Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

Spam (blijft mogelijk) door misbruik envelope-from waarde

Pagina: 1
Acties:

Vraag


  • Liberteh
  • Registratie: augustus 2007
  • Laatst online: 10-06 22:06

Liberteh

All your base belong to me

Topicstarter
Goedeavond medetweakers!

Ik zit met een uitdaging bij mijn nieuwe werk. Een collega heeft onlangs een geïnfecteerde Word document geopend. Deze heeft - zo lijkt het - het e.e.a. buit gemaakt aan contactpersonen (Outlook).

Wat wij namelijk sindsdien merken is dat wij e-mails van collega's ontvangen met de welbekende vraag een betaling uit te voeren (in dit geval een factuur te voldoen). Deze spam is ook extern beland, waardoor ik zeker weet dat een stukje programmatuur ergens het e.e.a. uit heeft getrokken.

Het volgende gebeurd:

From: <e-mail adres van ons>
To: <e-mail adres welke bij ons bekend is>
Envelop-from: <willekeurig e-mail adres>
Verzenden vanaf: <legitieme SMTP server van dit willekeurige e-mail adres>

MTA's controleren de mechanismes (SPF/DMARC/DKIM) op de envelope-from waarde. De controle is dus 100% correct. Hierna wordt de e-mail dus gewoon doorgelaten.

Nou lees ik mij in en vertelt het internet mij dat het instellen van DMARC/DKIM (SPF hebben we al) het probleem zou oplossen. Ik kan dit echter technisch in mijn hoofd niet uitwerken: wanneer en waarom gaat de ontvangende MTA wél controle op ONS domein uitvoeren (en de boel rejecten wanneer het niet aan elkaar te koppelen is) wanneer dezelfde constructie in stand gehouden wordt?

Volgens mij zit ik mijn kop te breken over iets simpels of heb ik gelijk wanneer ik zeg dat wij (als domein eigenaar van het e-mail adres achter "From:") hier weinig in kunnen tegenhouden?

The Run of the Golden Bull: https://youtu.be/nJeddv1QbeQ

Beste antwoord (via Liberteh op 03-10-2018 18:03)


  • Niet_Jan_Jaap
  • Registratie: maart 2016
  • Laatst online: 23:52
de DMARC check zal kijken of de envelope-from gelijk is aan de from (kijken waarop de SPF check is gedaan). Als dit niet gelijk is, zal de mailbox naar het DMARC record van het domein kijken om de policy te achterhalen (monitor / quarantine / reject). DMARC zal deze spoofing dus wel voorkomen.

het zetten van een DMARC record is technisch weinig werk. Hou er wel rekening mee dat je veel false positives kan krijgen, dus is het aan te raden eerst een tijd op monitoring te zetten.

[Voor 5% gewijzigd door Niet_Jan_Jaap op 03-10-2018 09:14]

Alle reacties


  • Brahiewahiewa
  • Registratie: oktober 2001
  • Laatst online: 00:37

Brahiewahiewa

boelkloedig

Liberteh schreef op dinsdag 2 oktober 2018 @ 18:20:

From: <e-mail adres van ons>
To: <e-mail adres welke bij ons bekend is>
Envelop-from: <willekeurig e-mail adres>
Verzenden vanaf: <legitieme SMTP server van dit willekeurige e-mail adres>
Dan is die legitieme SMTP server niet zo legitiem als jij denkt

QnJhaGlld2FoaWV3YQ==


  • Jester-NL
  • Registratie: januari 2003
  • Niet online

Jester-NL

... pakt een botte bijl

Ik ga sowieso mee met @Brahiewahiewa hierboven.

Instellen van DMARC / DKIM is in wezen niet heel veel werk. En omdat het nieuwe records zijn, kun je er vrijwel gelijk op testen.

The sky above the port was the color of television, turned to a dead channel
me @ last.fm


Acties:
  • Beste antwoord
  • 0Henk 'm!

  • Niet_Jan_Jaap
  • Registratie: maart 2016
  • Laatst online: 23:52
de DMARC check zal kijken of de envelope-from gelijk is aan de from (kijken waarop de SPF check is gedaan). Als dit niet gelijk is, zal de mailbox naar het DMARC record van het domein kijken om de policy te achterhalen (monitor / quarantine / reject). DMARC zal deze spoofing dus wel voorkomen.

het zetten van een DMARC record is technisch weinig werk. Hou er wel rekening mee dat je veel false positives kan krijgen, dus is het aan te raden eerst een tijd op monitoring te zetten.

[Voor 5% gewijzigd door Niet_Jan_Jaap op 03-10-2018 09:14]



Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True