Чи можна запобігти підробці електронною поштою?

Електронний рахунок моєї дружини був зламаний, і зловмисник отримав її адресну книгу. Я не знаю, чи була атака на її локальний клієнт електронної пошти (Thunderbird працює на Windows 7) або на сервер (розміщений у GoDaddy). У будь-якому випадку, дані списку контактів є там, і я не можу це скасувати. Я змінив усі паролі, оновив безпеку і т. Д., І я не думаю, що ще було вторгнення.

Однак хто б це не робив, він надсилав величезну кількість спаму, використовуючи прізвище моєї дружини як "відправника". Вони на деякий час замовчують, а потім так часто я прокидаюся до кількох десятків електронних листів від своєї дружини, яких, звичайно, вона насправді не надсилала, і кожна інша людина в її адресній книзі також отримує ці . А оскільки її адресна книга була повна безлічі мертвих адрес, моя дружина отримує сотні повідомлень про зворотний відкат "Помилка доставки пошти", а також сотні електронних листів, відхилених отриманим доменом як спам. Люди в її списку контактів розлючуються, і це стає справжньою проблемою.

Я запитав GoDaddy про це, і вони кажуть, що будь-яка особа A може надіслати електронний лист, який b@bbb.comпретендує на те, щоб бути c@ccc.com, і немає інфраструктури електронної пошти, яка б підтверджувала, що особа A має право надсилати електронний лист ccc.com. Отже, я нічого не можу зробити з цього приводу, і цей спамер зможе переслідувати людей, пошкодити репутацію моєї дружини, отримати її електронний лист у чорний список тощо, і немає ніякого способу зупинити це .

Це правда, чи я можу щось зробити, щоб зупинити цих спамерів або в оренді зменшити шкоду?

Дійсно дуже важко вирішити проблему підробляння електронної пошти загальним способом, завдяки простому та високо розповсюдженому способу розробленого протоколу.

У цьому прикладі досить добре тримається аналогія фізичного листа: я можу поставити лист на пошту і написати на ньому, що він походить від вашого будинку; Мені не потрібно ввірватися у ваш будинок, щоб це зробити, просто опустіть його у публічну поштову скриньку. І якщо повідомлення позначено "повернутися до відправника", воно може в кінцевому підсумку "повернутись" вам, навіть якщо ви його не написали. Те саме відбувається і з електронною поштою: будь-хто може доставити повідомлення в систему з адресами «До» та «Від»; сервер, з якого ви надсилаєте пошту, може бути не тим самим, на який ви отримуєте пошту, і немає централізованого сервісу, який би підтверджував вашу особу, коли ви переносите повідомлення в систему.

Існує два загальні підходи до вирішення цього питання:

Цифрові підписи - це спосіб включення у повідомлення свого роду підпису чи печатки, який може створити лише справжній відправник (використовуючи приватний ключ, яким вони ніколи не діляться). Потім одержувач може перевірити підпис за допомогою відкритого ключа, який математично доводить, хто створив підпис (і чи відповідає він отриманому тексту).

Однак це не дуже корисно для вашого прикладу, оскільки це не перешкоджає доставці повідомлень і вимагає від одержувачів знати відкритий ключ або підтверджене місце для його отримання.

Системи підтвердження відправника на основі домену були розроблені, щоб спробувати запобігти спаму. Ці дані зберігають у DNS (пошук у каталозі) для домену адреси (частини після @), які дозволяють системі отримання перевіряти, чи пошта є законною. Одна система, SPF , перераховує, яким системам дозволено надсилати пошту від імені цього домену; інший, DKIM , зберігає відкриті ключі, які використовуються аналогічно вище підходу цифрового підпису, але для перевірки системи передачі, а не фактичного відправника.

(Щоб трохи розширити аналогію фізичних листів, SPF - це як публічно сказати "Я публікую лише листи за допомогою цієї поштової скриньки", а DKIM - це як публічно сказати: "Я завжди надсилаю пошту з цього поштового відділення, яке друкує для мене ярлик, який очевидний за фальсифікацією" ".)

Це буде більш доречним для вашого випадку - якщо ваша дружина використовувала користувацький домен, відповідна установка SPF або DKIM призведе до того, що багато систем мовчки відхилять пошту, яку вона сама не надсилає (або позначають її як спам, не привласнюючи її їй ). Однак він працює лише на рівні домену, а не окремої адреси, і деякі системи одержувачів можуть не перевіряти записи.

Надіслати всі живі контакти у її адресній книзі та розповісти про проблеми спаму електронної пошти, ймовірно, допоможе. А зараз такий самий хороший час, щоб видалити зі списку будь-які мертві контакти.

Використання PGP / GPG у майбутньому буде майже ідеальним рішенням для приватних користувачів та відправників, щоб переконатися в тому, що електронний лист насправді надсилається від відправника, і може також приховати / зашифрувати вміст повідомлень, щоб їх бачив лише призначений приймач. Але, хоча PGP доступний вже десятиліттями, ніхто не є загальнопростим для початку користуватися, а пошта, що використовується лише в Інтернеті (наприклад, Gmail тощо), ускладнює збереження секретних частин по-справжньому секретними для вас і все ще легко використовувати з будь-якого місця ...

Автентифікація електронної пошти

Є деякі речі, які можна зробити для аутентифікації на електронних приймачах електронної пошти (принаймні деякі, наприклад Yahoo & Google та інші, які " представляють високий відсоток користувачів електронної пошти в Інтернеті " - FAQ щодо DMARC ), що повідомлення, яке говорить, що це з вашого домену, насправді є з вашого домену. Вони використовують DMARK, який " дозволяє відправника вказувати, що їх повідомлення захищені SPF та / або DKIM, і повідомляє одержувачу, що робити, якщо не проходить жоден із цих методів аутентифікації - наприклад, небажаний або відхилений повідомлення " - DMARC FAQ .

Змінення на іншу адресу електронної пошти також може допомогти в короткому терміні, тоді ви та всі інші могли сміливо ігнорувати / "позначати як спам" усі подальші повідомлення від спамерів. Але навіть якщо це не ваша головна турбота, оскільки вони "очевидно супер-спам-спам" і нікого не обманюють, ви, мабуть, хочете зупинитися на тому, щоб рядок "з:" легко не підроблявся, оскільки якщо завжди достатньо користувачів " оскільки спам "діловий електронний лист вашої дружини, спам-фільтри, ймовірно, почнуть викидати всі повідомлення з цієї адреси.

Автентифікація електронної пошти повинна допомогти серверам, що надсилають та отримують пошту, щоб перевірити, чи справді повідомлення надсилаються тим, від кого вони кажуть. Я знайшов деяку інформацію в Gmail, оскільки це одна з «великих трьох» електронних компаній, це, мабуть, добре місце для початку. Навіть переключення постачальників електронної пошти на таких, які вже налаштовані / засвідчені автентичністю, як-от Gmail for Business, повинні допомогти і можуть бути простішими, але не повинні бути необхідними, хоча, судячи з вашої відповіді від GoDaddy, вони можуть бути не вашим господарем мрії.

Довідка Gmail щодо автентифікації електронної пошти містить поради щодо надсилання доменів:

Якщо ви надсилаєте домен

Повідомлення з підписами DKIM використовують ключ для підписання повідомлень. Повідомлення, підписані короткими клавішами, можуть бути легко підроблені (див. Http://www.kb.cert.org/vuls/id/268267 ), тому повідомлення, підписане короткою клавішею, більше не свідчить про належну автентифікацію повідомлення. Щоб найкраще захистити наших користувачів, Gmail почне обробляти електронні листи, підписані з менш ніж 1024-бітовими ключами, як непідписані, починаючи з січня 2013 року. Ми настійно рекомендуємо всім відправляючим, які використовують короткі клавіші, перейти на ключі RSA, що мають принаймні 1024 біт. Автентифікація настійно рекомендується для кожного відправника пошти, щоб гарантувати правильність класифікації ваших повідомлень. Інші рекомендації див . У настановах щодо масових відправників .

Сама по собі автентифікація недостатня, щоб гарантувати доставку повідомлень, оскільки спамери також можуть автентифікувати пошту. Gmail класифікує звіти користувачів та інші сигнали з інформацією про автентифікацію при класифікації повідомлень.

Так само факт, що повідомлення не автентифіковане, недостатньо для його класифікації як спаму, оскільки деякі відправники не засвідчують автентичність своєї пошти або через те, що в деяких випадках розрив автентифікації (наприклад, коли повідомлення надсилаються до списків розсилки).

Дізнайтеся більше про те, як можна створити політику, яка допомагає контролювати несанкціоновану пошту зі свого домену.

Останнє посилання Керуйте несанкціонованою поштою з вашого домену особливо актуально:

Щоб допомогти боротися зі спамом та зловживанням, Gmail використовує автентифікацію електронної пошти, щоб перевірити, чи було повідомлення надіслано з адреси, з якої, схоже, надіслане. У рамках ініціативи DMARC Google дозволяє власникам доменів допомогти визначити, як ми обробляємо несанкціоновані повідомлення, які помилково заявляють, що надходять з вашого домену.

Що ти можеш зробити

Власники доменів можуть публікувати політику, в якій повідомляються Gmail та іншим постачальникам послуг електронної пошти, як обробляти повідомлення, що надсилаються з вашого домену, але не мають автентифікацію. Визначивши політику, ви можете допомогти боротися з фішингу, щоб захистити користувачів та свою репутацію.

На веб-сайті DMARC дізнайтеся, як опублікувати свою політику або перегляньте інструкції для доменів Google Apps .

Ось деякі речі, про які слід пам’ятати:

• Ви будете отримувати щоденний звіт від кожного постачальника послуг електронної пошти, щоб ви могли бачити, як часто ваші електронні листи автентифіковані та як часто ідентифікуються недійсні електронні листи.
• Ви можете скоригувати свою політику, дізнавшись з даних цих звітів. Наприклад, ви можете налаштувати свою діючу політику від "монітора" до "карантину" до "відхилити", оскільки ви станете впевненішими, що ваші власні повідомлення будуть аутентифіковані.
• Ваша політика може бути суворою або розслабленою. Наприклад, eBay та PayPal публікують політику, яка вимагає аутентифікувати всю їхню пошту для того, щоб відображатись у комусь папці "Вхідні". Відповідно до їх політики Google відхиляє всі повідомлення з eBay або PayPal, які не мають автентифікації.

Більше про DMARC

DMARC.org створений, щоб дозволити відправляючим електронної пошти впливати на несанкціоновану пошту, публікуючи їхні налаштування у політиці, яка відкривається та гнучка. Він також надає можливість постачальникам електронної пошти надавати звіти, щоб відправники могли покращити та контролювати свою інфраструктуру аутентифікації.

Google бере участь у DMARC разом з іншими доменами електронної пошти, такими як AOL, Comcast, Hotmail та Yahoo! Пошта. Крім того, такі відправники, як Bank of America, Facebook, Fidelity, LinkedIn та Paypal, вже опублікували політику щодо дотримання Google та інших одержувачів.

Для отримання додаткової інформації зверніться до цієї публікації в офіційному блозі Gmail .

Інші корисні посилання:

• Налаштуйте Gmail для надсилання / отримання електронної пошти за допомогою власного доменного імені
• Візьміть під свій контроль свою електронну адресу

Що можна зробити, залежить від того, якою частиною інфраструктури ви керуєте і чи використовуєте ви власне доменне ім’я, чи просто маєте адресу під доменом, яким керує хтось інший.

Якщо у вас є власний домен, легко перейти на нову адресу електронної пошти під цим самим доменом. Крім того, ви можете налаштувати записи DNS, щоб повідомити світові, що всі електронні листи з вашого домену повинні бути підписані цифровим способом. (SPF, DKIM та DMARC - це умови пошуку, якщо це такий підхід, який ви бажаєте скористатися.)

Ви не можете очікувати, що всі підписуватимуть ці підписи, тому навіть якщо ви встановите записи DNS, які вказують на те, що електронна пошта з вашого домену має бути підписана, все одно зловмисники надсилатимуть непідписані електронні листи, які стверджують, що вони з вашого домену, і приймачі, які приймають ці непідписані електронні листи.

Якщо ви не контролюєте домен, то змінити адресу електронної пошти не так просто, і ви мало впливаєте на те, чи використовуються записи DNS для обмеження можливості підробляти домен у вихідних електронних листах.

Проблема зі спам-повідомленнями із використанням підробленої адреси джерела, що викликає відмови від повернення до законної адреси, принаймні, в принципі, легко вирішується.

Ви можете записувати Message-IDвсі електронні листи, які ви надсилаєте. Усі відмови повинні Message-IDкудись включати оригінальне повідомлення - інакше відмов зовсім не марний, тому що саме це говорить вам, яке повідомлення відкинулося. Будь-яке повідомлення, що Message-IDвідхиляється, не містить попередньо надісланого вами повідомлення, може бути надіслано прямо у спам-папку або відхилено під час прийому (що має корисну можливість підштовхнути проблему на крок ближче до джерела).

Про відмови можна повідомити крім інших електронних листів за MAIL Fromадресою. У відмов завжди є порожня MAIL Fromадреса, інші електронні листи ніколи не мають порожньої MAIL Fromадреси.

Тож якщо MAIL Fromвін порожній - і DATAвін не містить Message-IDвідправлене вами раніше, пошту можна буде сміливо відхилити.

Це принцип. Перетворити це на практику трохи складніше. Перш за все, інфраструктура для вихідних та вхідних електронних листів може бути окремою, що робить проблематичним для інфраструктури для вхідних електронних листів, щоб завжди знати про все, Message-IDщо пройшло через інфраструктуру для вихідних листів.

Крім того, деякі постачальники наполягають на надсиланні відмов, які не відповідають здоровому глузду. Наприклад, я бачив, що провайдери надсилають відмови, які не містять жодної інформації про оригінальний електронний лист, який був відхилений. Моя найкраща рекомендація щодо таких марних відмов - це трактувати їх як спам, навіть якщо вони походять з іншої законної поштової системи.

Пам’ятайте, що той, хто отримав список адрес електронної пошти, може поставити будь-яку адресу як адресу джерела, а будь-яку з них - як адресу призначення. Таким чином, якщо у вас немає додаткової інформації, ви не можете бути впевнені, що витік навіть стався з вашої власної системи. Можливо, будь-який з ваших контактів просочив список адрес, включаючи вашу.

Чим більше ви зможете розібратися, які адреси перелічені у списку, а які ні, тим краще ви зможете зрозуміти, звідки він просочився. Можливо, ви вже зробили це, і прийшли до висновку, що витік повинен виникнути з вашого списку контактів, оскільки жоден із ваших контактів не знав би, що всі адреси, за якими підтверджено, просочилися.

Мій підхід до цього полягає у використанні мого власного домену та окремої адреси електронної пошти під цим доменом для кожного контакту, з яким я спілкуюся. Я включаю дату першого спілкування з контактом на поштову адресу таким чином, щоб це могло виглядати, kasperd@mdgwh.04.dec.2015.kasperd.netякби я сьогодні писав електронний лист новому контакту. Такий підхід, очевидно, не для всіх, але для мене, безумовно, допомагає точно знати, хто витікає з списку електронних адрес, де знаходиться одна з моїх. Це також означає, що я можу закрити окремі адреси таким чином, що лише людина, яка просочилася моєю адресою, повинна оновити свою контактну інформацію для мене.

Так і ні.

Ніщо не заважає мені написати електронний лист із вашою адресою як відправника. Це не відрізняється від звичайної паперової пошти, де я також можу вказати адресу призначення на передній частині конверта та зворотну адресу (будь-яку!) На звороті конверта.

Однак ви можете додати цифровий підпис, щоб підтвердити, що ви відправник (див. PGP та відповідь Xen). І постачальники пошти також починають впроваджувати перевірки безпеки зв'язку між поштовими серверами. (Див. TLS - Захист транспортного шару). Але пошта будується на старих протоколах, де всі поводилися і співпрацювали приємно. Вона не була розрахована на великий поганий світ.

Ви підходите до цього неправильно.

З років, проведених у галузі ремонту комп’ютерів, я можу вам сказати, що малоймовірно, що тут сталося якесь "злому". Набагато ймовірніше, що на комп’ютері вашої дружини є вірус, і цей вірус отримав доступ до її адресної книги Thunderbird.

Це досить поширене явище. Зазвичай вірус надсилає електронні листи безпосередньо з зараженого комп’ютера, тому видалення вірусу зупинить спам-листи - вони не "підробляють" електронну адресу вашої дружини, це електронна адреса вашої дружини.

Зміна електронних адрес, запропонованих іншим користувачем, навряд чи зможе щось вирішити ... особливо якщо ви введете його в Thunderbird на тому ж комп’ютері.

Завантажте та запустіть Combofixна комп’ютері дружини.

http://www.bleepingcomputer.com/download/combofix/

Є інструкції, як запустити його за адресою: http://www.bleepingcomputer.com/combofix/how-to-use-combofix

По суті, завантажте його, запустіть його як адміністратор (клацніть правою кнопкою миші -> запустити як адміністратор), натисніть кнопку ОК / Так / Продовжити до підказок, а потім піти від 30 хвилин до години. Він буде працювати довгий час і, ймовірно, перезавантажте комп'ютер (переконайтеся, що ви знову увійдете в систему, щоб він продовжував працювати).

Ви будете знати, що це робиться, коли відкриється повноекранний блокнот із купою тексту. Закрийте це, перезавантажте ще раз, і ви, ймовірно, вирішили свою проблему ... покаже лише час.

Тут є два питання. Ваше конкретне запитання щодо перевірки відправників електронної пошти та що ви можете зробити, коли електронний лист надсилається на ваше ім’я.

На жаль, просто підправити From:адресу в електронній пошті, і це все, що потрібно. Хоча існують способи налаштування електронної пошти, щоб відправник міг перевірити (наприклад, дифітальне підписання, зазначене в інших відповідях), вони загалом не використовуються. Якщо вкрадені контакти вашої дружини включали безліч випадкових зв’язків, одноразових клієнтів, списки розсилки тощо. на своїх комп’ютерах.

Що підводить нас до того, що вона може зробити. Викрадені адреси широко використовуються як прикриття спамерів, і більшість людей знають, що ігнорують очевидний спам, який видає себе за знайомий. Якщо це все, що відбувається, вирішується, щоб ваша дружина отримала новий електронний лист, бажано той, який легко відрізнити від старого; якщо можливо, комбінуйте її з написанням її повного імені по-іншому, наприклад, додайте прізвище чи назву завдання. Потім повідомте всіх у її списку контактів та перестаньте використовувати стару електронну пошту, але продовжуйте стежити за вхідними повідомленнями людей, які пропустили повідомлення.

Речі складніші, якщо ви вважаєте, що хтось конкретно націлений на вашу дружину, намагається видати себе за себе, пошкодити її репутацію тощо. У такому випадку зловмисник швидко прийме нове повідомлення електронної пошти (оскільки ваша дружина не буде зберігати його секрет). Але це міст, який ви можете перетнути, якщо він коли-небудь прийде до цього (що я вважаю малоймовірним).

Як сказав Фріман ... нехай усі постійні кореспонденти електронної пошти знають, що всі майбутні повідомлення від неї матимуть фразу, яку він згадав, або щось подібне.

Кілька моїх найбільш регулярних контактів знають, що якщо вони хочуть, щоб я відкрив їхні повідомлення, вони повинні сказати щось в електронній пошті, про що ніколи не спамеє ніколи спамер, наприклад "Так, Деннісе, це справді ______, а ім'я твоєї собаки - ______" Я сказати щось подібне до них. Це клопоти? Можливо, це більше незначне роздратування.

Тепер, якщо всі приймуть SPF, це було б величезною допомогою.

Це може бути не ідеально, але якби я був ти, я закрив би свій рахунок і запустив новий. Повідомляючи всім мою нову адресу та вкладайте в чорний список стару.