아내의 이메일 계정이 해킹당했고 공격자는 아내의 주소록을 알아냈습니다. 공격이 그녀의 로컬 이메일 클라이언트(Windows 7에서 실행되는 Thunderbird)에서 이루어졌는지 아니면 서버(GoDaddy에서 호스팅됨)에서 이루어졌는지는 알 수 없습니다. 어느 쪽이든 연락처 목록 데이터는 외부에 있으므로 취소할 수 없습니다. 비밀번호를 모두 변경하고 보안 업데이트 등을 했는데 더 이상의 침입은 없었던 것 같습니다.
그러나 이런 짓을 한 사람은 내 아내의 이름을 '발신자'로 사용하여 엄청난 양의 스팸을 보내고 있었습니다. 잠시 동안 조용해지다가 잠에서 깨면 아내가 보낸 수십 통의 이메일을 보게 됩니다. 당연히 그녀는 실제로 보내지 않은 이메일이죠.그녀의 주소록에 있는 다른 모든 사람도 이 정보를 얻습니다.. 그리고 그녀의 주소록은 죽은 주소들로 가득 차 있었기 때문에,내 아내수백 개의 "메일 배달 실패" 반송 메시지와 수신 도메인에서 스팸으로 거부된 수백 개의 이메일을 받습니다. 그녀의 연락처에 있는 사람들이 화를 내고 있고, 그것이 진짜 문제가 되고 있습니다.
GoDaddy에 이에 대해 문의한 결과, A라는 사람은 누구라도 [email protected]이라고 주장하는 이메일을 보낼 수 있다고 합니다 [email protected].이메일 인프라가 마련되어 있지 않습니다.A라는 사람이 에서 이메일을 보낼 권한이 있는지 확인합니다 ccc.com. 결과적으로, 이에 대해 제가 할 수 있는 일은 전혀 없으며, 이 스패머는 사람들을 괴롭히고, 제 아내의 평판을 훼손하고, 아내의 이메일을 블랙리스트에 올리는 등의 행위를 할 수 있습니다.막을 방법이 없어.
이것이 사실입니까, 아니면 스팸 발송자를 막거나 적어도 피해를 완화하기 위해 할 수 있는 일이 있습니까?
답변1
프로토콜이 설계되어 있는 단순하고 고도로 분산된 방식으로 인해 일반적인 방법으로 이메일 스푸핑 문제를 해결하는 것은 실제로 매우 어렵습니다.
이 예에서는 실제 문자 비유가 매우 잘 들어맞습니다. 우편물에 편지를 넣고 그 위에 편지가 귀하의 집에서 왔다고 쓸 수 있습니다. 이 일을 하기 위해 제가 당신의 집에 침입할 필요는 없습니다. 그냥 공공 우편함에 넣어두기만 하면 됩니다. 그리고 게시물에 "발신자에게 반송"이라고 표시되어 있으면 귀하가 작성하지 않았더라도 결국 귀하에게 "반송"될 수도 있습니다. 이메일의 경우에도 마찬가지입니다. 누구나 받는 사람과 보낸 사람 주소를 사용하여 시스템에 메시지를 전달할 수 있습니다. 귀하가 메일을 보내는 서버는 귀하가 메일을 받는 서버와 다를 수 있으며 시스템에 메시지를 넣을 때 귀하의 신원을 확인하는 중앙 집중식 서비스가 없습니다.
이 문제를 해결하는 데는 두 가지 일반적인 접근 방식이 있습니다.
디지털 서명실제 보낸 사람만이 생성 방법을 알고 있는 일종의 서명이나 봉인을 메시지에 포함시키는 방법입니다(절대 공유하지 않는 개인 키를 사용하여). 그런 다음 수신자는 누가 서명을 생성했는지(그리고 서명이 수신된 텍스트와 일치하는지) 수학적으로 증명하는 공개 키를 사용하여 서명을 확인할 수 있습니다.
그러나 이는 메시지 전달을 방해하지 않고 수신자가 공개 키를 알거나 이를 검색하기 위해 확인된 위치를 알아야 하기 때문에 귀하의 예에서는 그다지 유용하지 않습니다.
도메인 기반 발신자 확인스팸을 방지하기 위해 시스템이 개발되었습니다. 이는 수신 시스템에서 메일이 합법적인지 확인할 수 있도록 주소 도메인(@ 뒤의 부분)에 대한 데이터를 DNS(디렉토리 조회)에 저장합니다. 하나의 시스템,SPF, 해당 도메인을 대신하여 메일을 보낼 수 있는 시스템을 나열합니다. 또 다른,디킴는 위의 디지털 서명 접근 방식과 유사하게 사용되는 공개 키를 저장하지만 실제 보낸 사람이 아닌 전송 시스템을 확인하는 데 사용됩니다.
(물리적인 편지 비유를 약간 더 확장하기 위해 SPF는 공개적으로 "나는 이 우체통을 사용하여 편지를 게시합니다"라고 말하는 것과 같고 DKIM은 "나는 항상 변조 방지 라벨을 인쇄하는 이 우체국에서 메일을 보냅니다"라고 공개적으로 말하는 것과 같습니다. ".)
이는 귀하의 사례와 더 관련이 있을 것입니다. 귀하의 아내가 사용자 정의 도메인을 사용하고 있는 경우 적절한 SPF 또는 DKIM 설정으로 인해 많은 시스템에서 아내가 직접 보내지 않은 메일을 자동으로 거부하거나 아내에게 귀속시키지 않고 스팸으로 표시하게 됩니다. ). 다만, 개별 주소가 아닌 도메인 수준에서만 작동하며, 일부 수신자 시스템에서는 기록을 확인하지 못할 수도 있습니다.
답변2
그녀의 주소록에 있는 모든 실시간 연락처에 이메일을 보내고 이메일 스팸 문제에 대해 알리는 것이 아마도 도움이 될 것입니다. 이제 목록에서 죽은 연락처를 제거할 수 있는 좋은 기회입니다.
앞으로 PGP/GPG를 사용하는 것은 개인 사용자와 발신자가 이메일이 무엇인지 스스로 확인할 수 있는 거의 완벽한 솔루션이 될 것입니다.실제로발신자로부터 전송되며 메시지 내용을 숨기거나 암호화하여 의도한 수신자에게만 표시되도록 할 수도 있습니다. 그러나 PGP는 수십 년 동안 사용 가능했지만 누구나 쉽게 사용할 수는 없으며 웹 전용 메일(예: Gmail 등)을 사용하면 비밀 부분을 본인에게만 비밀로 유지하기가 어렵고 여전히 쉽게 사용할 수 있습니다. 어디서나 사용...
이메일 인증
이메일 수신자를 인증하기 위해 수행할 수 있는 작업이 있습니다(적어도 Yahoo, Google 등 일부는 "인터넷 이메일 사용자의 높은 비율을 나타냄" -DMARC FAQ) 귀하의 도메인에서 보낸 메시지라는 메시지가 표시됩니다.정말로귀하의 도메인에서. 그들은 "발신자는 자신의 메시지가 SPF 및/또는 DKIM에 의해 보호된다는 것을 표시할 수 있으며 수신자에게 정크 또는 메시지 거부와 같은 인증 방법 중 어느 것도 통과하지 못하는 경우 수행할 작업을 알려줍니다." -DMARC FAQ.
다른 이메일 주소로 변경하면 단기적으로도 도움이 될 수 있습니다. 그러면 귀하와 다른 모든 사람이 스패머가 보낸 모든 추가 메시지를 안전하게 무시/"스팸으로 표시"할 수 있습니다. 그러나 그것이 "분명히 엄청난 스팸 스팸"이고 아무도 속지 않기 때문에 그것이 주요 관심사가 아니더라도 "from:" 줄이 쉽게 스푸핑되는 것을 막는 방법을 조사하고 싶을 것입니다. 스팸으로" 아내의 회사 이메일, 스팸 필터가 버릴 것 같습니다모두그 주소에서 온 메시지.
이메일 인증은 메시지를 보내고 받는 메일 서버가 실제로 보낸 사람이 보낸 메시지인지 확인하는 데 도움이 됩니다. Gmail에서 몇 가지 정보를 찾았습니다. Gmail은 "3대" 이메일 회사 중 하나이기 때문에 아마도 시작하기에 좋은 곳일 것입니다. 이메일 제공업체를 이미 설정/인증된 이메일 제공업체로 전환하는 경우도 있습니다.기업용 Gmail ~해야 한다돕다 &~할 것 같다더 쉬워지지만해서는 안 된다GoDaddy의 응답으로 판단하면 그들이 당신이 꿈꾸는 호스트가 아닐 수도 있지만 필요합니다.
이메일 인증에 대한 Gmail 도움말도메인 전송에 대한 몇 가지 조언이 있습니다.
발신 도메인인 경우
DKIM 서명이 있는 메시지는 키를 사용하여 메시지에 서명합니다. 짧은 키로 서명된 메시지는 쉽게 스푸핑될 수 있습니다(참조: http://www.kb.cert.org/vuls/id/268267), 따라서 짧은 키로 서명된 메시지는 더 이상 메시지가 적절하게 인증되었음을 나타내지 않습니다. 사용자를 최대한 보호하기 위해 Gmail은 2013년 1월부터 1024비트 미만의 키로 서명된 이메일을 서명되지 않은 이메일로 처리하기 시작합니다. 짧은 키를 사용하는 모든 발신자는 길이가 1024비트 이상인 RSA 키로 전환하는 것이 좋습니다. 메시지가 올바르게 분류되었는지 확인하려면 모든 메일 발신자에 대해 인증을 적극 권장합니다. 다른 권장 사항은 다음을 참조하세요.대량 발송인 지침.
스패머도 메일을 인증할 수 있으므로 인증 자체만으로는 메시지 배달을 보장할 수 없습니다. Gmail은 메일을 분류할 때 사용자 보고서 및 기타 신호를 인증 정보와 결합합니다.
마찬가지로, 메시지가 인증되지 않았다는 사실만으로는 메시지를 스팸으로 분류하기에 충분하지 않습니다. 왜냐하면 일부 발신자가 메일을 인증하지 않거나 경우에 따라 인증이 중단되기 때문입니다(예: 메시지가 메일링 리스트로 전송되는 경우).
도움이 되는 정책을 만드는 방법에 대해 자세히 알아보세요.인증되지 않은 메일 제어귀하의 도메인에서.
마지막 링크인증되지 않은 메일 제어귀하의 도메인에서 가져온 정보는 특히 관련성이 높습니다.
스팸 및 악용을 방지하기 위해 Gmail에서는 다음을 사용합니다.이메일 인증메시지가 보낸 것으로 보이는 주소에서 실제로 메시지가 전송되었는지 확인합니다. DMARC 이니셔티브의 일환으로 Google은 도메인 소유자가 귀하의 도메인에서 보낸 것처럼 허위로 주장하는 인증되지 않은 메시지를 처리하는 방법을 정의하는 데 도움을 줄 수 있도록 허용합니다.
당신이 할 수 있는 일
도메인 소유자는 도메인에서 전송되었지만 인증되지 않은 메시지를 처리하는 방법을 Gmail 및 기타 참여 이메일 제공업체에 알리는 정책을 게시할 수 있습니다. 정책을 정의하면 다음과 같은 문제를 해결할 수 있습니다.피싱사용자와 귀하의 평판을 보호합니다.
DMARC 웹사이트에서 다음 방법을 알아보세요.정책을 게시하세요, 또는Google Apps 도메인에 대한 지침을 참조하세요..
다음은 명심해야 할 몇 가지 사항입니다.
- 각 참여 이메일 제공업체로부터 일일 보고서를 받아 이메일이 인증되는 빈도와 유효하지 않은 이메일이 식별되는 빈도를 확인할 수 있습니다.
- 이 보고서의 데이터를 통해 학습하면서 정책을 조정하고 싶을 수도 있습니다. 예를 들어, 자신의 메시지가 모두 인증될 것이라는 확신이 생기면 실행 가능한 정책을 "모니터링"에서 "격리", "거부"로 조정할 수 있습니다.
- 귀하의 정책은 엄격할 수도 있고 완화될 수도 있습니다. 예를 들어 eBay와 PayPal은 누군가의 받은 편지함에 나타나려면 모든 메일을 인증하도록 요구하는 정책을 게시합니다. 해당 정책에 따라 Google은 인증되지 않은 eBay 또는 PayPal의 모든 메시지를 거부합니다.
DMARC에 대해 자세히 알아보기
DMARC.org검색 가능하고 유연한 정책에 기본 설정을 게시하여 이메일 발신자가 인증되지 않은 메일에 영향을 미칠 수 있도록 구성되었습니다. 또한 참여 이메일 제공업체가 보고서를 제공하여 발신자가 인증 인프라를 개선하고 모니터링할 수 있도록 합니다.
Google은 AOL, Comcast, Hotmail, Yahoo! 등 다른 이메일 도메인과 함께 DMARC에 참여하고 있습니다. 우편. 또한 Bank of America, Facebook, Fidelity, LinkedIn, Paypal과 같은 발신자는 이미 Google 및 기타 수신자가 따라야 할 정책을 발표했습니다.
자세한 내용은 해당 포스팅을 참고해주세요공식 Gmail 블로그.
기타 유용한 링크:
답변3
수행할 수 있는 작업은 제어할 수 있는 인프라의 정도, 자신의 도메인 이름을 사용하는지 아니면 다른 사람이 제어하는 도메인에 주소가 있는지 여부에 따라 달라집니다.
자신만의 도메인이 있는 경우 동일한 도메인의 새 이메일 주소로 쉽게 전환할 수 있습니다. 또한 DNS 레코드를 설정하여 도메인의 모든 이메일이 디지털 서명되어야 함을 전 세계에 알릴 수 있습니다. (이러한 접근 방식을 취하려는 경우 SPF, DKIM 및 DMARC를 검색해야 합니다.)
모든 사람이 이러한 서명을 확인할 것이라고 기대할 수는 없으므로 도메인에서 보낸 이메일에 서명이 필요함을 나타내는 DNS 레코드를 설정하더라도 도메인에서 보낸 것처럼 서명되지 않은 이메일을 보내는 남용자와 서명되지 않은 이메일을 수락하는 수신자가 여전히 있을 것입니다.
도메인을 제어하지 않으면 이메일 주소를 변경하는 것이 쉽지 않으며 발신 이메일에서 도메인을 스푸핑하는 기능을 제한하기 위해 DNS 레코드가 사용되는지 여부에 거의 영향을 미치지 않습니다.
스푸핑된 소스 주소를 사용하는 스팸 메시지로 인해 합법적인 주소로 반송되는 문제는 최소한 원칙적으로는 해결하기 쉽습니다.
Message-ID보내는 모든 이메일을 녹음할 수 있습니다 . 모든 반송에는 원래 메시지의 내용이 어딘가에 포함되어야 합니다 Message-ID. 그렇지 않으면 어떤 메시지가 반송되었는지 알려주기 때문에 반송은 전혀 쓸모가 없습니다. 이전에 보낸 가 포함되지 않은 반송된 메시지는 Message-ID스팸 폴더로 바로 보내지거나 수신 시 거부될 수 있습니다(이는 문제를 소스에 한 단계 더 가까이 가져갈 수 있다는 좋은 이점이 있습니다).
반송 메일은 주소를 통해 다른 이메일과 구분할 수 있습니다 MAIL From. 반송 메일에는 항상 빈 MAIL From주소가 있으며 다른 이메일에는 빈 주소가 없습니다 MAIL From.
따라서 MAIL From이 비어 있고 이전에 보낸 DATA내용이 포함되어 있지 않으면 Message-ID메일이 안전하게 거부될 수 있습니다.
그것이 원칙입니다. 그것을 실천으로 옮기는 것은 조금 더 어렵습니다. 우선 발신 이메일과 수신 이메일을 위한 인프라가 분리되어 있을 수 있으므로 수신 이메일 인프라가 Message-ID발신 이메일 인프라를 통과한 모든 내용을 항상 아는 것이 문제가 됩니다.
또한 일부 공급자는 상식에 맞지 않는 반송 메일을 보내야 한다고 주장합니다. 예를 들어, 반송된 원래 이메일에 대한 정보가 전혀 포함되지 않은 반송 메일을 보내는 공급자를 본 적이 있습니다. 이러한 쓸모없는 반송에 대한 최선의 권장 사항은 해당 메일이 합법적인 메일 시스템에서 발송된 경우라도 스팸으로 처리하는 것입니다.
이메일 주소 목록을 얻은 사람은 누구든지 주소 중 하나를 소스 주소로, 주소 중 하나를 대상 주소로 입력할 수 있다는 점을 기억하십시오. 따라서 추가 정보가 없으면 자신의 시스템에서 누출이 발생했는지 확신할 수 없습니다. 귀하를 포함하여 주소 목록을 유출한 사람은 귀하의 연락처일 수도 있습니다.
유출된 목록에 있는 주소와 그렇지 않은 주소를 더 많이 파악할수록 해당 주소가 어디에서 유출되었는지 더 잘 파악할 수 있습니다. 귀하는 이미 이 작업을 수행했으며 귀하의 연락처 중 누구도 유출된 것으로 확인된 모든 주소를 알지 못했기 때문에 누출이 귀하의 연락처 목록에서 발생했음에 틀림없다고 결론을 내릴 수도 있습니다.
이에 대한 나의 접근 방식은 내가 통신하는 각 연락처에 대해 내 도메인과 해당 도메인 아래의 별도 이메일 주소를 사용하는 것입니다. [email protected]오늘 새 연락처에 이메일을 쓰는 것처럼 보일 수 있도록 메일 주소에 연락처와 처음 통신한 날짜를 포함합니다 . 이러한 접근 방식은 분명히 모든 사람을 위한 것은 아니지만, 나에게는 내 전자 메일 주소 목록을 누가 유출했는지 정확히 아는 데 도움이 됩니다. 또한 내 주소를 유출한 사람만이 연락처 정보를 업데이트하도록 개별 주소를 폐쇄할 수도 있다는 뜻이기도 합니다.
답변4
당신은 이것에 잘못 접근하고 있습니다.
컴퓨터 수리 업계에서 수년을 보낸 경험을 통해 여기서 "해킹"이 일어날 가능성은 거의 없다고 말할 수 있습니다. 아내의 컴퓨터에 바이러스가 있을 가능성이 훨씬 높으며, 해당 바이러스가 아내의 Thunderbird 주소록에 액세스했습니다.
이것은 매우 흔한 일입니다. 일반적으로 바이러스는 감염된 컴퓨터에서 직접 이메일을 보내기 때문에 바이러스를 제거하면 스팸 이메일이 차단됩니다. 스팸 이메일은 아내의 이메일 주소를 "스푸핑"하는 것이 아니라 아내의 이메일 주소입니다.
다른 사용자가 제안한 대로 이메일 주소를 변경하면 문제가 해결될 가능성이 거의 없습니다. 특히 같은 컴퓨터에서 Thunderbird에 입력하는 경우 더욱 그렇습니다.
Combofix아내의 컴퓨터에서 다운로드하여 실행하세요 .
http://www.bleepingcomputer.com/download/combofix/
실행 방법에 대한 지침은 다음과 같습니다.http://www.bleepingcomputer.com/combofix/how-to-use-combofix
기본적으로 다운로드하고 관리자 권한으로 실행하고(마우스 오른쪽 버튼 클릭 -> 관리자 권한으로 실행) 프롬프트에 따라 확인/예/계속을 클릭한 다음 30분에서 1시간 동안 그대로 둡니다. 오랜 시간 동안 실행되며 컴퓨터를 재부팅할 수 있습니다(계속 작동하려면 다시 로그인해야 합니다).
많은 텍스트가 포함된 전체 화면 메모장이 열리면 작업이 완료된 것입니다. 닫고 한 번 더 재부팅하면 문제가 해결되었을 것입니다. 시간이 지나서야 알 수 있을 것입니다.