45 votos

¿Puede email spoofing prevenirse?

La esposa de mi cuenta de correo fue hackeado y el atacante tiene en su libreta de direcciones. No sé si el ataque fue en su cliente de correo (Thunderbird se ejecuta en Windows 7) o en el servidor (en GoDaddy). De cualquier manera, el contacto de la lista de datos están ahí y yo no se puede deshacer. He cambiado todas las contraseñas, seguridad actualizado, etc., y creo que no han habido más intrusiones.

Sin embargo, quien hizo este ha sido el envío de grandes cantidades de spam, el uso de la esposa de mi nombre como el "remitente". Van en silencio por un rato, y luego tan a menudo me despierto con un par de docenas de correos electrónicos de mi esposa, que por supuesto ella no enviar, y a cualquier otra persona en su libreta de direcciones obtiene estos así. Y debido a su libreta de direcciones estaba lleno de muchos muertos direcciones, mi esposa recibe cientos de "Mail Delivery Failed" bounceback mensajes, así como de cientos de correos electrónicos rechazados por el dominio de recepción como spam. Las personas en su lista de contacto enojarse, y se está convirtiendo en un verdadero problema.

Me han preguntado GoDaddy acerca de esto, y dicen que cualquier persona puede enviar un correo electrónico a b@bbb.com afirman ser c@ccc.com, y no hay ninguna infraestructura de correo electrónico en el lugar para verificar que Una persona está autorizada a enviar un correo electrónico desde ccc.com. En consecuencia, no hay absolutamente nada que yo pueda hacer al respecto, y este spammer será capaz de acosar a las personas, daños a la esposa de mi reputación, obtener su correo electrónico en la lista negra, etc. y no hay manera de detenerlo.

Es esto cierto, o hay algo que yo pueda hacer para detener a estos spammers, o al menos mitigar el daño?

43voto

balpha Puntos18387

De hecho, es muy difícil resolver el problema de correo electrónico de suplantación de identidad en una forma general, debido a la simple y altamente distribuido de manera que el protocolo está diseñado.

La física de la carta de analogía es bastante bueno, en este ejemplo: puedo poner una carta en el post, y escribir en ella y que proviene de su casa; no es necesario que me han entrado en su casa para hacer esto, simplemente colócala en un cargo público cuadro. Y si el mensaje está marcado como "devolver al remitente" puede acabar siendo "regresó" a usted, aunque usted no lo escribió. Lo mismo ocurre con e-mail: cualquiera puede enviar un mensaje en el sistema, con una A y una De dirección; el servidor de envío de correo no puede ser el mismo que se recibe el correo, y no hay centralizada del servicio de verificación de su identidad al colocar un mensaje en el sistema.

Hay dos enfoques generales para la resolución de este:

Las firmas digitales son una forma de incluir en un mensaje de un tipo de firma o sello que sólo el remitente real sabe cómo generar (utilizando una clave privada que nunca comparten). El destinatario pueda verificar la firma utiliza una clave pública, que matemáticamente se demuestra que ha producido la firma (y que coincide con el texto recibido).

Esto no es, sin embargo, muy útil por su ejemplo, porque no impedir que los mensajes se entreguen, y requiere que los beneficiarios conocen la clave pública, o una ubicación de verificación para recuperarlo.

Basada en el dominio de verificación del remitente sistemas se han desarrollado para tratar de evitar el spam. Estos almacén de datos en el DNS (la búsqueda en el directorio) para el dominio de la dirección (la parte después de la@), que permiten un sistema de recepción para verificar si un correo es legítimo. Un sistema, SPF, listas de que los sistemas están autorizados para enviar correo en nombre de ese dominio; otro, DKIM, almacenes de claves públicas que usa similar a la de la firma digital enfoque anterior, pero para la verificación del sistema de transmisión, en lugar de que el remitente real.

(A poco más de extender la física de la carta de la analogía, SPF es como públicamente diciendo: "yo sólo publicar cartas mediante este cuadro de mensaje" y DKIM es como públicamente diciendo: "siempre me envían el correo de esta oficina de correos que imprime una prueba de manipulaciones etiqueta para mí".)

Estos serían más pertinentes a su caso, si su esposa estuviera usando un dominio personalizado, adecuado a la SPF o DKIM instalación podría causar muchos sistemas de silencio para rechazar el correo que ella no había enviado a sí misma (o marcarlo como spam, sin atribuirlo a ella). Sin embargo, sólo funciona en el nivel de dominio, no la dirección del mismo, y algunos sistemas de receptor no puede comprobar los registros.

16voto

Xen2050 Puntos2860

Correo electrónico de todos los live contactos en su libreta de direcciones y contándole sobre el spam en el correo electrónico de los problemas probablemente ayudaría. Y ahora es tan buen momento como cualquier otro para eliminar cualquier muertos contactos de la lista.

El uso de PGP/GPG en el futuro sería una cerca-la solución perfecta para los usuarios privados y los remitentes para comprobar por sí mismos que un correo electrónico es en realidad enviado por el remitente, y podría ocultar y encriptar el contenido de los mensajes, así que sólo son vistos por el receptor. Pero, a pesar de PGP ha estado disponible desde hace ya varias décadas, no es universalmente super fácil para que cualquiera pueda empezar a utilizar, y la web de correo, como Gmail, etc) hacen que sea difícil mantener el secreto partes secreta que sólo tú y fácil de usar desde cualquier lugar...

Autenticación De Correo

Hay cosas que se pueden hacer para autenticar a los receptores de correo electrónico (al menos para algunos, como Yahoo Y Google y otros, que "representan un porcentaje alto de correo electrónico de Internet a los usuarios" - DMARC FAQ) de que un mensaje que dice que es de su dominio realmente es de su dominio. Ellos usan DMARK que "permite un remitente para indicar que sus mensajes están protegidos por la SPF y/o DKIM, y le dice a un receptor qué hacer si ninguno de los métodos de autenticación pasa – tales como correo no deseado o rechazar el mensaje" - DMARC de preguntas frecuentes.

Cambiar a otra dirección de correo electrónico, puede ayudar en el corto plazo, entonces usted y todos los demás podían ignorar / "marcar como spam" todos los más mensajes de los spammers. Pero incluso si eso no es su principal preocupación, ya que son "obviamente super-spam spam" y nadie se deje engañar, usted probablemente desee ver en detener el "de:" línea de ser fácilmente falsificados, ya que si suficientes usuarios siempre "marcar como spam" de su esposa de correo electrónico de negocios, los filtros de spam probablemente va a empezar a tirar todos los mensajes de esa dirección.

Autenticación de correo debe ayudar a que el envío y la recepción de los servidores de correo para verificar que los mensajes se envían desde los que dicen que son. He encontrado algo de información en Gmail, ya que es uno de "los tres grandes" de correo electrónico de las empresas es probablemente un buen lugar para empezar. Incluso cambiar de proveedores de correo electrónico a uno que ya está configurado / autenticado, como Gmail para empresas deberían ayudar y podría ser más fácil, pero no debería ser necesario, aunque a juzgar por su respuesta de GoDaddy que no puede ser su sueño de host.

Gmail ayudar en Correo electrónico Authentiation tiene algunos consejos para el envío de dominios:

Si usted es un dominio de envío

Mensajes con firmas DKIM el uso de una clave para firmar los mensajes. Mensajes firmado con teclas que pueden ser fácilmente falsificados (ver http://www.kb.cert.org/vuls/id/268267), por lo que un mensaje firmado con un corto clave ya no es una indicación de que el mensaje sea correctamente autenticado. La mejor manera de proteger a nuestros usuarios, Gmail empiezan a tratar correos electrónicos firmados con menos de 1024 bits claves como unsigned, a partir de De enero de 2013. Recomendamos encarecidamente que todos los remitentes uso de teclas interruptor de claves RSA de al menos 1024 bits de largo. La autenticación es altamente recomendado para cada remitente de correo para asegurarse de que sus mensajes están correctamente clasificados. Para otras recomendaciones de ver nuestros Remitentes con las Directrices.

La autenticación por sí sola no es suficiente para garantizar que los mensajes pueden ser entregado, como los spammers también puede autenticar el correo. Gmail combina los informes de usuario y otras señales, con la información de autenticación, cuando la clasificación de los mensajes.

Del mismo modo, el hecho de que un mensaje no se autentica no es suficiente para clasificar como spam, porque algunos remitentes no autenticar su correo o debido a que la autenticación se rompe en algunos casos (por ejemplo, cuando los mensajes son enviados a las listas de correo).

Aprender más sobre cómo usted puede crear una directiva para ayudar a controlar no autenticado de correo de tu dominio.

El último eslabón de Control de la autenticado por el correo de tu dominio es particularmente relevantes:

Para ayudar a combatir el spam y el abuso, Gmail utiliza la autenticación del correoa comprobar si un mensaje fue realmente enviado desde la dirección que aparece a ser enviados desde. Como parte de la DMARC iniciativa, Google permite dominio los propietarios de ayudar a definir cómo vamos a manejar sin autenticar los mensajes que aparentar ser de su dominio.

Lo que usted puede hacer

Los propietarios de dominio puede publicar una política de decirle a Gmail y los proveedores de correo electrónico cómo controlar los mensajes que se enviado desde su dominio, pero no autenticados. Mediante la definición de una política, usted puede ayudar a combatir el phishing para proteger a los usuarios y a su reputación.

En el DMARC sitio web, aprender a publicar su política, o ver la instrucciones para los dominios de Google Apps.

Aquí están algunas cosas a tener en cuenta:

  • Usted recibirá un informe diario de cada uno de los participantes del proveedor de correo electrónico así que usted puede ver cómo a menudo sus correos electrónicos son autenticados y con qué frecuencia no válido los correos electrónicos son identificados.
  • Es posible que desee ajustar su política de se aprende a partir de los datos de estos informes. Por ejemplo, usted podría ajustar su procesable políticas de "monitor" a "cuarentena" "rechazar" a medida que se vuelven más seguros de que su propia mensajes de todos ser autenticado.
  • Su póliza puede ser estricta o relajada. Por ejemplo, eBay y PayPal publicar una política que requiere que todos los de su correo electrónico para ser autenticado con el fin de aparecer en la bandeja de entrada. De acuerdo con su política de Google rechaza todos los mensajes de eBay o PayPal que no están autenticados.

Más acerca de DMARC

DMARC.org fue creada para permitir a los remitentes de correo electrónico para influencia no autenticado de correo mediante la publicación de sus preferencias en un detectable y flexible de la política. También permite a los participantes por correo electrónico los proveedores de proporcionar los informes para que los remitentes pueden mejorar y vigilar su infraestructura de autenticación.

Google está participando en DMARC junto con otros dominios de correo electrónico como AOL, Comcast, Hotmail y Yahoo! Correo. Además, los remitentes como Bank of America, Facebook, Fidelidad, LinkedIn, y Paypal ya han publicado las políticas de Google y otros receptores a seguir.

Para obtener más información, por favor refiérase a este post en el Oficial de Gmail Blog.

Otros útiles buscando enlaces:

10voto

kasperd Puntos1089

¿Qué se puede hacer depende de la cantidad de la infraestructura que tiene control sobre, y si usted está utilizando su propio nombre de dominio o, simplemente, tienen una dirección bajo un dominio controlado por alguien más.

Si usted tiene su propio dominio, es fácil cambiar a una nueva dirección de correo electrónico en el mismo dominio. Además, usted puede configurar los registros DNS para decirle al mundo que todos los correos de tu dominio se supone debe ser firmado digitalmente. (SPF, DKIM, y DMARC son los términos a buscar si este es el enfoque que usted desea tomar.)

Usted no puede esperar que todo el mundo compruebe estas firmas, por lo que incluso si usted configurar los registros DNS que indica que el correo electrónico de tu dominio debe ser firmado, todavía habrá que abusan de envío sin firmar correos electrónicos que dicen ser de su dominio y los receptores de la aceptación de aquellos sin firmar mensajes de correo electrónico.

Si usted no tiene control en el dominio, a continuación, cambiar la dirección de correo electrónico no es tan fácil, y usted tiene poca influencia en los registros DNS se utiliza para limitar la capacidad de suplantar el dominio en los correos electrónicos salientes.

El problema con los mensajes de spam, el uso de una dirección origen falsificada provocando rebotes volver a la dirección legítima es, al menos en principio fáciles de resolver.

Usted puede registrar el Message-ID de todos los correos electrónicos que envíe. Todos los rebotes de la necesidad de incluir el Message-ID del mensaje original en alguna parte - de lo contrario, el rebote es completamente inútil de todos modos, porque eso es lo que te dice el mensaje que consiguió rebotar. Cualquier devolución de mensaje que no contenga un Message-ID tiene previamente enviar se pueden enviar directamente a la carpeta de spam o ser rechazado en la recepción de tiempo (que tiene la ventaja de empujar el problema un paso más cerca de la fuente).

Los rebotes se les puede decir aparte de otros correos electrónicos por MAIL From dirección. Rebota siempre tienen un vacío MAIL From dirección, otros correos electrónicos que nunca han vacía MAIL From dirección.

Así que si MAIL From está vacía - y el DATA no contiene un Message-ID previamente enviar el correo electrónico puede ser rechazado de forma segura.

Ese es el principio. Convirtiéndola en la práctica es un poco más difícil. La primera de toda la infraestructura para las llamadas salientes y entrantes de correo electrónico pueden ser separados, lo que hace problemático para la infraestructura de los correos electrónicos entrantes para siempre saber acerca de cada Message-ID que ha pasado a través de la infraestructura de los correos electrónicos salientes.

Además, algunos proveedores de insistir en el envío de rebotes que no cumplan con el sentido común. Por ejemplo, he visto a los proveedores el envío de rebotes que no contiene ningún tipo de información sobre el correo electrónico original que fue rebotado. Mi mejor recomendación para tales inútil rebota es tratarlos como spam, incluso si proceden de un correo legítimo del sistema.

Recuerde que quien ha obtenido la lista de direcciones de correo electrónico puede poner cualquiera de las direcciones como fuente de dirección y a cualquiera de las direcciones como dirección de destino. Por lo tanto, a menos que disponga de información adicional que usted no puede estar seguro de que la fuga ha ocurrido a partir de su propio sistema. Puede ser cualquiera de los contactos que se filtró la lista de direcciones, incluyendo el suyo.

El más usted puede averiguar acerca de qué direcciones están en el filtrado de la lista y los que no lo son, mejor usted será capaz de ver a dónde se filtró. Podría ser que usted ya ha hecho esto y la conclusión de que la fuga debe haberse originado a partir de tu lista de contactos ya que ninguno de sus contactos hubiera conocido todas las direcciones confirmado que se han filtrado.

Mi enfoque es utilizar mi propio dominio y una dirección de correo electrónico separada bajo el dominio para cada contacto me puedo comunicar con. Tengo que incluir la fecha de la primera comunicación con el contacto en la dirección de correo, de tal manera que podía parecerse kasperd@mdgwh.04.dec.2015.kasperd.net si yo fuera a escribir un correo electrónico a un contacto nuevo en la actualidad. Ese enfoque, obviamente, no es para todo el mundo, pero para mí es sin duda ayuda a saber exactamente quién ha sido escape de una lista de direcciones de correo electrónico donde uno de los míos es. Esto también significa que puede cerrar las direcciones individuales de tal manera que sólo la persona que filtró mi dirección tiene que actualizar su información de contacto para mí.

8voto

Hennes Puntos41345

Sí y no.

Nada me impide escribir un correo electrónico con su dirección como remitente. Esto no es diferente de papel normal de correo donde también se puede poner una dirección de destino en la parte frontal de la envolvente y una (cualquiera!) dirección de retorno en la parte posterior de la envolvente.

Sin embargo, usted puede agregar una firma digital a prueba de que usted es el remitente (ver PGP y Xen de la respuesta). Y de los proveedores de correo también se están empezando a implementar controles de seguridad para la comunicación entre servidores de correo. (Ver TLS - Seguridad de Capa de Transporte). Pero el correo es construir en el antiguo protocolos donde todo el mundo se comportaba y cooperado muy bien. No fue diseñado para el gran mundo malo.

6voto

SnakeDoc Puntos544

Se están acercando a este incorrectamente.

A partir de los años que pasó en el equipo de la industria de reparación, puedo decirte que es muy poco probable que hubiera alguna "hacking" pasando aquí. Es mucho más probable que su esposa computadora tiene un virus, y que el virus ha tenido acceso a su libreta de direcciones de Thunderbird.

Esto es bastante común. Generalmente el virus es el envío de los mensajes de correo electrónico directamente desde el ordenador infectado, por lo que la eliminación de los virus va a detener el spam de correo electrónico, que no son "suplantación de identidad" de su esposa dirección de correo electrónico, son a su esposa a la dirección de correo electrónico.

El cambio de direcciones de correo electrónico como se sugiere por parte de otro usuario es muy raro a resolver nada... especialmente si se introduce en Thunderbird en el mismo equipo.

Descargue y ejecute Combofix sobre su esposa equipo.

http://www.bleepingcomputer.com/download/combofix/

Hay instrucciones sobre cómo ejecutarlo en: http://www.bleepingcomputer.com/combofix/how-to-use-combofix

Esencialmente, descargarlo, ejecutarlo como administrador (clic derecho --> ejecutar como administrador), haga clic en ACEPTAR/Sí/Seguir las instrucciones y, a continuación, a pie durante 30 minutos a una hora. Se ejecutará durante un largo tiempo, y es probable que reiniciar el ordenador (asegúrese de que usted inicie la sesión de nuevo para seguir trabajando).

Usted sabrá que se hace cuando una pantalla completa con el bloc de notas está abierto con un montón de texto. Cerrar, reiniciar el sistema una vez más, y es probable que resolvió su problema... solo el tiempo lo dirá.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

;