È possibile impedire lo spoofing delle e-mail?

L'account e-mail di mia moglie è stato violato e l'attaccante ha ottenuto la sua rubrica. Non so se l'attacco sia stato sul suo client di posta elettronica locale (Thunderbird in esecuzione su Windows 7) o sul server (ospitato su GoDaddy). In entrambi i casi, i dati dell'elenco contatti sono disponibili e non posso annullarli. Ho modificato tutte le password, la sicurezza aggiornata, ecc. E non credo che ci siano state ulteriori intrusioni.

Tuttavia, chiunque abbia fatto questo ha inviato enormi quantità di spam, usando il nome di mia moglie come "mittente". Rimangono in silenzio per un po ', e poi così spesso mi sveglio qualche dozzina di e-mail da mia moglie, che ovviamente non ha inviato, e anche ogni altra persona nella sua rubrica riceve queste . E poiché la sua rubrica era piena di molti indirizzi morti, mia moglie riceve centinaia di messaggi di rimbalzo "Mancata consegna della posta" e centinaia di e-mail rifiutate dal dominio ricevente come spam. Le persone nella sua lista di contatti si stanno arrabbiando e sta diventando un vero problema.

Ho chiesto a GoDaddy di questo, e dicono che qualsiasi persona A può inviare un'e-mail a b@bbb.comdichiarare di essere c@ccc.com, e non esiste alcuna infrastruttura di posta elettronica per verificare che la persona A sia autorizzata a inviare un'e-mail da ccc.com. Di conseguenza, non c'è assolutamente nulla che io possa fare al riguardo, e questo spammer sarà in grado di molestare le persone, danneggiare la reputazione di mia moglie, ottenere la sua e-mail nella lista nera, ecc. E non c'è modo di fermarlo .

È vero, o c'è qualcosa che posso fare per fermare questi spammer o per ridurre il danno?

È davvero molto difficile risolvere il problema dello spoofing della posta elettronica in modo generale, a causa del modo semplice e altamente distribuito del protocollo.

L'analogia con le lettere fisiche regge abbastanza bene in questo esempio: posso mettere una lettera nel post e scrivere su di essa che proviene da casa tua; Non ho bisogno di essere entrato in casa tua per farlo, basta lasciarlo in una casella postale pubblica. E se il post è contrassegnato come "torna al mittente", potrebbe anche finire per essere "restituito" a te, anche se non l'hai scritto. Lo stesso accade con l'e-mail: chiunque può recapitare un messaggio nel sistema, con un indirizzo A e un indirizzo Da; il server da cui invii la posta potrebbe non essere lo stesso a cui ricevi la posta e non esiste un servizio centralizzato che verifica la tua identità quando lasci cadere un messaggio nel sistema.

Esistono due approcci generali per risolvere questo problema:

Le firme digitali sono un modo per includere in un messaggio una sorta di firma o sigillo che solo il vero mittente sa come generare (usando una chiave privata che non condividono mai). Il destinatario può quindi verificare la firma utilizzando una chiave pubblica che dimostri matematicamente chi ha prodotto la firma (e che corrisponde al testo ricevuto).

Questo, tuttavia, non è molto utile per il tuo esempio, perché non impedisce la consegna dei messaggi e richiede ai destinatari di conoscere la chiave pubblica o una posizione verificata per recuperarla.

Sono stati sviluppati sistemi di verifica del mittente basati su dominio per cercare di prevenire lo spam. Questi memorizzano i dati nel DNS (ricerca nella directory) per il dominio dell'indirizzo (la parte dopo la @) che consentono a un sistema di ricezione di verificare se una posta è legittima. Un sistema, SPF , elenca quali sistemi sono autorizzati a inviare posta per conto di quel dominio; un altro, DKIM , memorizza le chiavi pubbliche usate in modo simile all'approccio basato sulla firma digitale sopra, ma per verificare il sistema di trasmissione, piuttosto che il mittente effettivo.

(Per estendere leggermente l'analogia con le lettere fisiche, SPF è come dire pubblicamente "Pubblico solo lettere usando questa casella postale" e DKIM è come dire pubblicamente "Mando sempre posta da questo ufficio postale che stampa un'etichetta a prova di manomissione per me ".)

Questi sarebbero più rilevanti per il tuo caso - se tua moglie stesse usando un dominio personalizzato, un'installazione SPF o DKIM appropriata causerebbe a molti sistemi di rifiutare silenziosamente la posta che non si era inviata (o contrassegnarla come spam, senza attribuirla a lei ). Tuttavia, funziona solo a livello di dominio, non nel singolo indirizzo e alcuni sistemi di destinatari potrebbero non controllare i record.

Probabilmente sarebbe utile inviare un'e-mail a tutti i contatti attivi nella sua rubrica e comunicare loro i problemi di spam. E ora è il momento giusto per rimuovere tutti i contatti morti dall'elenco.

L'utilizzo di PGP / GPG in futuro sarebbe una soluzione quasi perfetta per gli utenti privati ​​e i mittenti per verificare da soli che l'e-mail viene effettivamente inviata dal mittente e potrebbe nascondere / crittografare anche il contenuto dei messaggi in modo che vengano visualizzati solo da il destinatario previsto. Ma, sebbene PGP sia disponibile da decenni ormai, non è universalmente super facile per chiunque iniziare a utilizzare e la posta solo web (come Gmail, ecc.) Rende difficile mantenere le parti segrete davvero segrete per te e ancora facili da utilizzare da qualsiasi luogo ...

Autenticazione e-mail

Ci sono cose che possono essere fatte per autenticarsi con i ricevitori di posta elettronica (almeno alcuni, come Yahoo, Google e altri, che " rappresentano un'alta percentuale di utenti di posta elettronica su Internet " - FAQ DMARC ) che un messaggio che dice che proviene davvero dal tuo dominio è dal tuo dominio. Usano DMARK che " consente a un mittente di indicare che i loro messaggi sono protetti da SPF e / o DKIM, e dice a un destinatario cosa fare se nessuno di questi metodi di autenticazione passa - come la posta indesiderata o rifiuta il messaggio " - Domande frequenti su DMARC .

Passare a un indirizzo e-mail diverso potrebbe aiutare anche a breve termine, quindi tu e tutti gli altri potreste tranquillamente ignorare / "contrassegnare come spam" tutti gli altri messaggi dagli spammer. Ma anche se questa non è la tua preoccupazione principale dato che sono "ovviamente spam super-spam" e nessuno viene ingannato, probabilmente vorrai cercare di impedire che la linea "from:" venga facilmente falsificata, poiché se un numero sufficiente di utenti segna sempre " come spam "l'email aziendale di tua moglie, i filtri antispam inizieranno probabilmente a eliminare tutti i messaggi da quell'indirizzo.

L'autenticazione e-mail dovrebbe aiutare i server di posta di invio e ricezione a verificare che i messaggi vengano effettivamente inviati da chi dicono di provenire. Ho trovato alcune informazioni su Gmail, dal momento che è una delle "tre grandi" compagnie di posta elettronica è probabilmente un buon punto di partenza. Anche il passaggio da provider di posta elettronica a uno già impostato / autenticato, come Gmail for Business, dovrebbe aiutare e potrebbe essere più semplice, ma non dovrebbe essere necessario, sebbene a giudicare dalla risposta di GoDaddy potrebbero non essere l'host dei tuoi sogni.

La guida di Gmail sull'autenticazione tramite e-mail contiene alcuni consigli per l'invio di domini:

Se sei un dominio di invio

I messaggi con firme DKIM utilizzano una chiave per firmare i messaggi. I messaggi firmati con tasti brevi possono essere facilmente falsificati (vedere http://www.kb.cert.org/vuls/id/268267 ), quindi un messaggio firmato con un tasto breve non indica più che il messaggio è autenticato correttamente. Per proteggere al meglio i nostri utenti, Gmail inizierà a trattare le e-mail firmate con chiavi a meno di 1024 bit come non firmate, a partire da gennaio 2013. Consigliamo vivamente a tutti i mittenti che utilizzano tasti brevi di passare a chiavi RSA lunghe almeno 1024 bit. L'autenticazione è altamente raccomandata per ogni mittente della posta per garantire che i messaggi siano classificati correttamente. Per altri consigli, consultare le Linee guida per i mittenti di massa .

L'autenticazione di per sé non è sufficiente per garantire che i tuoi messaggi possano essere recapitati, poiché gli spammer possono anche autenticare la posta. Gmail combina i rapporti degli utenti e altri segnali, con le informazioni di autenticazione, durante la classificazione dei messaggi.

Allo stesso modo, il fatto che un messaggio non sia autenticato non è sufficiente per classificarlo come spam, perché alcuni mittenti non autenticano la propria posta o perché in alcuni casi l'autenticazione si interrompe (ad esempio, quando i messaggi vengono inviati alle mailing list).

Ulteriori informazioni su come è possibile creare una politica per aiutare a controllare la posta non autenticata dal proprio dominio.

L'ultimo collegamento Controlla la posta non autenticata dal tuo dominio è particolarmente rilevante:

Per aiutare a combattere lo spam e gli abusi, Gmail utilizza l'autenticazione e-mail per verificare se un messaggio è stato effettivamente inviato dall'indirizzo da cui sembra essere stato inviato. Nell'ambito dell'iniziativa DMARC, Google consente ai proprietari di domini di aiutare a definire il modo in cui gestiamo i messaggi non autenticati che dichiarano falsamente di provenire dal tuo dominio.

Cosa puoi fare

I proprietari di domini possono pubblicare una politica che dice a Gmail e ad altri provider di posta elettronica partecipanti come gestire i messaggi inviati dal tuo dominio ma non autenticati. Definendo una politica, puoi aiutare a combattere il phishing per proteggere gli utenti e la tua reputazione.

Sul sito Web DMARC, scopri come pubblicare le tue norme o consulta le istruzioni per i domini di Google Apps .

Ecco alcune cose da tenere a mente:

• Riceverai un rapporto giornaliero da ciascun fornitore di posta elettronica partecipante in modo da poter vedere con quale frequenza le tue e-mail vengono autenticate e con quale frequenza vengono identificate le e-mail non valide.
• Potresti voler modificare la tua politica mentre impari dai dati di questi rapporti. Ad esempio, è possibile regolare i criteri attuabili da "monitorare" a "quarantena" per "rifiutare" man mano che si diventa più sicuri che i propri messaggi saranno tutti autenticati.
• La tua politica può essere rigorosa o rilassata. Ad esempio, eBay e PayPal pubblicano una politica che richiede che tutta la posta sia autenticata per essere visualizzata nella posta in arrivo di qualcuno. In conformità con le loro norme, Google rifiuta tutti i messaggi di eBay o PayPal non autenticati.

Maggiori informazioni su DMARC

DMARC.org è stato creato per consentire ai mittenti di e-mail di influenzare la posta non autenticata pubblicando le loro preferenze in una politica individuabile e flessibile. Consente inoltre ai provider di posta elettronica partecipanti di fornire report in modo che i mittenti possano migliorare e monitorare la propria infrastruttura di autenticazione.

Google partecipa a DMARC insieme ad altri domini di posta elettronica come AOL, Comcast, Hotmail e Yahoo! Mail. Inoltre, mittenti come Bank of America, Facebook, Fidelity, LinkedIn e Paypal hanno già pubblicato politiche da seguire per Google e altri destinatari.

Per ulteriori informazioni, si prega di fare riferimento a questo post nel blog ufficiale di Gmail .

Altri link dall'aspetto utile:

• Configura Gmail per inviare / ricevere e-mail usando il tuo nome di dominio
• Assumi il controllo del tuo indirizzo email

Cosa si può fare dipende dalla quantità di infrastruttura su cui si ha il controllo e dal fatto che si stia utilizzando il proprio nome di dominio o che si abbia semplicemente un indirizzo in un dominio controllato da qualcun altro.

Se hai il tuo dominio, è facile passare a un nuovo indirizzo e-mail con lo stesso dominio. Inoltre, puoi impostare record DNS per dire al mondo che tutte le email del tuo dominio dovrebbero essere firmate digitalmente. (SPF, DKIM e DMARC sono i termini da cercare se questo è l'approccio che si desidera adottare.)

Non puoi aspettarti che tutti verifichino queste firme, quindi anche se imposti i record DNS che indicano che le e-mail del tuo dominio devono essere firmate, ci saranno comunque utenti che inviano e-mail non firmate che affermano di provenire dal tuo dominio e che i destinatari accettano quelle e-mail non firmate.

Se non controlli il dominio, cambiare l'indirizzo e-mail non è così facile e hai poca influenza sul fatto che i record DNS vengano utilizzati per limitare la possibilità di falsificare il dominio nelle e-mail in uscita.

Il problema con i messaggi di spam che utilizzano un indirizzo di origine contraffatto che provoca il rimbalzo dell'indirizzo legittimo è almeno in linea di principio facile da risolvere.

Puoi registrare Message-IDtutte le email che stai inviando. Tutti i rimbalzi devono includere il Message-IDmessaggio originale da qualche parte, altrimenti il ​​rimbalzo è completamente inutile, perché è quello che ti dice quale messaggio è stato rimbalzato. Qualsiasi messaggio rimbalzato che non contiene un Message-IDmessaggio precedentemente inviato può essere inviato direttamente alla cartella spam o essere rifiutato al momento della ricezione (il che ha il piacevole vantaggio di avvicinare il problema alla fonte).

I rimbalzi possono essere distinti dalle altre e-mail MAIL Fromdall'indirizzo. I rimbalzi hanno sempre un MAIL Fromindirizzo vuoto , le altre e-mail non hanno mai un MAIL Fromindirizzo vuoto .

Quindi, se MAIL Fromè vuoto - e il DATAnon contiene un che Message-IDhai precedentemente inviato, la posta può essere respinta in modo sicuro.

Questo è il principio. Trasformarlo in pratica è un po 'più difficile. Innanzitutto l'infrastruttura per le e-mail in uscita e in entrata può essere separata, il che rende problematico per l'infrastruttura per le e-mail in arrivo conoscere sempre tutto ciò Message-IDche è passato attraverso l'infrastruttura per le e-mail in uscita.

Inoltre, alcuni provider insistono sull'invio di rimbalzi non conformi al buon senso. Ad esempio, ho visto i fornitori inviare rimbalzi che non contenevano alcuna informazione sull'e-mail originale che è stata rimbalzata. La mia migliore raccomandazione per rimbalzi così inutili è di trattarli come spam, anche se provengono da un sistema di posta altrimenti legittimo.

Ricorda che chiunque abbia ottenuto l'elenco di indirizzi e-mail può inserire qualsiasi indirizzo come indirizzo di origine e qualsiasi indirizzo come indirizzo di destinazione. Pertanto, a meno che non si disponga di ulteriori informazioni, non si può essere certi che la perdita sia avvenuta anche dal proprio sistema. Potrebbe essere uno qualsiasi dei tuoi contatti a trapelare l'elenco di indirizzi incluso il tuo.

Più riesci a capire quali indirizzi si trovano nell'elenco trapelato e quali no, meglio sarai in grado di capire da dove è trapelato. È possibile che abbiate già fatto questo e concluso che la perdita deve provenire dall'elenco dei contatti poiché nessuno dei vostri contatti avrebbe saputo che tutti gli indirizzi confermati fossero trapelati.

Il mio approccio è quello di utilizzare il mio dominio e un indirizzo e-mail separato sotto quel dominio per ogni contatto con cui comunico. Includo la data della prima comunicazione con il contatto nell'indirizzo di posta, in modo che possa sembrare che kasperd@mdgwh.04.dec.2015.kasperd.netse dovessi scrivere un'e-mail a un nuovo contatto oggi. Questo approccio ovviamente non è per tutti, ma per me sicuramente aiuta a sapere esattamente chi ha perso un elenco di indirizzi e-mail in cui si trova uno dei miei. Significa anche che posso chiudere i singoli indirizzi in modo tale che solo la persona che ha trapelato il mio indirizzo debba aggiornare le loro informazioni di contatto per me.

Sì e no.

Nulla mi impedisce di scrivere un'email con il tuo indirizzo come mittente. Questo non è diverso dalla normale posta cartacea in cui posso anche mettere un indirizzo di destinazione sul davanti della busta e un (qualsiasi!) Indirizzo di ritorno sul retro della busta.

Tuttavia, puoi aggiungere una firma digitale per provare che sei il mittente (vedi PGP e la risposta di Xen). E i fornitori di posta stanno anche iniziando a implementare controlli di sicurezza per la comunicazione tra i server di posta. (Vedi TLS - Transport Layer Security). Ma la posta si basa sui vecchi protocolli in cui tutti si sono comportati e hanno collaborato bene. Non è stato progettato per il grande mondo cattivo.

Ti stai avvicinando in modo errato.

Da anni trascorsi nel settore della riparazione di computer, posso dirti che è molto improbabile che ci sia stato un "hacking" in corso qui. È molto più probabile che il computer di tua moglie abbia un virus e che il virus abbia avuto accesso alla sua rubrica di Thunderbird.

Questo è abbastanza comune. Di solito il virus sta inviando le e-mail direttamente dal computer infetto, quindi la rimozione del virus bloccherà le e-mail di spam - non stanno "falsificando" l'indirizzo e-mail di tua moglie, sono l'indirizzo e-mail di tua moglie.

Cambiare gli indirizzi e-mail come suggerito da un altro utente è molto improbabile che risolva qualcosa ... specialmente se lo inserisci in Thunderbird sullo stesso computer.

Scarica ed esegui Combofixsul computer di tua moglie.

http://www.bleepingcomputer.com/download/combofix/

Ci sono istruzioni su come eseguirlo su: http://www.bleepingcomputer.com/combofix/how-to-use-combofix

In sostanza, scaricalo, eseguilo come amministratore (fai clic con il pulsante destro del mouse -> esegui come amministratore), fai clic su OK / Sì / Continua alle istruzioni, quindi vai via per 30 minuti a un'ora. Funzionerà a lungo e probabilmente riavvierà il computer (assicurati di riaccedere affinché continui a funzionare).

Saprai che è fatto quando un blocco note a schermo intero è aperto con un mucchio di testo. Chiudilo, riavvia ancora una volta e probabilmente hai risolto il tuo problema ... solo il tempo lo dirà.

Ci sono due problemi qui. La tua domanda specifica sulla convalida dei mittenti di e-mail e cosa si può fare quando viene inviata l'e-mail a tuo nome.

Sfortunatamente è semplice falsificare l' From:indirizzo in una e-mail, ed è tutto ciò che serve. Sebbene esistano modi per impostare la posta elettronica in modo che il mittente possa essere verificato (come la firma difital menzionata in altre risposte), non sono di uso generale. Se i contatti rubati di tua moglie includevano molte connessioni casuali, clienti abituali, mailing list ecc., Questo è un antipasto: se i destinatari trovano fastidiose le e-mail false, l'ultima cosa che vogliono è che gli venga chiesto di installare un software speciale sui loro computer.

Il che ci porta a quello che può fare. Gli indirizzi rubati sono ampiamente utilizzati come copertura dagli spammer e la maggior parte delle persone sa di ignorare l'evidente spam che finge di venire da un conoscente. Se è tutto ciò che sta succedendo, la soluzione è chiaramente che tua moglie riceva una nuova e-mail, preferibilmente una facilmente distinguibile da quella precedente; se possibile, combinalo con l'ortografia del nome completo in modo diverso, ad esempio, aggiungi un secondo nome o il titolo di lavoro. Quindi avvisa tutti sul suo elenco di contatti e smetti di usare la vecchia e-mail, ma continua a monitorare i messaggi in arrivo delle persone che hanno perso il memo.

Le cose sono più difficili se ritieni che qualcuno stia prendendo di mira specificamente tua moglie, cercando di impersonarla, danneggiarne la reputazione, ecc. In tal caso, una nuova email verrà rapidamente adottata dall'aggressore (dal momento che tua moglie non la terrà segreto). Ma è un ponte che puoi attraversare se dovesse mai arrivare a quello (che considero improbabile).

Come ha detto Freeman ... fai sapere a tutti i corrispondenti e-mail regolari che tutte le e-mail future da lei avranno la frase che ha menzionato o qualcosa di simile.

Alcuni dei miei contatti più regolari sanno che se vogliono che apra i loro messaggi devono dire qualcosa nell'e-mail che nessuno spammer avrebbe mai saputo, ad esempio "Sì, Dennis questo è davvero ______ e il nome del tuo cane è ______" I dire qualcosa di simile a loro. È una seccatura? Forse è più una seccatura minore.

Ora se tutti adottassero SPF sarebbe di grande aiuto.

Potrebbe non essere l'ideale, ma se fossi in te chiuderei il mio account e ne creerei uno nuovo. Dire a tutti il ​​mio nuovo indirizzo e inserire nella lista nera il vecchio.