Джерело зловмисних електронних листів

0

Раз у раз я отримую електронні листи з очевидною недоброзичливою корисністю (наприклад, документ Word із шкідливими макросами).

Мене не турбують ці електронні листи, які я можу розпізнати, але я помітив, що передбачувані відправники - це всі працівники однієї компанії, яких я знаю. У всякому разі, адреси відправників вигадливі.

Отже, моє запитання: що більше ймовірно? Що їхню поштову скриньку зламали та зловживали, чи що моя власна поштова скринька була зламана?

Чи є спосіб це знати?

email  malware 
Гаррі Кавер
джерело
Ви працівник цієї компанії? Чи знає ваша ІТ-підтримка?
slhck
@slhck: Я це не так, і я є власною ІТ-підтримкою. Чому?
Гаррі Обкладинка
Я запитую, оскільки це має велике значення, чи надсилається це на вашу приватну адресу або з тієї самої компанії. Особливо, якщо ви отримуєте ці листи від кількох людей однієї компанії на вашу приватну адресу, дуже ймовірно, що це проблема з поштовою системою цієї компанії.
slhck
@slhck: вони надсилаються на мою адресу компанії, єдину, яку ця компанія знає. Оскільки я не отримую подібних листів з інших джерел, ти, швидше за все, маєш рацію.
Гаррі Обкладинка
Щойно я побачив ваше оновлення, в якому сказано, що адреси електронної пошти відправника є "вигадливими". Це настійно підказує мені, що доменне ім’я відправників не налаштовано належним чином, щоб забороняти підробку.
Deltik

Відповіді:

1

Це важко сказати точно, але я думаю, що це найбільш вірогідний сценарій:

  • У доменному імені відправника немає SPF- запису, який обмежує, яким IP-адресам дозволено надсилати електронні листи домену.

Інші можливі сценарії з мого досвіду в порядку зменшення ймовірності:

  • Обліковий запис електронної пошти відправників або сервер електронної пошти порушений, і він надсилає спам контактам, відомим на сервері.
  • У доменному імені відправників є обгрунтовані записи SPF, але анти-спам програмне забезпечення вашого поштового сервера не перевіряє наявність підроблених електронних листів.
  • Ваш поштовий сервер чи обліковий запис зламано, а розповсюджувач зловмисних програм використовує ваш список контактів для розміщення електронної пошти зловмисного програмного забезпечення у вашій скриньці.

Сценарій 1 - Відправник SPF не налаштований

Це найбільш вірогідний сценарій, оскільки ви вказали в оновленнях свого питання, що електронні адреси відправників "вигадливі"; відправник підробки може не обов’язково знати будь-які справжні поштові скриньки в цільовому домені.

Симптом

Ви отримуєте електронний лист від когось, але ця людина відмовляється надсилати повідомлення. Вони можуть відображати невідповідні записи в папці надісланих повідомлень або навіть у журналах електронної пошти сервера відправки.

Причина

У доменному імені відправника немає запису SPF (Sender Policy Framework), який запобігає підробці.

Діагноз

Ви можете перевірити запис SPF домену за example.comдопомогою цієї команди:

nslookup -type=TXT example.com

Замініть example.comдоменне ім’я відправника. Можливо, ви побачите запис, який виглядає приблизно так:

"v=spf1 +a +mx +ip4:127.0.0.1 -all"

У наведеному вище прикладі

  • +a означає дозволити IP-адресам (-ям) запису (-ів) домену надсилати електронні листи від імені цього домену.
  • +mx означає вирішити записи MX домену та дозволити цим доменам також надсилати електронні листи.
  • +ip4:127.0.0.1означає дозволити IP-адресу 127.0.0.1надсилати електронні листи для цього домену.
  • -all означає відхилити всі інші IP-адреси від надсилання електронних листів для цього домену.

Якщо відправник не має -allв своєму записі SPF, прийом поштових серверів, що підтверджують SPF, може приймати підроблені електронні листи, які міг би надіслати будь-хто.

Ви можете перевірити фактичного відправника електронного листа, прочитавши Received:заголовки в зловмисному електронному листі, яке ви отримали. Ці Received:заголовки в зворотному порядку кожного поштового сервера електронна пошта пройшла через, але врахуйте , що заголовки не додав ваш поштовий сервер може бути підмінені. Перший Received:заголовок, доданий вашим поштовим шлюзом, показує, звідки прийшло повідомлення електронної пошти. Приклад:

Received: from mail-eopbgr810054.outbound.protection.outlook.com ([40.107.81.54]:59584 helo=NAM01-BY2-obe.outbound.protection.outlook.com)
    by example.deltik.org with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
    (Exim 4.91)
    (envelope-from <jason@luxurylifestylereport.net>)
    id 1gUudZ-00BGJx-L7
    for example@deltik.org; Thu, 29 Nov 2018 06:49:21 -0600

У наведеному вище прикладі електронний лист отримав повідомлення 40.107.81.54, яке пройшло "v=spf1 include:spf.protection.outlook.com -all"перевірку запису SPF ( ) у домені відправника спаму luxurylifestylereport.net, тому електронний лист було прийнято.

Крім того, якщо у вас є доступ до журналів сервера електронної пошти, ви можете прочитати походження електронної пошти звідти.

Дозвіл

Поштовий майстер відправника повинен налаштувати SPF-запис для свого домену, який не дозволяє спамерам підробляти домен для електронних листів. Це не те, що ти можеш зробити.

Поки їх поштовий майстер не виправить це, ви можете спробувати відкоригувати налаштування анти-спаму для блокування електронних листів із шкідливими вкладеннями або вмістом спаму.

Сценарій 2 - Послання електронної пошти відправника

Цей сценарій є менш імовірним, оскільки ви говорили, що ця проблема трапляється раз у раз, але хтось інший повинен був це помітити і повідомити про це в минулому.

Симптом

У заголовках електронної пошти ви бачите, що електронний лист прийшов з IP-адреси, на яку дозволено надсилати електронні листи для домену відправника.

Причина

Поштовий сервер за IP-адресою або сервер, який надсилає пошту через нього, був порушений. Хакер також, можливо, знайшов копію контактів, про яку відправник знає, і намагається надіслати електронною поштою особам, сподіваючись знайти когось із релевантними.

Діагноз

Той самий процес, що і у сценарію 1

Дозвіл

Поштеву пошту відправника потрібно зупинити та захистити свою електронну пошту. Це не те, що ти можеш зробити.

Поки їх поштовий майстер не виправить це, ви можете спробувати відкоригувати налаштування анти-спаму для блокування електронних листів із шкідливими вкладеннями або вмістом спаму.

Сценарій 3 - Прийом поштового сервера не перевіряє записи SPF

Цей сценарій є менш імовірним, оскільки спамери не хочуть витрачати ресурси на спробу підробляти електронні листи для домену, який уже захищає себе від підробки. Ви, ймовірно, отримаєте багато підробленої пошти від інших доменних імен.

Симптом

Ви отримуєте електронний лист від когось, але ця людина може довести, що не надіслала його. Насправді кожен може перевірити, що запис SPF домену налаштовано належним чином, проте отриманий вами електронний лист походить із IP-адреси, забороненої SPF-записом домену.

Причина

Ваш сервер електронної пошти не фільтрує підроблені електронні листи.

Діагноз

Той самий процес, що і у сценарію 1, але ви можете бачити, що IP-адреса відправника не відповідає перевірці SPF

Дозвіл

Зверніться до документації вашого сервера електронної пошти щодо налаштування перевірки SPF.

Сценарій 4 - Обліковий запис електронної пошти одержувача укладено

Цей сценарій є менш імовірним, оскільки вигідніше приховати той факт, що ви зірвались з вас, і використовуйте добру репутацію своєї електронної адреси, щоб розсилати спам іншим. Крім того, зловмисна організація, ймовірно, буде диверсифікувати вихідну електронну адресу.

Симптом

У ваших журналах вхідних повідомлень електронної пошти не відображається або заголовки отриманого електронного листа не мають сенсу.

Причина

Хтось сподівається отримати більше доступу до вас, видаляючи електронні листи з шкідливим програмним забезпеченням у ваш уже порушений обліковий запис електронної пошти, фактично не надсилаючи жодної електронної пошти. Електронні листи можна додавати через протокол IMAP.

Діагноз

Перевірте журнали поштового сервера на наявність автентифікацій, які ви не розпізнаєте.

Дозвіл

Змініть пароль свого облікового запису електронної пошти.

Deltik
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.