Можно ли предотвратить подделку писем?

Question

Электронная почта моей жены была взломана, и злоумышленник получил ее адресную книгу. Я не знаю, была ли атака на ее локальный почтовый клиент (Thunderbird работает на Windows 7) или на сервер (размещенный на GoDaddy). Так или иначе, данные списка контактов там, и я не могу отменить это. Я изменил все пароли, обновил безопасность и т.д., И я не думаю, что были какие-либо вторжения.

Однако, кто бы это ни делал, он рассылал огромное количество спама, используя имя моей жены в качестве "отправителя". Некоторое время они замолкают, а потом так часто я просыпаюсь с несколькими дюжинами электронных писем от моей жены, которые, конечно, она на самом деле не отправляла, и каждый другой человек в ее адресной книге тоже получает их. И поскольку в ее адресной книге было много мертвых адресов, моя жена получает сотни сообщений с ошибками "Ошибка доставки почты", а также сотни электронных писем, которые отклоняются принимающим доменом как спам. Люди в ее списке контактов начинают злиться, и это становится настоящей проблемой.

Я спросил об этом GoDaddy, и они говорят, что любой человек А может отправить электронное письмо на b@bbb.com утверждая, что он является c@ccc.com , и нет инфраструктуры электронной почты для проверки того, что человек А уполномочен отправлять письмо от ccc.com . Следовательно, я абсолютно ничего не могу с этим поделать, и этот спамер сможет беспокоить людей, наносить ущерб репутации моей жены, вносить ее электронный список в черный список и т.д., И нет способа остановить это .

Это правда, или я могу что-нибудь сделать, чтобы остановить этих спаммеров или, по крайней мере, смягчить ущерб?

Answer 1

Действительно, проблему фальсификации электронной почты действительно очень трудно решить из-за простого и высоко распределенного способа разработки протокола.

Аналогия с физическими буквами в этом примере вполне справедлива: я могу поместить письмо в почту и написать на нем, что оно пришло из вашего дома; Мне не нужно вломиться в ваш дом, просто сделайте это в общедоступном почтовом ящике. И если сообщение помечено как "вернуть отправителю", оно может оказаться "возвращенным" вам, даже если вы его не написали. То же самое происходит с электронной почтой: любой может доставить сообщение в систему с адресами "Кому" и "От"; сервер, с которого вы отправляете почту, может не совпадать с тем, на который вы получаете почту, и нет централизованной службы проверки вашей личности, когда вы отправляете сообщение в систему.

Есть два основных подхода к решению этой проблемы:

Цифровые подписи - это способ включения в сообщение некой подписи или печати, которую только настоящий отправитель знает, как сгенерировать (используя закрытый ключ, который они никогда не передают). Затем получатель может проверить подпись, используя открытый ключ, который математически доказывает, кто создал подпись (и что она соответствует полученному тексту).

Это, однако, не очень полезно для вашего примера, поскольку не препятствует доставке сообщений и требует, чтобы получатели знали открытый ключ или проверенное местоположение для его получения.

Доменные системы проверки отправителей были разработаны, чтобы попытаться предотвратить спам. Они хранят данные в DNS (поиск в каталоге) для домена адреса (часть после @), что позволяет принимающей системе проверять, является ли почта законной. Одна система, SPF, перечисляет, каким системам разрешено отправлять почту от имени этого домена; другой, DKIM, хранит открытые ключи, используемые аналогично подходу цифровой подписи, описанному выше, но для проверки передающей системы, а не фактического отправителя.

(Чтобы немного преувеличить аналогию с физическими буквами, SPF словно публично заявляет: "Я отправляю письма только с помощью этого почтового ящика", а DKIM словно публично заявляет: «Я всегда отправляю почту из этого почтового отделения, которая печатает для меня ярлык с несанкционированным доступом ».)

Это будет более уместно для вашего случая - если ваша жена использует пользовательский домен, соответствующая настройка SPF или DKIM заставит многие системы молча отклонять почту, которую она сама не отправила (или пометит ее как спам, не приписывая ее ей). ). Однако он работает только на уровне домена, а не на отдельном адресе, и некоторые системы получателей могут не проверять записи.

Answer 2

Электронная почта всех живых контактов в ее адресной книге и рассказывающая им о проблемах спама в электронной почте, вероятно, поможет. И сейчас самое подходящее время, чтобы удалить все мертвые контакты из списка.

Использование PGP/GPG в будущем было бы почти идеальным решением для частных пользователей и отправителей, чтобы самим убедиться, что электронное письмо действительно отправлено отправителем, и могут также скрывать / шифровать содержимое сообщений, чтобы их могли видеть только предполагаемый получатель. Но, несмотря на то, что PGP доступен уже несколько десятилетий, не всегда легко использовать его для всех, а почта, доступная только через Интернет (например, Gmail и т.д.), Затрудняет сохранение секретных частей по-настоящему секретными только для вас, и при этом их легко использовать откуда угодно ...

Аутентификация электронной почты

Есть вещи, которые можно сделать для аутентификации получателей электронной почты (по крайней мере, некоторые, такие как Yahoo, Google и другие, которые « представляют большой процент пользователей электронной почты в Интернете » - часто задаваемые вопросы DMARC), что сообщение, которое говорит, что это от вашего домена, действительно с вашего домена. Они используют DMARK, который « позволяет отправителю указать, что их сообщения защищены SPF и / или DKIM, и сообщает получателю, что делать, если ни один из этих методов аутентификации не пройдет - например, нежелательная почта или отклонение сообщения » - FAQ по DMARC.

Переход на другой адрес электронной почты также может помочь в краткосрочной перспективе, тогда вы и все остальные можете спокойно игнорировать / "помечать как спам" все дальнейшие сообщения от спамеров. Но даже если это не ваша главная задача, поскольку они являются "явно суперспамным спамом" и никто не обманывается, вы, вероятно, захотите не допустить, чтобы строка «from:» была легко подделана, поскольку, если достаточно пользователей всегда пометят как спам "деловая электронная почта вашей жены, фильтры спама, вероятно, начнут выбрасывать все сообщения с этого адреса.

Аутентификация электронной почты должна помочь отправляющим и получающим почтовым серверам проверять, действительно ли сообщения отправляются от того, от кого они говорят. Я нашел некоторую информацию о Gmail, так как это одна из "трех крупнейших" почтовых компаний, с которой, пожалуй, стоит начать. Даже переключение провайдеров электронной почты на тех, кто уже настроен / аутентифицирован, например, Gmail для бизнеса, должно помочь и может быть проще, но не обязательным, хотя, судя по вашему ответу от GoDaddy, они могут не быть хостом вашей мечты.

В справке Gmail по аутентификации электронной почты есть несколько советов по отправке доменов:

Если вы отправляете домен

Сообщения с подписями DKIM используют ключ для подписи сообщений. Сообщения, подписанные короткими ключами, могут быть легко подделаны (см. Http://www.kb.cert.org/vuls/id/268267), поэтому сообщение, подписанное коротким ключом, больше не является признаком того, что сообщение должным образом аутентифицировано. Чтобы обеспечить максимальную защиту наших пользователей, Gmail начнет обрабатывать электронные письма, подписанные менее чем 1024-битными ключами, как неподписанные, начиная с января 2013 года. Мы настоятельно рекомендуем всем отправителям, использующим короткие ключи, переключаться на ключи RSA длиной не менее 1024 бит. Аутентификация настоятельно рекомендуется для каждого отправителя почты, чтобы убедиться, что ваши сообщения правильно классифицированы. Другие рекомендации см. В Руководстве по массовым отправителям.

Одной аутентификации недостаточно для гарантии того, что ваши сообщения могут быть доставлены, так как спаммеры также могут аутентифицировать почту. Gmail объединяет пользовательские отчеты и другие сигналы с информацией для аутентификации при классификации сообщений.

Точно так же того факта, что сообщение не аутентифицировано, недостаточно для того, чтобы классифицировать его как спам, потому что некоторые отправители не аутентифицируют свою почту или потому что аутентификация прерывается в некоторых случаях (например, когда сообщения отправляются в списки рассылки).

Узнайте больше о том, как создать политику, которая поможет контролировать неаутентифицированную почту с вашего домена.

Последняя ссылка Контроль неаутентифицированной почты с вашего домена особенно актуальна:

Чтобы помочь в борьбе со спамом и злоупотреблениями, Gmail использует проверку подлинности электронной почты для проверки того, действительно ли сообщение было отправлено с адреса, с которого оно было отправлено. В рамках инициативы DMARC Google позволяет владельцам доменов определять, как мы обрабатываем неаутентифицированные сообщения, которые ложно утверждают, что они поступили с вашего домена.

Что ты можешь сделать

Владельцы доменов могут опубликовать политику, сообщающую Gmail и другим участвующим поставщикам электронной почты, как обрабатывать сообщения, отправленные с вашего домена, но не прошедшие проверку подлинности. Определив политику, вы можете помочь в борьбе с фишингом для защиты пользователей и вашей репутации.

На веб-сайте DMARC узнайте, как опубликовать свою политику, или ознакомьтесь с инструкциями для доменов Служб Google.

Вот некоторые вещи, которые нужно иметь в виду:

• Вы будете получать ежедневный отчет от каждого поставщика электронной почты, участвующего в программе, чтобы вы могли видеть, как часто ваши электронные письма проходят проверку подлинности и как часто выявляются недействительные электронные письма.
• Возможно, вы захотите изменить свою политику, изучив данные из этих отчетов. Например, вы можете изменить свои действующие политики с «монитора» на «карантин» на «отклонение», поскольку вы становитесь более уверенными в том, что все ваши собственные сообщения будут аутентифицированы.
• Ваша политика может быть строгой или смягченной. Например, eBay и PayPal публикуют политику, требующую аутентификации всей их почты для того, чтобы они появлялись в чьем-либо почтовом ящике. В соответствии с их политикой Google отклоняет все сообщения от eBay или PayPal, которые не прошли проверку подлинности.

Подробнее о DMARC

DMARC.org был создан для того, чтобы отправители электронной почты могли влиять на неаутентифицированную почту, публикуя свои предпочтения в доступной и гибкой политике. Это также позволяет участвующим поставщикам электронной почты предоставлять отчеты, чтобы отправители могли улучшать и контролировать свою инфраструктуру аутентификации.

Google участвует в DMARC наряду с другими доменами электронной почты, такими как AOL, Comcast, Hotmail и Yahoo! Почта. Кроме того, отправители, такие как Bank of America, Facebook, Fidelity, LinkedIn и Paypal, уже опубликовали правила, которым должны следовать Google и другие получатели.

Дополнительную информацию см. В этом сообщении в официальном блоге Gmail.

Другие полезные ссылки:

• Настройте Gmail для отправки / получения сообщений электронной почты, используя ваше собственное доменное имя
• Взять под контроль свой адрес электронной почты

Answer 3

Что можно сделать, зависит от того, какая часть инфраструктуры находится под вашим контролем, и используете ли вы свое собственное доменное имя или просто имеете адрес в домене, контролируемом кем-то другим.

Если у вас есть собственный домен, то легко перейти на новый адрес электронной почты в том же домене. Кроме того, вы можете настроить записи DNS, чтобы сообщить миру, что все электронные письма с вашего домена должны иметь цифровую подпись. (SPF, DKIM и DMARC - это термины для поиска, если вы хотите использовать этот подход.)

Вы не можете ожидать, что все будут проверять эти подписи, поэтому даже если вы настроите записи DNS, указывающие, что электронная почта с вашего домена должна быть подписана, все еще будут злоумышленники, отправляющие неподписанные электронные письма, утверждающие, что они принадлежат вашему домену, и получатели, принимающие эти неподписанные электронные письма.

Если вы не контролируете домен, то изменение адреса электронной почты не так просто, и вы мало влияете на то, используются ли записи DNS для ограничения возможности подделки домена в исходящих письмах.

Проблема со спам-сообщениями, использующими поддельный адрес источника, вызывающий возвраты на законный адрес, по крайней мере, в принципе, легко решаема.

Вы можете записать Message-ID всех писем, которые вы отправляете. Все возвраты должны включать Message-ID сообщения исходного сообщения где-либо, иначе отказ в любом случае совершенно бесполезен, потому что именно это говорит вам, какое сообщение было отклонено. Любое отклоненное сообщение, которое не содержит ранее отправленного вами Message-ID может быть отправлено прямо в папку со спамом или отклонено во время получения (что дает преимущество в том, что проблема на шаг приближается к источнику).

Отскок может быть рассмотрен отдельно от других писем по адресу MAIL From . У отказов всегда есть пустой адрес MAIL From , в других письмах никогда не бывает пустого адреса MAIL From .

Таким образом, если MAIL From пусто - и DATA не содержит Message-ID вы ранее отправили, письмо может быть безопасно отклонено.

Это принцип. Реализовать это на практике немного сложнее. Прежде всего, инфраструктура для исходящей и входящей электронной почты может быть разделена, что делает проблематичным, чтобы инфраструктура для входящих сообщений всегда знала о каждом Message-ID который прошел через инфраструктуру для исходящих сообщений.

Кроме того, некоторые провайдеры настаивают на отправке отказов, которые не соответствуют здравому смыслу. Например, я видел провайдеров, отправляющих отказы, не содержащие никакой информации об исходном электронном письме, которое было отклонено. Моя лучшая рекомендация для таких бесполезных отскоков - рассматривать их как спам, даже если они исходят из другой законной почтовой системы.

Помните, что тот, кто получил список адресов электронной почты, может поместить любой из адресов в качестве адреса источника и любой из адресов в качестве адреса назначения. Таким образом, если у вас нет дополнительной информации, вы не можете быть уверены, что утечка произошла даже из вашей собственной системы. Это может быть любой из ваших контактов, которые утекли список адресов, включая ваш.

Чем больше вы сможете выяснить, какие адреса находятся в списке утечек, а какие нет, тем лучше вы сможете выяснить, откуда они были получены. Возможно, вы уже сделали это и пришли к выводу, что утечка произошла из вашего списка контактов, поскольку ни один из ваших контактов не знал бы всех адресов, подтвержденных как утечка.

Мой подход заключается в том, чтобы использовать свой собственный домен и отдельный адрес электронной почты в этом домене для каждого контакта, с которым я общаюсь. Я включаю дату первого контакта с контактом в почтовый адрес, чтобы он выглядел как kasperd@mdgwh.04.dec.2015.kasperd.net если бы я должен был написать электронное письмо новому контакту сегодня. Такой подход, очевидно, не для всех, но для меня он, безусловно, помогает точно знать, кто просочился в список адресов электронной почты, на которых включен один из моих адресов. Это также означает, что я могу закрыть отдельные адреса так, что только тот, кто слил мой адрес, должен обновить свои контактные данные для меня.

Answer 4

И да и нет.

Ничто не мешает мне написать электронное письмо с вашим адресом отправителя. Это ничем не отличается от обычной бумажной почты, где я также могу указать адрес получателя на лицевой стороне конверта и (любой!) обратный адрес на обратной стороне конверта.

Однако вы можете добавить цифровую подпись, чтобы доказать, что вы являетесь отправителем (см. PGP и ответ Xen). И почтовые провайдеры также начинают внедрять проверки безопасности для связи между почтовыми серверами. (См. TLS - Безопасность транспортного уровня). Но почта построена на старых протоколах, где все хорошо себя вели и сотрудничали. Это не было предназначено для большого плохого мира.

Answer 5

Вы подходите к этому неправильно.

За годы, проведенные в индустрии ремонта компьютеров, я могу сказать вам, что очень маловероятно, что здесь происходили какие-либо "взломы". Скорее всего, на компьютере вашей жены есть вирус, и этот вирус получил доступ к ее адресной книге Thunderbird.

Это довольно часто. Обычно вирус отправляет электронные письма непосредственно с зараженного компьютера, поэтому удаление вируса остановит электронные письма со спамом - они не "подделывают" адрес электронной почты вашей жены, они являются адресом электронной почты вашей жены.

Изменение адресов электронной почты, предложенное другим пользователем, вряд ли что-то решит ... особенно если вы введете его в Thunderbird на том же компьютере.

Скачайте и запустите Combofix на компьютере вашей жены.

http://www.bleepingcomputer.com/download/combofix/

Инструкции по его запуску см. По адресу: http://www.bleepingcomputer.com/combofix/how-to-use-combofix.

По сути, загрузите его, запустите его от имени администратора (щелкните правой кнопкой мыши -> запустить от имени администратора), нажмите ОК / Да / Продолжить до подсказок, а затем уйдите от 30 минут до часа. Он будет работать долго и, вероятно, перезагрузит компьютер (убедитесь, что вы вошли в систему, чтобы он продолжал работать).

Вы узнаете, что это будет сделано, когда откроется полноэкранный блокнот с кучей текста. Закройте его, перезагрузите еще раз, и вы, вероятно, решили свою проблему ... только время покажет.

Answer 6

Здесь есть два вопроса. Ваш конкретный вопрос о проверке отправителей электронной почты и о том, что можно сделать, когда электронная почта отправляется на ваше имя.

К сожалению, подделать адрес From: в электронном письме очень просто, и это все, что нужно. Хотя существуют способы настроить электронную почту, чтобы отправитель мог быть проверен (например, подпись с разницей, упомянутая в других ответах), они не используются в общем. Если украденные контакты вашей жены включали множество случайных подключений, одноразовых клиентов, списков рассылки и т.д., Это не является началом: если получатели находят поддельные электронные письма хлопотами, последнее, что им нужно, это попросить установить специальное программное обеспечение. на своих компьютерах.

Что подводит нас к тому, что она может сделать. Похищенные адреса широко используются спамерами в качестве прикрытия, и большинство людей знают, что игнорируют явный спам, который притворяется, что пришел от знакомого. Если это все, что происходит, то ваша жена должна получить новое электронное письмо, предпочтительно легко отличимое от старого; если возможно, комбинируйте это с написанием ее полного имени по-другому, например, добавьте второе имя или должность. Затем уведомите всех в ее списке контактов и прекратите использовать старую электронную почту, но продолжайте отслеживать ее на предмет входящих сообщений от людей, которые пропустили заметку.

Все будет сложнее, если вы считаете, что кто-то специально нацелен на вашу жену, пытается выдать себя за нее, подорвать ее репутацию и т.д. В этом случае злоумышленник быстро примет новое письмо (поскольку ваша жена не будет его хранить секрет). Но это мост, который вы можете пересечь, если он когда-нибудь придет к этому (что я считаю маловероятным).

Answer 7

Это может быть не идеально, но на вашем месте я бы закрыл свой аккаунт и открыл новый. Рассказать всем мой новый адрес и занести в черный список старый.

Answer 8

Как сказал Фримен ... пусть все обычные корреспонденты электронной почты знают, что во всех будущих электронных письмах от нее будет упоминаться фраза или что-то подобное.

Некоторые из моих самых постоянных контактов знают, что если они хотят, чтобы я открывал их сообщения, они должны сказать что-то в электронном письме, которое никогда не узнает ни один спамер, например: «Да, Деннис, это действительно ______ и имя вашей собаки ______». Я сказать что-то похожее на них. Это хлопот? Возможно, это скорее небольшое раздражение.

Теперь, если бы все приняли SPF, это было бы огромной помощью.