Toon posts:

Spam (blijft mogelijk) door misbruik envelope-from waarde

Pagina: 1
Acties:

Vraag


  • Liberteh
  • Registratie: Augustus 2007
  • Laatst online: 29-01 16:26

Liberteh

All your base belong to me

Topicstarter
Goedeavond medetweakers!

Ik zit met een uitdaging bij mijn nieuwe werk. Een collega heeft onlangs een geïnfecteerde Word document geopend. Deze heeft - zo lijkt het - het e.e.a. buit gemaakt aan contactpersonen (Outlook).

Wat wij namelijk sindsdien merken is dat wij e-mails van collega's ontvangen met de welbekende vraag een betaling uit te voeren (in dit geval een factuur te voldoen). Deze spam is ook extern beland, waardoor ik zeker weet dat een stukje programmatuur ergens het e.e.a. uit heeft getrokken.

Het volgende gebeurd:

From: <e-mail adres van ons>
To: <e-mail adres welke bij ons bekend is>
Envelop-from: <willekeurig e-mail adres>
Verzenden vanaf: <legitieme SMTP server van dit willekeurige e-mail adres>

MTA's controleren de mechanismes (SPF/DMARC/DKIM) op de envelope-from waarde. De controle is dus 100% correct. Hierna wordt de e-mail dus gewoon doorgelaten.

Nou lees ik mij in en vertelt het internet mij dat het instellen van DMARC/DKIM (SPF hebben we al) het probleem zou oplossen. Ik kan dit echter technisch in mijn hoofd niet uitwerken: wanneer en waarom gaat de ontvangende MTA wél controle op ONS domein uitvoeren (en de boel rejecten wanneer het niet aan elkaar te koppelen is) wanneer dezelfde constructie in stand gehouden wordt?

Volgens mij zit ik mijn kop te breken over iets simpels of heb ik gelijk wanneer ik zeg dat wij (als domein eigenaar van het e-mail adres achter "From:") hier weinig in kunnen tegenhouden?

The Run of the Golden Bull: https://youtu.be/nJeddv1QbeQ

Beste antwoord (via Liberteh op 03-10-2018 18:03)


  • Niet_Jan_Jaap
  • Registratie: Maart 2016
  • Laatst online: 29-01 20:22
de DMARC check zal kijken of de envelope-from gelijk is aan de from (kijken waarop de SPF check is gedaan). Als dit niet gelijk is, zal de mailbox naar het DMARC record van het domein kijken om de policy te achterhalen (monitor / quarantine / reject). DMARC zal deze spoofing dus wel voorkomen.

het zetten van een DMARC record is technisch weinig werk. Hou er wel rekening mee dat je veel false positives kan krijgen, dus is het aan te raden eerst een tijd op monitoring te zetten.

[Voor 5% gewijzigd door Niet_Jan_Jaap op 03-10-2018 09:14]

Alle reacties


  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Liberteh schreef op dinsdag 2 oktober 2018 @ 18:20:

From: <e-mail adres van ons>
To: <e-mail adres welke bij ons bekend is>
Envelop-from: <willekeurig e-mail adres>
Verzenden vanaf: <legitieme SMTP server van dit willekeurige e-mail adres>
Dan is die legitieme SMTP server niet zo legitiem als jij denkt

QnJhaGlld2FoaWV3YQ==


  • Jester-NL
  • Registratie: Januari 2003
  • Niet online

Jester-NL

... pakt een botte bijl

Ik ga sowieso mee met @Brahiewahiewa hierboven.

Instellen van DMARC / DKIM is in wezen niet heel veel werk. En omdat het nieuwe records zijn, kun je er vrijwel gelijk op testen.

The sky above the port was the color of television, turned to a dead channel
me @ last.fm


Acties:
  • Beste antwoord
  • 0Henk 'm!

  • Niet_Jan_Jaap
  • Registratie: Maart 2016
  • Laatst online: 29-01 20:22
de DMARC check zal kijken of de envelope-from gelijk is aan de from (kijken waarop de SPF check is gedaan). Als dit niet gelijk is, zal de mailbox naar het DMARC record van het domein kijken om de policy te achterhalen (monitor / quarantine / reject). DMARC zal deze spoofing dus wel voorkomen.

het zetten van een DMARC record is technisch weinig werk. Hou er wel rekening mee dat je veel false positives kan krijgen, dus is het aan te raden eerst een tijd op monitoring te zetten.

[Voor 5% gewijzigd door Niet_Jan_Jaap op 03-10-2018 09:14]



Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee