Что такое спуфинг электронной почты:

Заголовок электронного письма «FROM» имеет дефекты конструкции, и очень легко получить почтовый сервер и отправить электронные письма, подделав адрес FROM. Это представляет серьезную угрозу для организации, потому что, если человек может выдать себя за организацию, может быть вероятность того, что хакер может отправить фишинговое письмо пользователям с просьбой сбросить пароль, а затем украсть их учетные данные. Спуфинг электронной почты может привести к этим вещам

  1. Используя социальную инженерию, такую ​​как отправка фишинговых писем, можно украсть учетные данные пользователей.
  2. Они могут направлять законных пользователей на вредоносные сайты.
  3. Они могут распространять вредоносные программы или программы-вымогатели в виде вложений.

Если законный пользователь не знает, как проверять заголовки электронной почты, например, прошло ли письмо через проверки, такие как SPF, DMARC и DKIM, он может попасть в ловушку фишинговой кампании. Если адрес отправителя был подделан, у организации нет возможности остановить доставку электронной почты. Есть несколько способов, которыми пользователи могут идентифицировать поддельную электронную почту.

  1. Проверяя адрес электронной почты отправителя, они иногда манипулируют доменами и, следовательно, могут быть легко обнаружены, например, вместо support.google.com они используют googlesupporthelp.com в качестве домена отправки электронной почты.
  2. Наведя указатель мыши на вложение, мы можем увидеть домен, по которому мы можем легко определить, выглядит ли домен законным или нет.
  3. Проверяя текст сообщения электронной почты на наличие ссылок, ведущих на некоторые фишинговые сайты.

Поддельная электронная почта может привести к финансовым потерям для пользователей, потому что в большинстве случаев при попытке фишинга могут быть украдены имя пользователя и пароль пользователей, которые могут быть использованы для выполнения финансовых транзакций в случае банковских учетных данных.

Работает:

Основная цель злоумышленника для спуфинга электронной почты - взломать SMTP-сервер (простой протокол передачи почты). Чтобы злоумышленник действительно мог отправить поддельное письмо с сервера. Поскольку почтовый сервер был законным, электронная почта будет выглядеть для пользователей законной.

Не всегда удается взломать SMTP-серверы. В некоторых случаях хакеры также могут использовать адрес электронной почты человека. Если злоумышленник использует электронную почту человека для подделки, отдельные пользователи, вероятно, получают недоставленные уведомления по электронной почте в свой почтовый ящик. Поэтому после идентификации легальные пользователи должны просканировать его систему или проверить на наличие вирусов, поскольку существует вероятность заражения вирусом.

Как Sender Policy Framework / SPF помогают предотвратить подделку электронной почты:

SPF играет очень важную роль в предотвращении спуфинга электронной почты. Но перед этим мы должны знать, что такое SPF?

Что такое SPF:

SPF или Sender Policy Framework - это протокол аутентификации. SPF фокусируется на заголовке FROM и, в частности, на «домене», который находится в заголовке FROM. В заголовке письма он может быть виден с таким количеством имен, как «Обратный путь», «Откуда», «Адрес возврата». , «Конверт от». Запись SPF содержит доменные имена веб-сайтов, которым организация разрешает отправлять электронные письма от их имени. Например, мой домен - securitybyng.ninja, и я разрешаю Google отправлять электронную почту от моего имени, тогда моя запись SPF должна содержать google.com. Если домен в заголовке «from» отсутствует в SPF, SPF откатывается и проверка SPF завершается неудачно.

Как это помогает предотвратить подделку электронной почты:

  • Сначала он проверяет, существует ли IP-адрес отправителя в записи MX.
  • Если домен или IP-адрес не присутствует в записи MX, он проверяет домен в записи SPF.
  • Если домен присутствует в записи SPF, значит, электронная почта приходит из законных источников.
  • Если IP-адрес или домен отсутствует в записи SPF, то SPF не работает. Просто:

Если IP-адрес или домен отправителя почты указан в записи SPF, проверка SPF проходит.

Если IP-адрес или доменное имя отправителя почты не указаны в записи SPF, то SPF не работает.

Как электронная почта с определенным ключом домена / DKIM помогает предотвратить подделку электронной почты:

DKIM позволяет проверить, имеет ли организация, доставляющая электронное письмо, право на это. Таким образом, при отправке электронного письма с помощью DKIM сервер фактически подписывает электронное письмо закрытым ключом организации. Открытый ключ публикуется в записи TXT домена, которую можно использовать для проверки подписи электронного письма.

  1. Если проверка прошла успешно, используйте DKIM Pass.
  2. Если проверка не удалась, то DKIM FAILS

Таким образом, он предоставляет сервер электронной почты для проверки подлинности электронного письма.

Как отчеты об аутентификации сообщений на основе домена и соответствие требованиям / DMARC помогают устранить подделку электронной почты:

DMARC также играет важную роль в устранении спуфинга электронной почты.

Что такое DMARC:

В этом почтовом сервере проверяется, прошли ли проверки SPF или DKIM, а затем проверяется домен, указанный в заголовке «return-Path» или «From». Домены из белого списка перечислены в параметре «d» записи DMARC, как показано ниже.

  1. Если обе проверки SPF или DKIM не прошли проверку = DMARC Fail

Если DMARC не удалось, то существует три ситуации: как почта будет доставлена ​​пользователю.

  1. Режим только для отчетов (= нет): электронная почта будет принята сервером и отправлена ​​прямо в почтовый ящик пользователя. Серверы доставки электронной почты могут использовать другие критерии фильтрации для электронной почты, такие как проверка IP-адреса исходного сервера и, если этот IP-адрес занесен в черный список, пометить почту как спам.
  2. Режим карантина (карантин): электронная почта будет помещена в карантин и доставлена ​​в папку «Спам» почтового ящика пользователя.
  3. Режим отклонения (отклонение): целевой сервер отклоняет электронное письмо, и оно не будет доставлено пользователю.

Исправление:

Итак, как мы можем защитить наш домен от подделки электронной почты.

  • Организации должны своевременно проводить обучение сотрудников, чтобы сотрудники могли обнаруживать фишинговые электронные письма.
  • Организации должны использовать свой механизм фильтрации, чтобы блокировать поддельное письмо с вредоносными вложениями.
  • Электронная почта, исходящая из сторонних источников, должна содержать заявление об отказе от ответственности при доставке в почтовый ящик организации.
  • Организации могут реализовать «средства защиты на основе личных данных», которые могут помочь в выявлении спама и вредоносных программ, а после идентификации они автоматически удаляют эти вложения из писем.

Организации также могут использовать стандартный протокол проверки подлинности электронной почты, который может помочь организациям устранить подделку электронной почты. Для этого организации могут публиковать записи SPF, DKIM и DMARC.