Escenario 1: SPF del remitente mal configurado

Escenario 1: SPF del remitente mal configurado

De vez en cuando, recibo correos electrónicos con una evidente carga malévola (como un documento de Word con macros dañinas).

No me preocupan estos correos electrónicos, que puedo reconocer, pero he observado que los presuntos remitentes son todos empleados de la misma empresa, lo cual conozco. De todos modos, las direcciones de los remitentes son fantasiosas.

Entonces mi pregunta es: ¿qué es más probable? ¿Que su buzón ha sido pirateado y abusado, o que mi propio buzón fue pirateado?

¿Hay alguna manera de saberlo?

Respuesta1

Es difícil decirlo con certeza, pero creo que este es el escenario más probable:

  • El nombre de dominio del remitente no tiene unFPSregistro que restringe qué direcciones IP pueden enviar correos electrónicos para el dominio.

Otros escenarios posibles que se me ocurren en orden descendente de probabilidad según mi experiencia:

  • La cuenta de correo electrónico o el servidor de correo electrónico de los remitentes se ha visto comprometido y envía spam a contactos conocidos en el servidor.
  • El nombre de dominio de los remitentes tiene registros SPF sensibles, pero el software antispam de su servidor de correo no busca correos electrónicos falsificados.
  • Su servidor de correo o cuenta se ha visto comprometido y un distribuidor de malware está utilizando su lista de contactos para colocar correos electrónicos de malware en su bandeja de entrada.

Escenario 1: SPF del remitente mal configurado

Este es el escenario más probable porque usted indicó enuna actualización a tu preguntaque las direcciones de correo electrónico de los remitentes son "fantasiosas"; Es posible que el remitente falsificador no conozca necesariamente ningún buzón de correo real en el dominio de destino.

Síntoma

Recibe un correo electrónico de alguien, pero esa persona niega haber enviado el correo electrónico. Es posible que no puedan mostrar ningún registro coincidente en su carpeta de mensajes enviados o incluso en los registros de correo electrónico del servidor de envío.

Causa

El nombre de dominio del remitente no tiene un registro SPF (Marco de políticas del remitente) que evite la suplantación de identidad.

Diagnóstico

Puede verificar el registro SPF del dominio example.comcon este comando:

nslookup -type=TXT example.com

Reemplace example.comcon el nombre de dominio del remitente. Es posible que vea un registro similar a este:

"v=spf1 +a +mx +ip4:127.0.0.1 -all"

En el ejemplo anterior,

  • +asignifica permitir que las direcciones IP de los registros A del dominio envíen correos electrónicos en nombre de este dominio.
  • +mxsignifica resolver los registros MX del dominio y permitir que esos dominios también envíen correos electrónicos.
  • +ip4:127.0.0.1significa permitir que la dirección IP 127.0.0.1envíe correos electrónicos para este dominio.
  • -allsignifica rechazar todas las demás direcciones IP para que no envíen correos electrónicos para este dominio.

Si el remitente no lo tiene -allen su registro SPF, los servidores de correo receptores que validan SPF pueden aceptar correos electrónicos falsificados que podrían haber sido enviados por cualquier persona.

Puede verificar el remitente real del correo electrónico leyendo los Received:encabezados del correo electrónico malicioso que recibió. Los Received:encabezados están en el orden inverso de cada servidor de correo por el que pasó el correo electrónico, pero tenga en cuenta que los encabezados que no agregue su servidor de correo pueden ser falsificados. El primer Received:encabezado agregado por su puerta de enlace de correo muestra de dónde vino el correo electrónico. Ejemplo:

Received: from mail-eopbgr810054.outbound.protection.outlook.com ([40.107.81.54]:59584 helo=NAM01-BY2-obe.outbound.protection.outlook.com)
    by example.deltik.org with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
    (Exim 4.91)
    (envelope-from <[email protected]>)
    id 1gUudZ-00BGJx-L7
    for [email protected]; Thu, 29 Nov 2018 06:49:21 -0600

En el ejemplo anterior, el correo electrónico provino de 40.107.81.54, que pasó la verificación del registro SPF ( "v=spf1 include:spf.protection.outlook.com -all") en el dominio del remitente del spam, luxurylifestylereport.netpor lo que el correo electrónico fue aceptado.

Alternativamente, si tiene acceso a los registros del servidor de correo electrónico, puede leer el origen del correo electrónico desde allí.

Resolución

El administrador de correo del remitente debe configurar un registro SPF para su dominio que evite que los spammers falsifiquen el dominio para enviar correos electrónicos. Esto no es algo que puedas hacer.

Hasta que su administrador de correo solucione este problema, puede intentar ajustar la configuración antispam para bloquear correos electrónicos con archivos adjuntos maliciosos o contenido spam.


Escenario 2: correo electrónico del remitente comprometido

Este escenario es menos probable porque usted dijo que este problema ocurre de vez en cuando, pero alguien más debería haberlo notado e informado en el pasado.

Síntoma

Puede ver en los encabezados del correo electrónico que el correo electrónico proviene de una dirección IP que tiene permiso para enviar correos electrónicos para el dominio del remitente.

Causa

El servidor de correo en la dirección IP o un servidor que envía correo a través de ella se ha visto comprometido. Es posible que el pirata informático también haya encontrado una copia de los contactos que el remitente conoce y esté tratando de enviarles un correo electrónico con la esperanza de encontrar a alguien con quien pueda identificarse.

Diagnóstico

Mismo proceso que el del Escenario 1

Resolución

El administrador de correo del remitente debe detener y proteger su sistema de correo electrónico. Esto no es algo que puedas hacer.

Hasta que su administrador de correo solucione este problema, puede intentar ajustar la configuración antispam para bloquear correos electrónicos con archivos adjuntos maliciosos o contenido spam.


Escenario 3: el servidor de correo receptor no verifica los registros SPF

Este escenario es menos probable porque los spammers no querrán desperdiciar recursos para intentar falsificar correos electrónicos de un dominio que ya se protege contra la suplantación. Probablemente también recibirás muchos correos falsificados de otros nombres de dominio.

Síntoma

Recibes un correo electrónico de alguien, pero esa persona puede demostrar que no lo envió. De hecho, cualquiera puede validar que el registro SPF del dominio esté configurado correctamente, pero el correo electrónico que recibió proviene de una dirección IP prohibida por el registro SPF del dominio.

Causa

Su servidor de correo electrónico no filtra los correos electrónicos falsos.

Diagnóstico

El mismo proceso que el del Escenario 1, pero puede ver que la dirección IP del remitente no pasa la verificación SPF

Resolución

Consulte la documentación de su servidor de correo electrónico para saber cómo configurar la validación SPF.


Escenario 4: cuenta de correo electrónico del destinatario comprometida

Este escenario es menos probable porque es más lucrativo ocultarle el hecho de que ha sido comprometido y utilizar la buena reputación de su dirección de correo electrónico para enviar spam a otros. Además, la entidad maliciosa probablemente estaría diversificando la dirección de correo electrónico de origen.

Síntoma

Sus registros de correo electrónico entrante no muestran el correo electrónico que apareció o los encabezados del correo electrónico recibido no tienen sentido.

Causa

Alguien espera obtener más acceso a usted al enviar correos electrónicos de malware a su cuenta de correo electrónico ya comprometida sin enviar ningún correo electrónico. Los correos electrónicos se pueden agregar a través del protocolo IMAP.

Diagnóstico

Verifique los registros de su servidor de correo para ver si hay autenticaciones que no reconoce.

Resolución

Cambia la contraseña de tu cuenta de correo electrónico.

información relacionada