Время от времени я получаю электронные письма с явно вредоносным содержимым (например, документ Word с вредоносными макросами).
Меня не беспокоят эти электронные письма, которые я могу распознать, но я заметил, что предполагаемые отправители — все сотрудники одной и той же компании, которую я знаю. В любом случае, адреса отправителей вымышлены.
Итак, мой вопрос: что более вероятно? Что их почтовый ящик был взломан и использован неправильно, или что мой собственный почтовый ящик был взломан?
Есть ли способ узнать?
решение1
Трудно сказать наверняка, но я думаю, что это наиболее вероятный сценарий:
- Доменное имя отправителя не имеетСПФзапись, ограничивающая IP-адреса, которым разрешено отправлять электронные письма для домена.
Другие возможные сценарии, пришедшие мне в голову в порядке убывания вероятности, исходя из моего опыта:
- Учетная запись электронной почты или сервер электронной почты отправителя были взломаны и рассылают спам контактам, известным на сервере.
- Доменное имя отправителя имеет разумные записи SPF, но антиспамовое программное обеспечение вашего почтового сервера не проверяет поддельные письма.
- Ваш почтовый сервер или учетная запись были взломаны, и распространитель вредоносного ПО использует ваш список контактов для размещения вредоносных писем в вашем почтовом ящике.
Сценарий 1 – Неправильная настройка SPF отправителя
Это наиболее вероятный сценарий, поскольку вы указали вобновление вашего вопросачто адреса электронной почты отправителей «вымышленные»; отправитель-подменщик не обязательно знает какие-либо реальные почтовые ящики в целевом домене.
Симптом
Вы получаете письмо от кого-то, но этот человек отрицает отправку письма. Они могут не показывать соответствующих записей в папке отправленных сообщений или даже в журналах электронной почты сервера-отправителя.
Причина
Доменное имя отправителя не имеет записи SPF (Sender Policy Framework), которая предотвращает подделку.
Диагноз
Проверить SPF-запись домена можно example.com
с помощью этой команды:
nslookup -type=TXT example.com
Замените example.com
на доменное имя отправителя. Вы можете увидеть запись, которая выглядит так:
"v=spf1 +a +mx +ip4:127.0.0.1 -all"
В приведенном выше примере
+a
означает разрешение IP-адресу(ам) A-записи(й) домена отправлять электронные письма от имени этого домена.+mx
означает разрешение записей MX домена и разрешение этим доменам отправлять электронные письма.+ip4:127.0.0.1
означает разрешить IP-адресу127.0.0.1
отправлять электронные письма для этого домена.-all
означает запрет всем остальным IP-адресам отправлять электронные письма для этого домена.
Если у отправителя нет -all
записи SPF, принимающие почтовые серверы, проверяющие SPF, могут принять поддельные электронные письма, которые могли быть отправлены кем угодно.
Вы можете проверить фактического отправителя письма, прочитав Received:
заголовки в полученном вами вредоносном письме. Received:
Заголовки находятся в обратном порядке каждого почтового сервера, через который прошло письмо, но учтите, что заголовки, не добавленные вашим почтовым сервером, могут быть подделаны. Первый Received:
заголовок, добавленный вашим почтовым шлюзом, показывает, откуда пришло письмо. Пример:
Received: from mail-eopbgr810054.outbound.protection.outlook.com ([40.107.81.54]:59584 helo=NAM01-BY2-obe.outbound.protection.outlook.com)
by example.deltik.org with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
(Exim 4.91)
(envelope-from <[email protected]>)
id 1gUudZ-00BGJx-L7
for [email protected]; Thu, 29 Nov 2018 06:49:21 -0600
В приведенном выше примере электронное письмо пришло от 40.107.81.54
, которое прошло проверку записи SPF ( "v=spf1 include:spf.protection.outlook.com -all"
) на домене отправителя спама, luxurylifestylereport.net
поэтому электронное письмо было принято.
Кроме того, если у вас есть доступ к журналам почтового сервера, вы можете прочитать источник письма оттуда.
Разрешение
Почтмейстер отправителя должен настроить запись SPF для своего домена, которая не позволит спамерам подделывать домен для писем. Этого вы сделать не можете.
Пока почтмейстер не исправит эту проблему, вы можете попробовать изменить настройки защиты от спама, чтобы блокировать письма с вредоносными вложениями или спам-содержимым.
Сценарий 2 – Электронная почта отправителя скомпрометирована
Этот сценарий менее вероятен, поскольку вы сказали, что эта проблема возникает время от времени, но кто-то другой должен был заметить ее и сообщить об этом в прошлом.
Симптом
В заголовках писем вы можете увидеть, что письмо пришло с IP-адреса, которому разрешено отправлять письма для домена отправителя.
Причина
Почтовый сервер по IP-адресу или сервер, который отправляет почту через него, был скомпрометирован. Хакер также мог найти копию контактов, о которых знает отправитель, и пытается отправить им электронное письмо в надежде найти кого-то, с кем можно связаться.
Диагноз
Тот же процесс, что и в сценарии 1
Разрешение
Почтмейстеру отправителя нужно остановить и защитить свою систему электронной почты. Это не то, что вы можете сделать.
Пока почтмейстер не исправит эту проблему, вы можете попробовать изменить настройки защиты от спама, чтобы блокировать письма с вредоносными вложениями или спам-содержимым.
Сценарий 3 – Сервер приема почты не проверяет записи SPF
Этот сценарий менее вероятен, поскольку спамеры не захотят тратить ресурсы на попытки подделывать письма для домена, который уже защищает себя от подделки. Вы, вероятно, также получите много поддельных писем с других доменных имен.
Симптом
Вы получаете письмо от кого-то, но этот человек может доказать, что не отправлял его. Фактически, любой может подтвердить, что запись SPF домена настроена правильно, однако полученное вами письмо пришло с IP-адреса, запрещенного записью SPF домена.
Причина
Ваш почтовый сервер не отфильтровывает поддельные письма.
Диагноз
Тот же процесс, что и в сценарии 1, но вы видите, что IP-адрес отправителя не проходит проверку SPF.
Разрешение
Информацию о настройке проверки SPF см. в документации вашего почтового сервера.
Сценарий 4 – Учетная запись электронной почты получателя скомпрометирована
Этот сценарий менее вероятен, поскольку более выгодно скрыть от вас тот факт, что вас скомпрометировали, и использовать хорошую репутацию вашего адреса электронной почты для рассылки спама другим. Кроме того, злоумышленник, вероятно, будет диверсифицировать исходный адрес электронной почты.
Симптом
В журналах входящей электронной почты не отображаются полученные письма или заголовки полученных писем не имеют смысла.
Причина
Кто-то надеется получить к вам больше доступа, размещая вредоносные письма на вашем уже скомпрометированном почтовом аккаунте, не отправляя при этом никаких писем. Письма можно добавлять по протоколу IMAP.
Диагноз
Проверьте журналы вашего почтового сервера на предмет незнакомых вам случаев аутентификации.
Разрешение
Измените пароль своей учетной записи электронной почты.