Можно ли предотвратить подделку писем?

Электронная почта моей жены была взломана, и злоумышленник получил ее адресную книгу. Я не знаю, была ли атака на ее локальный почтовый клиент (Thunderbird работает на Windows 7) или на сервер (размещенный на GoDaddy). В любом случае, данные списка контактов там, и я не могу отменить это. Я изменил все пароли, обновил систему безопасности и т. Д., И я не думаю, что были какие-либо вторжения.

Однако, кто бы это ни делал, он рассылал огромное количество спама, используя имя моей жены в качестве «отправителя». Некоторое время они замолкают, а потом так часто я просыпаюсь с несколькими дюжинами электронных писем от моей жены, которые, конечно, она на самом деле не отправляла, и каждый другой человек в ее адресной книге тоже получает их . А поскольку в ее адресной книге было много мертвых адресов, моя жена получает сотни сообщений с ошибками «Ошибка доставки почты», а также сотни электронных писем, которые отклоняются принимающим доменом как спам. Люди в ее списке контактов начинают злиться, и это становится настоящей проблемой.

Я спросил об этом GoDaddy, и они говорят, что любой человек А может отправить электронное письмо b@bbb.comзаявителю c@ccc.com, и нет инфраструктуры электронной почты для проверки того, что человеку А разрешено отправлять электронное письмо ccc.com. Следовательно, я абсолютно ничего не могу с этим поделать, и этот спамер сможет беспокоить людей, наносить ущерб репутации моей жены, вносить ее электронный список в черный список и т. Д., И нет способа остановить это .

Это правда, или я могу что-нибудь сделать, чтобы остановить этих спаммеров или, по крайней мере, смягчить ущерб?

Действительно, проблему фальсификации электронной почты действительно очень трудно решить из-за простого и высоко распределенного способа разработки протокола.

Аналогия с физическими буквами в этом примере весьма неплоха: я могу поместить письмо в почту и написать на нем, что оно пришло из вашего дома; Мне не нужно заходить в твой дом, чтобы сделать это, просто брось это в публичный почтовый ящик. И если сообщение помечено как «вернуть отправителю», оно может оказаться «возвращенным» вам, даже если вы его не написали. То же самое происходит с электронной почтой: любой может доставить сообщение в систему с адресами «Кому» и «От»; сервер, с которого вы отправляете почту, может не совпадать с тем, на который вы получаете почту, и нет централизованной службы проверки вашей личности, когда вы отправляете сообщение в систему.

Есть два основных подхода к решению этой проблемы:

Цифровые подписи - это способ включения в сообщение своего рода подписи или печати, которые только настоящий отправитель знает, как сгенерировать (используя закрытый ключ, который они никогда не передают). Затем получатель может проверить подпись с помощью открытого ключа, который математически доказывает, кто создал подпись (и соответствует ли он полученному тексту).

Это, однако, не очень полезно для вашего примера, поскольку не препятствует доставке сообщений и требует, чтобы получатели знали открытый ключ или проверенное местоположение для его получения.

Доменные системы проверки отправителя были разработаны, чтобы попытаться предотвратить спам. Они хранят данные в DNS (поиск в каталоге) для домена адреса (часть после @), что позволяет принимающей системе проверять, является ли почта законной. Одна система, SPF , перечисляет, каким системам разрешено отправлять почту от имени этого домена; другой, DKIM , хранит открытые ключи, используемые аналогично описанному выше подходу цифровой подписи, но для проверки передающей системы, а не фактического отправителя.

(Чтобы немного преувеличить аналогию с физическими буквами, SPF словно публично заявляет: «Я отправляю письма только с помощью этого почтового ящика», а DKIM словно публично заявляет: «Я всегда отправляю почту из этого почтового отделения, в котором для меня напечатана этикетка с несанкционированным вмешательством». ».)

Это больше подходит для вашего случая - если ваша жена использует пользовательский домен, соответствующая настройка SPF или DKIM заставит многие системы молча отклонять почту, которую она сама не отправила (или пометит ее как спам, не приписывая ее ей). ). Однако он работает только на уровне домена, а не на отдельном адресе, и некоторые системы получателей могут не проверять записи.

Электронная почта всех живых контактов в ее адресной книге и рассказывающая им о проблемах спама в электронной почте, вероятно, поможет. И сейчас самое подходящее время, чтобы удалить все мертвые контакты из списка.

Использование PGP / GPG в будущем было бы почти идеальным решением для частных пользователей и отправителей, чтобы проверить для себя, что электронная почта фактически отправлена ​​от отправителя, и может также скрыть / зашифровать содержимое сообщений, чтобы их могли видеть только предполагаемый получатель. Но, несмотря на то, что PGP доступен уже несколько десятилетий, никому не всегда легко начать пользоваться, а почта только через Интернет (например, Gmail и т. Д.) Затрудняет сохранение секретных частей по-настоящему секретными только для вас, и при этом все еще легко использовать откуда угодно ...

Аутентификация электронной почты

Есть вещи, которые можно сделать для аутентификации получателей электронной почты (по крайней мере, некоторые, такие как Yahoo & Google и другие, которые « представляют большой процент пользователей электронной почты в Интернете » - часто задаваемые вопросы DMARC ), что сообщение, которое говорит, что это от вашего домена, действительно с вашего домена. Они используют DMARK, который « позволяет отправителю указать, что их сообщения защищены SPF и / или DKIM, и сообщает получателю, что делать, если ни один из этих методов аутентификации не проходит - например, нежелательная почта или отклонение сообщения » - FAQ по DMARC .

Переход на другой адрес электронной почты также может помочь в краткосрочной перспективе, тогда вы и все остальные можете спокойно игнорировать / «помечать как спам» все дальнейшие сообщения от спамеров. Но даже если это не ваша главная задача, поскольку они являются «явно суперспамным спамом» и никто не обманывается, вы, вероятно, захотите не допустить, чтобы строка «from:» была легко подделана, поскольку, если достаточно пользователей всегда пометят как спам "деловая электронная почта вашей жены, фильтры спама, вероятно, начнут выбрасывать все сообщения с этого адреса.

Аутентификация электронной почты должна помочь отправляющим и получающим почтовым серверам проверять, действительно ли сообщения отправляются от того, от кого они говорят. Я нашел некоторую информацию о Gmail, так как это одна из "трех крупнейших" почтовых компаний, с которой, пожалуй, стоит начать. Даже переключение провайдеров электронной почты на тех, кто уже настроен / аутентифицирован, например, Gmail для бизнеса, должно помочь и может быть проще, но не обязательным, хотя, судя по вашему ответу от GoDaddy, они могут не быть хостом вашей мечты.

В справке Gmail по аутентификации электронной почты есть несколько советов по отправке доменов:

Если вы отправляете домен

Сообщения с подписями DKIM используют ключ для подписи сообщений. Сообщения, подписанные короткими ключами, могут быть легко подделаны (см. Http://www.kb.cert.org/vuls/id/268267 ), поэтому сообщение, подписанное коротким ключом, больше не является признаком того, что сообщение должным образом аутентифицировано. Чтобы обеспечить максимальную защиту наших пользователей, Gmail начнет обрабатывать электронные письма, подписанные менее чем 1024-разрядными ключами, как неподписанные, начиная с января 2013 года. Мы настоятельно рекомендуем всем отправителям, использующим короткие ключи, переключаться на ключи RSA длиной не менее 1024-разрядных. Аутентификация настоятельно рекомендуется для каждого отправителя почты, чтобы убедиться, что ваши сообщения правильно классифицированы. Другие рекомендации см. В Руководстве по массовым отправителям .

Одной аутентификации недостаточно для гарантии того, что ваши сообщения могут быть доставлены, так как спамеры также могут аутентифицировать почту. Gmail объединяет пользовательские отчеты и другие сигналы с информацией аутентификации при классификации сообщений.

Точно так же того факта, что сообщение не аутентифицировано, недостаточно для того, чтобы классифицировать его как спам, потому что некоторые отправители не аутентифицируют свою почту или потому что аутентификация нарушается в некоторых случаях (например, когда сообщения отправляются в списки рассылки).

Узнайте больше о том, как создать политику, которая поможет контролировать неаутентифицированную почту с вашего домена.

Последняя ссылка Контроль неаутентифицированной почты с вашего домена особенно актуальна:

Чтобы помочь в борьбе со спамом и злоупотреблениями, Gmail использует проверку подлинности электронной почты, чтобы проверить, действительно ли сообщение было отправлено с адреса, с которого оно было отправлено. В рамках инициативы DMARC Google позволяет владельцам доменов определять, как мы обрабатываем неаутентифицированные сообщения, которые ложно утверждают, что они поступили с вашего домена.

Что ты можешь сделать

Владельцы доменов могут опубликовать политику, сообщающую Gmail и другим участвующим поставщикам электронной почты, как обрабатывать сообщения, отправленные с вашего домена, но не прошедшие проверку подлинности. Определив политику, вы можете помочь в борьбе с фишингом для защиты пользователей и вашей репутации.

На веб-сайте DMARC узнайте, как опубликовать свою политику , или ознакомьтесь с инструкциями для доменов Служб Google .

Вот некоторые вещи, которые нужно иметь в виду:

• Вы будете получать ежедневные отчеты от каждого поставщика услуг электронной почты, чтобы вы могли видеть, как часто ваши электронные письма проходят проверку подлинности и как часто выявляются недействительные электронные письма.
• Возможно, вы захотите изменить свою политику, изучив данные из этих отчетов. Например, вы можете изменить свои действующие политики с «монитора» на «карантин» на «отклонение», так как вы становитесь более уверенными в том, что все ваши собственные сообщения будут аутентифицированы.
• Ваша политика может быть строгой или смягченной. Например, eBay и PayPal публикуют политику, требующую аутентификации всей их почты для того, чтобы они появлялись в чьем-либо почтовом ящике. В соответствии с их политикой Google отклоняет все сообщения от eBay или PayPal, которые не прошли проверку подлинности.

Подробнее о DMARC

DMARC.org был создан для того, чтобы отправители электронной почты могли влиять на неаутентифицированную почту, публикуя свои предпочтения в доступной и гибкой политике. Это также позволяет участвующим поставщикам электронной почты предоставлять отчеты, чтобы отправители могли улучшать и контролировать свою инфраструктуру аутентификации.

Google участвует в DMARC наряду с другими доменами электронной почты, такими как AOL, Comcast, Hotmail и Yahoo! Почта. Кроме того, отправители, такие как Bank of America, Facebook, Fidelity, LinkedIn и Paypal, уже опубликовали правила, которым должны следовать Google и другие получатели.

Дополнительную информацию см. В этом сообщении в официальном блоге Gmail .

Другие полезные ссылки:

• Настройте Gmail для отправки / получения сообщений электронной почты, используя ваше собственное доменное имя
• Взять под контроль свой адрес электронной почты

Что можно сделать, зависит от того, какая часть инфраструктуры находится под вашим контролем, и используете ли вы свое собственное доменное имя или просто имеете адрес в домене, контролируемом кем-то другим.

Если у вас есть собственный домен, то легко перейти на новый адрес электронной почты в том же домене. Кроме того, вы можете настроить DNS-записи, чтобы сообщить миру, что все электронные письма с вашего домена должны иметь цифровую подпись. (SPF, DKIM и DMARC - это термины для поиска, если вы хотите использовать этот подход.)

Вы не можете ожидать, что все будут проверять эти подписи, поэтому даже если вы настроите записи DNS, указывающие, что электронная почта с вашего домена должна быть подписана, все еще будут злоумышленники, отправляющие неподписанные электронные письма, утверждающие, что они принадлежат вашему домену, и получатели, принимающие эти неподписанные электронные письма.

Если вы не контролируете домен, то изменить адрес электронной почты не так просто, и у вас мало влияния на то, используются ли записи DNS для ограничения возможности подделки домена в исходящих письмах.

Проблема со спам-сообщениями, использующими поддельный адрес источника, приводящий к возврату отказов на законный адрес, по крайней мере, в принципе, легко решить.

Вы можете записать Message-IDвсе электронные письма, которые вы отправляете. Все возвраты должны включать Message-IDгде-то исходное сообщение - иначе отскок в любом случае совершенно бесполезен, потому что именно это говорит вам, какое сообщение было отклонено. Любое отклоненное сообщение, которое не содержит Message-IDранее отправленного вами сообщения, может быть отправлено прямо в папку со спамом или отклонено во время получения (что дает преимущество в том, что проблема на шаг приближается к источнику).

Отскок можно сказать отдельно от других писем по MAIL Fromадресу. У отказов всегда есть пустой MAIL Fromадрес, у других электронных писем никогда не бывает пустого MAIL Fromадреса.

Так что, если MAIL Fromпусто - и DATAне содержит Message-IDранее отправленных вами, письмо может быть безопасно отклонено.

Это принцип. Реализовать это на практике немного сложнее. Прежде всего, инфраструктура для исходящей и входящей электронной почты может быть разделена, что делает проблематичным, чтобы инфраструктура для входящих электронных писем всегда знала обо всех, Message-IDкто прошел через инфраструктуру для исходящих электронных писем.

Кроме того, некоторые провайдеры настаивают на отправке отказов, которые не соответствуют здравому смыслу. Например, я видел провайдеров, отправляющих отказы, не содержащие никакой информации об исходном электронном письме, которое было возвращено. Моя лучшая рекомендация для таких бесполезных отскоков - рассматривать их как спам, даже если они исходят из другой законной почтовой системы.

Помните, что кто бы ни получил список адресов электронной почты, он может поместить любой из адресов в качестве адреса источника и любой из адресов в качестве адреса назначения. Таким образом, если у вас нет дополнительной информации, вы не можете быть уверены, что утечка произошла даже из вашей собственной системы. Это может быть любой из ваших контактов, которые утекли список адресов, включая ваш.

Чем больше вы сможете выяснить, какие адреса находятся в списке утечек, а какие нет, тем лучше вы сможете выяснить, откуда они были получены. Возможно, вы уже сделали это и пришли к выводу, что утечка произошла из вашего списка контактов, поскольку ни один из ваших контактов не знал бы всех адресов, подтвержденных как утечка.

Мой подход заключается в том, чтобы использовать свой собственный домен и отдельный адрес электронной почты в этом домене для каждого контакта, с которым я общаюсь. Я включаю дату первого контакта с контактом в почтовый адрес, чтобы это выглядело так, как kasperd@mdgwh.04.dec.2015.kasperd.netесли бы я должен был написать электронное письмо новому контакту сегодня. Такой подход, очевидно, не для всех, но для меня он, безусловно, помогает точно знать, кто просочился в список адресов электронной почты, где один из моих. Это также означает, что я могу закрыть отдельные адреса так, что только тот, кто слил мой адрес, должен обновить свои контактные данные для меня.

И да и нет.

Ничто не мешает мне написать письмо с вашим адресом отправителя. Это ничем не отличается от обычной бумажной почты, где я также могу поместить адрес назначения на передней части конверта и (любой!) Обратный адрес на обратной стороне конверта.

Однако вы можете добавить цифровую подпись, чтобы доказать, что вы являетесь отправителем (см. PGP и ответ Xen). И почтовые провайдеры также начинают внедрять проверки безопасности для связи между почтовыми серверами. (См. TLS - Безопасность транспортного уровня). Но почта построена на старых протоколах, где все хорошо себя вели и сотрудничали. Это не было предназначено для большого плохого мира.

Вы подходите к этому неправильно.

За годы, проведенные в индустрии ремонта компьютеров, я могу сказать вам, что очень маловероятно, что здесь происходили какие-либо "взломы". Скорее всего, на компьютере вашей жены есть вирус, и этот вирус получил доступ к ее адресной книге Thunderbird.

Это довольно часто. Обычно вирус отправляет электронные письма непосредственно с зараженного компьютера, поэтому удаление вируса остановит спам-сообщения - они не «подделывают» адрес электронной почты вашей жены, они являются адресом электронной почты вашей жены.

Изменение адресов электронной почты, предложенное другим пользователем, вряд ли что-то решит ... особенно если вы введете его в Thunderbird на том же компьютере.

Скачайте и запустите Combofixна компьютере вашей жены.

http://www.bleepingcomputer.com/download/combofix/

Инструкции по его запуску см. По адресу: http://www.bleepingcomputer.com/combofix/how-to-use-combofix.

По сути, загрузите его, запустите его от имени администратора (щелкните правой кнопкой мыши -> запустить от имени администратора), нажмите OK / Да / Продолжить до подсказок, а затем уйдите от 30 минут до часа. Он будет работать долго и, вероятно, перезагрузит компьютер (обязательно войдите в систему, чтобы он продолжал работать).

Вы узнаете, что это будет сделано, когда откроется полноэкранный блокнот с кучей текста. Закройте его, перезагрузитесь еще раз, и вы, вероятно, решили свою проблему ... только время покажет.

Здесь есть два вопроса. Ваш конкретный вопрос о проверке отправителей электронной почты и о том, что можно сделать, когда электронная почта отправляется на ваше имя.

К сожалению, подделать From:адрес по электронной почте очень просто, и это все, что нужно. Хотя существуют способы настроить электронную почту, чтобы можно было проверить отправителя (например, подпись с разницей, упомянутая в других ответах), они не используются в общем. Если в украденных контактах вашей жены было много случайных подключений, одноразовых клиентов, списков рассылки и т. Д., Это не является началом: если получатели находят поддельные электронные письма хлопотами, последнее, что им нужно, это попросить установить специальное программное обеспечение. на своих компьютерах.

Что подводит нас к тому, что она может сделать. Украденные адреса широко используются в качестве прикрытия спаммерами, и большинство людей знают, что игнорируют явный спам, который притворяется, что пришел от знакомого. Если это все, что происходит, то ваша жена должна получить новое электронное письмо, предпочтительно легко отличимое от старого; если возможно, комбинируйте его с написанием ее полного имени по-разному, например, добавьте отчество или должность. Затем уведомите всех в ее списке контактов и прекратите использовать старую электронную почту, но продолжайте отслеживать ее на предмет входящих сообщений от людей, которые пропустили заметку.

Все становится сложнее, если вы считаете, что кто-то специально нацелен на вашу жену, пытается выдать себя за нее, подорвать ее репутацию и т. Д. В этом случае злоумышленник быстро примет новое электронное письмо (так как ваша жена не будет хранить его в секрет). Но это мост, который вы можете пересечь, если он когда-нибудь придет к этому (что я считаю маловероятным).

Как сказал Фримен ... пусть все обычные корреспонденты электронной почты знают, что во всех будущих электронных письмах от нее будет упоминаться фраза или что-то подобное.

Некоторые из моих самых постоянных контактов знают, что если они хотят, чтобы я открывал их сообщения, они должны сказать что-то в электронном письме, которое никогда не узнает спамер, например: «Да, Деннис, это действительно ______ и имя вашей собаки ______». Я сказать что-то похожее на них. Это хлопот? Возможно, это скорее небольшое раздражение.

Теперь, если бы все приняли SPF, это было бы огромной помощью.

Это может быть не идеально, но на вашем месте я бы закрыл свой аккаунт и открыл новый. Рассказать всем мой новый адрес и занести в черный список старый.