Cenário 1 – SPF do remetente configurado incorretamente

Cenário 1 – SPF do remetente configurado incorretamente

De vez em quando, recebo e-mails com uma carga obviamente malévola (como um documento do Word com macros prejudiciais).

Não estou preocupado com estes e-mails, que posso reconhecer, mas reparei que os alegados remetentes são todos funcionários da mesma empresa, que conheço. De qualquer forma, os endereços dos remetentes são fantasiosos.

Então minha pergunta é: o que é mais provável? Que a caixa de correio deles foi hackeada e abusada ou que minha própria caixa de correio foi hackeada?

Existe uma maneira de saber?

Responder1

É difícil dizer com certeza, mas acho que este é o cenário mais provável:

  • O nome de domínio do remetente não possui umFPSregistro que restringe quais endereços IP têm permissão para enviar e-mails para o domínio.

Outros cenários possíveis que estou pensando em ordem decrescente de probabilidade de acordo com minha experiência:

  • A conta de e-mail ou servidor de e-mail dos remetentes foi comprometida e está enviando spam para contatos conhecidos no servidor.
  • O nome de domínio dos remetentes possui registros SPF sensíveis, mas o software anti-spam do seu servidor de e-mail não verifica e-mails falsificados.
  • Seu servidor de e-mail ou conta foi comprometido e um distribuidor de malware está usando sua lista de contatos para colocar e-mails com malware em sua caixa de entrada.

Cenário 1 – SPF do remetente configurado incorretamente

Este é o cenário mais provável porque você indicou emuma atualização para sua perguntaque os endereços de e-mail dos remetentes são “fantasiosos”; o remetente falsificado pode não conhecer necessariamente nenhuma caixa de correio real no domínio de destino.

Sintoma

Você recebe um e-mail de alguém, mas essa pessoa nega o envio do e-mail. Eles podem não mostrar nenhum registro correspondente na pasta de mensagens enviadas ou até mesmo nos registros de e-mail do servidor de envio.

Causa

O nome de domínio do remetente não possui um registro SPF (Sender Policy Framework) que evite falsificação.

Diagnóstico

Você pode verificar o registro SPF do domínio example.comcom este comando:

nslookup -type=TXT example.com

Substitua example.compelo nome de domínio do remetente. Você pode ver um registro parecido com este:

"v=spf1 +a +mx +ip4:127.0.0.1 -all"

No exemplo acima,

  • +asignifica permitir que os endereços IP do(s) registro(s) A do domínio enviem e-mails em nome deste domínio.
  • +mxsignifica resolver os registros MX do domínio e permitir que esses domínios também enviem e-mails.
  • +ip4:127.0.0.1significa permitir que o endereço IP 127.0.0.1envie e-mails para este domínio.
  • -allsignifica rejeitar todos os outros endereços IP de enviar e-mails para este domínio.

Se o remetente não tiver -allregistro SPF, os servidores de recebimento de e-mail que validam o SPF podem aceitar e-mails falsificados que poderiam ter sido enviados por qualquer pessoa.

Você pode verificar o verdadeiro remetente do e-mail lendo os Received:cabeçalhos do e-mail malicioso que recebeu. Os Received:cabeçalhos estão na ordem inversa de cada servidor de e-mail pelo qual o e-mail passou, mas observe que os cabeçalhos não adicionados pelo seu servidor de e-mail podem ser falsificados. O primeiro Received:cabeçalho adicionado pelo seu gateway de e-mail mostra de onde veio o e-mail. Exemplo:

Received: from mail-eopbgr810054.outbound.protection.outlook.com ([40.107.81.54]:59584 helo=NAM01-BY2-obe.outbound.protection.outlook.com)
    by example.deltik.org with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
    (Exim 4.91)
    (envelope-from <[email protected]>)
    id 1gUudZ-00BGJx-L7
    for [email protected]; Thu, 29 Nov 2018 06:49:21 -0600

No exemplo acima, o e-mail veio de 40.107.81.54, que passou na verificação do registro SPF ( "v=spf1 include:spf.protection.outlook.com -all") no domínio do remetente do spam, luxurylifestylereport.net, portanto o e-mail foi aceito.

Alternativamente, se você tiver acesso aos logs do servidor de e-mail, poderá ler a origem do e-mail a partir daí.

Resolução

O postmaster do remetente deve configurar um registro SPF para seu domínio que evite que spammers falsifiquem o domínio para e-mails. Isso não é algo que você possa fazer.

Até que o postmaster corrija isso, você pode tentar ajustar suas configurações anti-spam para bloquear e-mails com anexos maliciosos ou conteúdo de spam.


Cenário 2 – E-mail do remetente comprometido

Este cenário é menos provável porque você disse que esse problema acontece de vez em quando, mas alguém deveria ter notado e relatado isso no passado.

Sintoma

Você pode ver nos cabeçalhos do email que o email veio de um endereço IP que tem permissão para enviar emails para o domínio do remetente.

Causa

O servidor de e-mail no endereço IP ou um servidor que envia e-mails por meio dele foi comprometido. O hacker também pode ter encontrado uma cópia dos contatos que o remetente conhece e está tentando enviar um e-mail para eles na esperança de encontrar alguém identificável.

Diagnóstico

Mesmo processo do Cenário 1

Resolução

O postmaster do remetente precisa parar e proteger seu sistema de e-mail. Isso não é algo que você possa fazer.

Até que o postmaster corrija isso, você pode tentar ajustar suas configurações anti-spam para bloquear e-mails com anexos maliciosos ou conteúdo de spam.


Cenário 3 – O servidor de recebimento de e-mail não verifica os registros SPF

Este cenário é menos provável porque os spammers não vão querer desperdiçar recursos tentando falsificar e-mails para um domínio que já se protege contra falsificação. Você provavelmente também receberá muitos e-mails falsificados de outros nomes de domínio.

Sintoma

Você recebe um e-mail de alguém, mas essa pessoa pode provar que não o enviou. Na verdade, qualquer pessoa pode validar se o registro SPF do domínio está configurado corretamente, mas o e-mail que você recebeu veio de um endereço IP proibido pelo registro SPF do domínio.

Causa

Seu servidor de e-mail não está filtrando e-mails falsificados.

Diagnóstico

O mesmo processo do Cenário 1, mas você pode ver que o endereço IP do remetente falha na verificação SPF

Resolução

Consulte a documentação do seu servidor de e-mail para saber como configurar a validação SPF.


Cenário 4 – Conta de e-mail do destinatário comprometida

Esse cenário é menos provável porque é mais lucrativo esconder de você o fato de que você foi comprometido e usar a boa reputação do seu endereço de e-mail para enviar spam a outras pessoas. Além disso, a entidade maliciosa provavelmente estaria diversificando o endereço de e-mail de origem.

Sintoma

Seus registros de e-mail recebidos não mostram o e-mail que apareceu ou os cabeçalhos do e-mail recebido não fazem sentido.

Causa

Alguém espera obter mais acesso a você, colocando e-mails de malware em sua conta de e-mail já comprometida, sem realmente enviar nenhum e-mail. Os e-mails podem ser adicionados através do protocolo IMAP.

Diagnóstico

Verifique os logs do servidor de e-mail em busca de autenticações que você não reconhece.

Resolução

Altere a senha da sua conta de e-mail.

informação relacionada