Почему проверки SPF кажутся бесполезными?

Question

Почему проверки SPF кажутся бесполезными?

Я установил запись SPF для домена, однако подделка отправителя все еще работает, причина довольно проста:

Похоже, в электронном письме есть 3 различных "от":

Ответить на
Обратный путь
Конверт из

См. https://stackoverflow.com/questions/1235534/what-is-the-behavior-difference-between-return-path-reply-to-and-from для получения дополнительной информации.

Ваш почтовый клиент отображает reply to как электронная почта отправителя, однако почтовые серверы, кажется, делают проверки SPF против return path или же envelope from что не имеет смысла для меня.

Это означает, что если я отправлю электронное письмо, которое скажет return path а также envelope from являются hacker.net а также reply to является someone@victim.org который я пытаюсь подделать, он проверит на SPF hacker.net, теперь предположим, что это был мой домен, для которого я настроил SPF, он пройдет и будет доставлен в почтовый ящик жертвы как почта от someone@victim.org даже если мне не разрешено доставлять электронные письма для victim.org, эффективно обходя проверку SPF.

Есть ли способ это исправить? Кажется, только DMARC может предотвратить это, но если это правда, какой смысл проверять SPF?

1

email spf

Источник

Petr 13 окт '16 в 16:12

1 ответ

Другие вопросы по тегам email spf

anthony don 19 янв '17 в 08:46 2017-01-19 08:46 · Answer 1 · 2017-01-19 08:46

Просто, чтобы завершить ваш список различных значений "От", я бы добавил:

From, который является заголовком, установленным клиентом и определенным в RFC 5322 (RFC 5322.From)
Reply to, также является заголовком, установленным клиентом и определенным в RFC 5322
Return path а также Envelope from оба относятся к аргументу MAIL FROM команда во время сеанса SMTP (RFC 5321.MailFrom)

Цель DMARC - передать политику, применяемую к сообщениям, которые не работают как с SPF, так и с DKIM, вместо того, чтобы полагаться на локальные политики. Эта политика выражается владельцем доменного имени отправителя (используя p= параметр записи DMARC).

Во время оценки DMARC проводится проверка выравнивания Идентификатора (см. RFC 7489, раздел 3.1), которая обеспечивает либо:

доменное имя RFC 5321.MailFrom переданного SPF совпадает с доменом RFC 5322.From
доменное имя, используемое в переданном DKIM, совпадает с доменом RFC 5322.From

Поэтому, чтобы решить вашу проблему, вы должны опубликовать запись DMARC в victim.org DNS-зона:

_dmarc.victim.org IN TXT "v=DMARC1; p=quarantine; rua=mailto:admin@victim.org"

Это гарантирует, что неудачное выравнивание идентификатора, как в вашем примере, приведет к сбою DMARC, и сообщение будет помечено как спам.

Смысл проверки SPF состоит в том, чтобы убедиться, что IP-адрес клиента во время сеанса SMTP разрешен владельцем hacker.net, В вашем примере SPF здесь для защиты hacker.net не victim.org:-)

Если вам нужен вид с высоты птичьего полета, я опубликовал пост с иллюстрацией того, как SPF, DKIM и DMARC работают вместе для предотвращения фишинг-фишинга (прокрутите до середины поста)