPF_SOFTFAIL SPF: отправитель не соответствует записи SPF (softfail)
-7.5 USER_IN_DEF_DKIM_WL Адрес: находится в стандартном списке приветствий DKIM
0.0 HTML_MESSAGE ТЕКСТ: HTML включен в сообщение
0.1 MIME_HTML_ONLY ТЕКСТ: Сообщение содержит только текстовые/html MIME-части
-0.1 DKIM_VALID_AU Сообщение имеет действующую подпись DKIM или DK от
домена автора
-0.1 DKIM_VALID Сообщение имеет хотя бы одну действующую подпись DKIM или DK
0.1 DKIM_SIGNED Сообщение имеет подпись DKIM или DK, не обязательно
действительная
-0.1 DKIM_VALID_EF Сообщение имеет действующую подпись DKIM или DK от
домена envelope-from
0.0 POSSIBLE_PAYPAL_PHISH_03 Претендует на то, что это от paypal, отправлено на
домен Microsoft365 - вероятный мошенничество, если вы
не используете MSFT365!
1.0 FORGED_SPF_HELO Описание недоступно.
0.0 POSSIBLE_PAYPAL_PHISH_04 Претендует на то, что это от paypal, приветствует адрес электронной почты, а не полное имя
0.0 T_REMOTE_IMAGE Сообщение содержит внешний изображение
-0.5 DKIMWL_WL_HIGH DKIMwl.org - отправитель с высоким доверием
SpamTally: Финальный балл спама: -52
Ответ или решение
Спуфинг электронной почты в 2024 году: Как это происходит?
В 2024 году, несмотря на внедрение современных методов аутентификации, таких как SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) и DMARC (Domain-based Message Authentication, Reporting, and Conformance), спуфинг электронной почты остается актуальной проблемой. Давайте разберем, как злоумышленники обходят эти механизмы и продолжают атаковать пользователей с использованием подложных адресов e-mail, особенно в контексте фишинга.
Понимание механизмов защиты
-
SPF (Sender Policy Framework): Этот протокол позволяет доменам указывать, какие IP-адреса имеют право отправлять от их имени письма. Если отправитель не входит в список разрешенных адресов, письмо может быть помечено как спам.
-
DKIM (DomainKeys Identified Mail): Этот метод использует криптографические подписи для проверки, что письма не были изменены в процессе передачи. Подпись добавляется на стороне отправителя, а получатель может проверить ее, используя открытый ключ.
-
DMARC (Domain-based Message Authentication, Reporting & Conformance): Это расширение SPF и DKIM, которое позволяет доменам контролировать, как обрабатываются письма, которые не проходят проверку.
Несмотря на эти технологии, спуфинг все еще возможен по ряду причин.
Как злоумышленники обходят SPF/DKIM/DMARC?
-
Использование легитимных серверов: В случае с описанным Вами письмом, злоумышленники могли отправить его с легитимных серверов, которые соответствуют SPF-записям, но не отражают настоящее намерение или источник. Например, они могут использовать серверы, находящиеся под управлением Microsoft, и обмануть систему проверки, вводя в свои подложные письма адреса с доменом "paypal.com", что подтверждается вашими приведенными заголовками.
-
Softfail SPF: Ваши заголовки показывают, что SPF сработал на уровне
softfail
, что означает, что отправительный IP-адрес (104.47.26.41) не входит в список разрешенных для домена paypal.com, но при этом система это не блокирует. Это дает злоумышленникам возможность использовать такие IP-адреса, особенно если они не подозрительно смотрятся с точки зрения репутации. -
Доверенные домены: Фишинг-атаки могут использовать домены с высоким уровнем доверия и отправлять сообщения от там, где потенциальная проверка может быть менее строгой. Например, они используют домены, которые были зарегистрированы заранее или те, которые имели положительную репутацию в прошлом.
-
Мета-данные и подмена: Злоумышленники могут также манипулировать мета-данными. Часто многоуважающие сервисы, такие как PayPal и Microsoft, могут быть замешаны только на уровне заголовков, где назначаются другие адреса электронной почты, в то время как оригинальный источник остается скрытым.
-
Неэффективные антисмотрения: Как показывает ваш анализ, антисмотрения (ESF) не всегда срабатывают, особенно когда отправитель использует распространенные шаблоны для сообщения. В случаях, когда домен в заголовках выглядит легитимно, автоматизированные системы могут упущать эти угрозы.
Как противостоять спуфингу?
-
Обновление фильтров спама и антивирусов: Регулярно обновляйте правила фильтрации и используйте многоуровневые фильтры. Это поможет улучшить защиту от новых типов фишинговых атак.
-
Обучение пользователей: Организация обучения для сотрудников и пользователей по распознаванию фишинговых атаках. Это может включать в себя информацию о том, как проверять адреса электронной почты, идентифицировать подозрительные ссылки и сообщения.
-
Мониторинг и анализ: Используйте инструменты мониторинга для отслеживания входящих сообщений и анализа, которые из них были помечены как фишинг. Это поможет выявить устойчивые паттерны.
-
Укрепление механизмов аутентификации: Убедитесь, что ваша компания использует DMARC с действующими политиками, которые помогут заблокировать поддельные сообщения, которые действительно не проходят аутентификацию.
Регулярное внимание к обновлению технологий защиты и образованию пользователей может значительно снизить риски, связанные с электронной почтой.