placeholder

Wiarygodność wiadomości email (SPF, DKIM, DMARC)

Na stronach serwisu niebezpiecznik.pl pojawił się ostatnio artykuł dotyczący wiadomości email podszywających się (dość wiarygodnie) pod CEIDG, czyli Centralną Ewidencję i Informację o Działalności Gospodarczej. Dla zainteresowanych wątkiem kryminalnym (wyłudzenia), podajemy bezpośredni link do artykułu.

My natomiast zajmiemy się przyczyną, dla której wiadomości wysyłane przez nieuprawnione podmioty podające się za rejestr rządowy, nie są traktowane jako wyłudzające informacje lub stanowiące spam przez filtry wbudowane w Google i inne systemy pocztowe i jak takiej sytuacji można uniknąć we własnej domenie.

CEIDG nie posiada zdefiniowanych w DNS kluczowych wpisów odpowiadających za autentykację domeny przy wysyłaniu wiadomości email – wpisów, które powodują, że maile jedynie podszywające się pod naszą domenę, będą tak właśnie traktowane przez systemy pocztowe odbiorców.

Logo No Spam

Mamy 3 takie wpisy: SPF, DKIM oraz DMARC. Należy w tym miejscu zauważyć, że dopiero te 3 wpisy łącznie zapewniają wyższy poziom bezpieczeństwa i pozwalają nam uniknąć przykrych niespodzianek w postaci nieautoryzowanej korespondencji, pochodzącej jakoby z naszej domeny.

Pierwszy wpis, czyli SPF (Sender Policy Framework) określa, jakie serwery mają prawo wysyłać pocztę w imieniu naszej domeny i co ma się stać z pocztą, która nie spełnia tego warunku. W przypadku domeny korzystajacej z usługi G Suite (dawniej Google Apps for Work), należy autoryzować jedynie blok _spf.google.com, który zawiera adresy IP serwerów Google, które wysyłają pocztę w imieniu naszych domen. Wszystkie inne wpisy są zbędne, chyba, że korzystamy np. z usługi zewnętrznej lub naszego konta w hostingu do wysyłania poczty z serwerów nienależących do Google.

Kolejny wpis to DKIM (DomainKeys Identified Mail). Jest to klucz domeny, który po wygenerowaniu jest dołączany do każdej wiadomości wysyłanej z domeny. Pozwala on określić, że wiadomość rzeczywiście pochodzi z domeny nadawcy wiadomości. Wprawdzie istnieje pewna możliwość rozszyfrowania klucza i podszycia się pod naszą domenę, nawet w przypadku wiadomości podpisanej kluczem, ale jest to zadanie dużo trudniejsze, a ostatnio Google wprowadziło możliwość generowania kluczy o długości 2048 bajtów, zamiast dotychczasowego 1024, co znacząco utrudnia rozszyfrowanie klucza. Jedyny problem polega na tym, że na razie niewielu dostawców usług DNS pozwala na wprowadzenie takiego długiego klucza.

Ostatni wpis to DMARC (Domain-based Message Authentication, Reporting and Conformance). Jest to wpis, który bazuje na dwóch powyższych i określa zalecaną przez właściciela domeny politykę, która powinna zostać zastosowana w odniesieniu do wiadomości przychodzących jakoby z domeny nadawcy. Wpis ten określa, jak powinien zachować się system odbiorcy w odniesieniu do otrzymanej wiadomości, po weryfikacji zgodności z SPF i DKIM. W większości przypadków, wiadomości niespełniające warunków zawartych w SPF lub DKIM (lub łącznie), np. wysłane przez inny niż wymieniony w SPF host lub niepodpisane opublikowanym kluczem domeny (w DKIM), są odrzucane. Opcjonalnie, polityka może powodować zaraportowanie takiej wiadomości do postmastera, czyli osoby odpowiedzialnej w organizacji za funkcjonowanie systemu poczty.

Tu dochodzimy do przyczyny, dla której maile wysyłane przez oszustów, mogą się podawać za pocztę pochodzącą z CEIDG. Wiadomo, że adres nadawcy można ustawić dowolny. Brak wpisów SPF, DKIM i DMARC dla domeny ceidg.gov.pl powoduje jednak, że taka poczta nie jest automatycznie umieszczana w spamie, ale traktowana jako potencjalnie poprawna wiadomość, pochodząca z urzędowego serwisu. A to otwiera drogę do wyłudzenia pieniędzy od nieświadomych odbiorców, zwłaszcza, że wiadomości są kierowane na podane w CEIDG adresy kontaktowe (widoczne publicznie).


Oferujemy audyt konfiguracji Państwa domeny i możliwość dodania lub skorygowania istniejących wpisów w DNS Państwa domeny. Prosimy o kontakt, jeżeli chcecie Państwo skorzystać z tej usługi. Niewielkim kosztem możecie Państwo podnieść bezpieczeństwo swojej komunikacji i zapobiec podszywaniu się oszustów pod Państwa firmę lub organizację.

Więcej wiadomości

GoCloud Polska sp. z o.o.

Krzyżówki 13B/27 03-193 Warszawa

Uwagi: wejście od ul. Płochocińskiej, V piętro

Kontakt

Szybkie linki

Do góry