Adresa de provenienta email falsa - Cum detectam ca e falsa?

Salut!
Am inteles ca adresa de provenienta a unui email poate fi falsa.
Folosesc casute de email de la Microsoft, Gmail si Yahoo si cateva de la domenii web proprii unde primesc mult SPAM.
M-am trezit cu email-uri care erau de la Microsoft (avea link in interior, dar in link era la sfarsit microsoft.com, deci cred ca era legitim), sa fie trimise in SPAM de catre Outlook sau serverul de email.
Cum fac sa stiu daca un email este de la adresa aratata in browser/client email (Outlook/Thunderbird) este legitima sau aceasta este falsa?
De exemplu daca scrie [email protected] sunt tentat sa deschid, mai ales daca NU are atasament, dar poate avea un link spre un site cu malware.
Multumesc!

Edited by JustXXL, 26 May 2023 - 06:05.

Trebuie comparat IP-ul de unde s-au trimis cu domeniul de care aparține adresa de email. Dar chiar daca nu coincide nu-i obligatoriu sa fie 'falsa'. Eu zic sa nu te bazezi pe asta.

n-ai cum sa detectezi nimic.
te asiguri intai ca folosesti un client de mail fara functii gen "preview" si esti atent la chestiile pe care dai click.
chiar daca adresa e corecta, asta nu inseamna ca mailul provine de la cine crezi tu. poate vreunuia din prietenii tai i-a fost sparta adresa de mail si ti se trimit tie link-uri nasoale, deci nu vrei sa dai click pe ceva doar pt ca stii(sau crezi ca stii) de unde provine.

1. Serviciile anti-spam mai dau gres, pentru ca e o lupta imensa.
2. Daca nu te astepti la un email, atunci automat trebuie sa ai act reflex ca e scam. Nu face nimeni cadouri

Spamerii folosesc un nume de genul unei adrese de mail, [email protected] si trimit de pe o adresa de genul [email protected] care de multe ori e mascata de nume. In felul asta destinatarul este convins ca ce vede este o adresa de mail valida dar e doar un nume cu @. In ultimul timp cei de la Yahoo s-au mai trezit si afiseaza si adresa de mail reala.
 Screenshot_2.png   3.42K   63 downloads

Edited by Leo2006, 26 May 2023 - 07:35.

Ideal ar fi sa citesti headerul mailului sau si mai bine sursa lui.
In functie de provider sau client de mail folosit e mai greu sau mai usor.

Spamerii si hackerii se folosesc de un procedeu numit email spoofing - se ascunde adresa reala cu o adresa ce pare legitima.
Cand citesti headerul sau sursa mesajului la un moment dat apar si serverele de unde a plecat, IP-ul, etc...

Atentie ca smecherii folosesc si combinatii de litere care pacalesc ochiul. Majuscula lui i in loc de minuscula lui L (Il este Li sau iL?). Un baiat destept poate folosi RN in loc de M si incepi sa primesti mail de la [email protected]
Si altele.

Am vazut un caz in care un smecher a reusit sa intre intr-o conversatie legitima, a tintit directorul financiar, a inlocuit absolut toate celelalte adrese (director general, sef resurse umane) cu unele aproape identice, dar pe domeniul lui - aproape identic cu cel al firmei atacate, si apoi doar un miracol a facut ca directorul financiar sa se opreasca la timp din autorizarea unei plati de cca 300.000 Euro catre bandit, care ceruse in numele CEO-ului ca plata sa se faca intr-un cont de-ale lui din Seychelles. A durat cateva zile pana cand un ochi exersat a reusit sa detecteze inlocuirea.

JustXXL, pe 26 mai 2023 - 06:00, a scris:

Nu ai cum. De cand s-a inventat email-ul exista o vulnerabilitate sistemica (ce nu poate fi rezolvata) respectiv posibilitatea de a face spoofing... eu pot sa scriu un email via smtp ca fiind de la oricine, nu conteaza... pentru ca eu/softul meu defineste sursa, nu exista o autoritate de validare a ei.

Tot ce poti face cum au spus si colegii este sa te uiti in header sa vezi daca apare vreun ip suspect care nu poate fi legat de domeniul pretins al email-ului... email-ul nu este un serviciu care sa poata garanta autenticitatea senderului. Un server pop3/imap poate cel mult sa blocheze un mesaj daca domeniul nu este de incredere, nu e in lista lui de smtp-uri ale providerilor mari care au implementate niste elemente de limitare a spoofingului. Dar o persoana rau intentionata poate folosi un soft care sa genereze tot ce trebuie.

Edited by andreic, 26 May 2023 - 09:53.

andreic, on 26 mai 2023 - 09:35, said:

Cred ca ar trebui lucrat putin la protocoale astfel incat sa se poata garanta autenticitatea tokenurilor de dupa semnul '@' la fel cum https te asigura ca ai aterizat acolo unde trebuie, la adresa originala.

www.microsoft.com

Ma gandeam ca clientul de email sa poata verifica un hash atasat de catre expeditor emailului, iar depozitarul acestor chei individuale va fi chiar serverul implicat in livrarea mesajului, acesta fiind responsabil de generarea si administrarea lor.

Salut

Implementeaza SPF lookup pe connector-ul folosit pentru receive.

In esenta, o inregistrare de tip SPF reprezinta o lista de server-e care sunt autorizate sa trimita e-mail-uri din partea unui domeniu. Aceste inregistrari se fac de catre senderi. Destinatarii doar le valideaza.

De exemplu, eu am domeniul microsoft.com. In zona de DNS microsoft.com eu imi voi crea o inregistrare de tip SPF in care voi trece toate server-ele mele de e-mail care pot trimite mail-uri. Destinatarii mei pot, folosing SPF lookup, valida astfel ca mesajele primite de la microsoft.com sunt intr-adevar de la mine si nu de la altcineva care impersoneaza domeniul.

Problema este cum implementezi acest SPF lookup, pentru ca din pacate nu toate domeniile au aceste record-uri. Cele mari au toate. Dar domeniile mai mici nu si atunci, daca blochezi mesajele care vin de la domenii fara SPF risti sa pierzi mail-uri. Cel mai safe este sa pui in carantina aceste mesaje.

https://mxtoolbox.com/spf.aspx --> poti sa verifici SPF-urile domeniilor

Edited by bogdan_o, 26 May 2023 - 10:56.

Oare nu pici din lac in put, cum s-ar spune?

De ce ai delega gestionarea de credential unor servere pentru email, cata vreme acestea nu au identificator unic stabil? Nu cred ca ai implicata vreo autoritate neutra (cum sunt serverele dns pentru numele de domenii) care sa-ti valideze autenticitatea peerului.

Salut

Pentru a-si dovedi identitatea, domeniile pot implementa 2 protocoale:
- SPF (publica in DNS server-ele de mail autorizate sa trimita din partea domeniului)
- DKIM (semneaza digital mesajele trimise (header) si publica in DNS cheia care poate fi folosita pentru validarea autenticitatii)

Peste astea exista DMARC care in esenta reprezinta o modalitate de coordonare intre sender si receiver:
- sender-ul anunta ca foloseste SPF/DKIM
- ofera instructiuni pentru ce ar trebui sa se intample cu mesajele care nu trec validarea
- ofera posibilitatea destinatarului sa ofere feedback sender-ului in legatura cu mesajele

SFP si DKIM sunt publicate in DNS.

Ce spui tu cu hash-ul, exista deja, anume DKIM. Nu e hash, e semnatura, dar ideea ramane. Clientul poate verifica semnatura atasata unui e-mail pentru a confirma identitatea sender-ului. Numai ca in momentul in care vorbim de client nu vorbim de clientul de e-mail (outlook) ci de server-ul de mail care il primeste (sau de device daca ai in fata un appliance tip antispam).

SFP e folosit pe care foarte larga. DKIM din pacate inca nu.

Totusi, pentru ambele se folosesc de DNS, nu sunt considerate fail-safe. Sunt notorii atacurile de tip DNS poisoning/spoofing etc.

In aproape toate companiile mari unde securitatea este critica, intre partenerii stabili exista connectori dedicati.

Se poate verifica automat adresa de email si la nivel de client pe baza DKIM, mai jos este un plugin pentru Thunderbird, probabil ca exista si pentru alti clienti.

https://github.com/l...m_verifier/wiki

Edited by dagobar, 26 May 2023 - 20:14.