我读到您可以在电子邮件的From:字段中写入任何内容。

如果是这样,那么为什么网络钓鱼电子邮件试图用类似于service@amaz0n.com的类似地址欺骗我,而不是仅仅使用实际的service@amazon.com本身?

评论

您可以告诉所有人您是教皇,没有什么可以阻止您这样做。但是那些知道教皇身份的人会认识到你在撒谎。电子邮件具有此验证过程。

@schroeder,我认为电子邮件不需要任何验证。 AFAIK,这取决于电子邮件提供商,我已经看到它们之间的巨大差异。有些可能显示其他信息(“发件人”字段,也显示“发件人”字段),有些可能将邮件放入垃圾文件夹,某些可能会完全拒绝它……而其他人可能会接受它。我可以肯定地知道,因为我昨天进行了测试,因此,我国有信誉良好的提供商接受欺骗性的地址,因为仅SPF(软)失败不足以触发其SpamAssassin,因此,欺骗性的电子邮件看上去可以完全真实。
@reed,仅SPF策略通常不会完全丢弃电子邮件。并且有充分的理由。如果您的电子邮件提供商开始丢弃可能合法的电子邮件,那将是一场噩梦,即使可能性很小。 SPF的政策通常只是确定邮件是直接发送到垃圾邮件还是包含潜在的垃圾邮件/网络钓鱼警告。只有使用DKIM / DMARC,您才能真正获得足够的图片来说“是的,这封电子邮件是胡扯的,让我们丢弃它”。
如今,假冒地址电子邮件的一种可能用途是万一受害者试图实际回复该电子邮件。攻击者可能会收到响应,并与不知情的受害者进行讨论,并执行社交工程。如果“回复”地址不受控制,则攻击者将不会(至少不容易)拦截任何内容。

@Pacopaco就是对现场回复的作用

#1 楼

尽管可以使用@amazon.com作为SMTP信封和/或邮件头的From字段创建一封邮件,但由于此域受发件人策略框架(SPF),DomainKeys Identified Mail(DKIM)和Domain-基于消息的身份验证,报告和一致性(DMARC)。这意味着欺骗邮件将被检测到并被许多电子邮件服务器拒绝。与此相反,使用不受这种方式保护或受攻击者控制但受保护的另一个域则更为成功。

简而言之,要解释这些技术的作用:



SPF
检查给定的SMTP信封(SMTP.MAILFROM)是否允许发件人IP地址。 dig txt amazon.com显示存在SPF策略。

DKIM
邮件服务器对邮件进行签名。使用DNS检索验证邮件的公用密钥。从邮件标题中的DKIM-Signature字段可以看出,Amazon使用DKIM。

DMARC
将邮件标题中的From字段(RFC822.From)与DKIM签名的域对齐DKIM或SPF的SMTP信封的域。如果存在对齐且成功的SPF / DKIM,则DMARC策略匹配。 dig txt _dmarc.amazon.com显示Amazon具有一个quarantine策略的DMARC记录。只有其中至少一种与DMARC的组合才能防止此类标头欺骗。

评论


在最后一行还不太正确……SPF记录本身可以防止欺骗。硬失败的SPF记录(以“ -all”结尾的记录)通常会导致违反电子邮件的行为,直接将其转移到垃圾邮件中,软失败的电子邮件通常会向用户发出警告(例如Gmail,o365) 。这些选择确实需要更好的标准化水平,但这就是在野外发生的事情。例如,我见过电子邮件客户端,当发生硬故障违规时,它们会完全删除电子邮件。

–hiburn8
19 Mar 6 '19 at 17:45



@ hiburn8:这是关于欺骗邮件头中的发件人字段。 SPF甚至不查看邮件的“发件人”字段(RFC822.FROM),而仅关心SMTP信封(SMTP.MAILFROM)。攻击者可以使用具有适当域的SMTP信封,该域没有SPF或具有有效SPF,因为该域是由攻击者控制的,因此SPF不会失败。只有与DMARC结合使用才能防止欺骗邮件标头的“发件人”字段,因为它要求对齐SPF的SMTP信封中的域或DKIM签名字段中的域。

– Steffen Ullrich
19年3月6日18:00



是的,对不起,我想念您的答案。我以为您是在说SPF本身并不能提供任何欺骗性缓解措施。 +1

–hiburn8
19年3月7日在12:50

#2 楼

为了补充史蒂芬·乌尔里希(Steffen Ullrich)的回答,请注意:


从历史上看,确实可以欺骗您想要的任何东西,没有人检查过,每个人都信任所有人。
但是,引入了垃圾邮件,网络钓鱼和其他骗局,SPF,DKIM和DMARC。那些允许服务器检查发件人是否确实有权与给定域中的发件人发送邮件。
要工作,它们需要发件人和接收者都必须实现这些方法。电子邮件提供商肯定会在其方面(作为接收者)实施至少三种方法中的一种,并且许多面临冒充他人试图冒充他人的风险的组织也将在其一方实施三种方法中的至少一种(作为发件人)。
但是,仍然有两个电子邮件系统都不检查其中一个,并且没有适当的设置也没有域。

因此,如果您发现没有SPF,DKIM或DMARC的域,您可以代表该域发送电子邮件,而不会被直接拒绝。许多电子邮件提供商会比其他人更“信任”这样的电子邮件,并且将其作为垃圾邮件处理时会有较大的变化。

同样,您甚至可以“从”域发送电子邮件受SPF,DKIM或DMARC保护的电子邮件系统不会对其进行检查。将无法正常工作。这就是他们为此使用其他域名的原因。

评论


请注意,只有DMARC才能阻止对发件人:地址的欺骗,因为SPF和DKIM不会这样做-DKIM可以让发件人(可选地)证明自己拥有该域,但不能帮助收件人在发件人:字段中检查域DKIM签名不存在。

–胸骨
19 Mar 8 '19在3:40



#3 楼


仿冒者可能希望收到任何答复以发送到该地址。
他们正试图避免存在各种框架,以防止被欺骗的“来自”字段被人类用户视为真实。

使用此工具,我可以检查amazon.com是否已配置SPF。当然,检查DNS是否为SPF是在您的电子邮件客户端上,但是大多数人的客户端都这样做。

评论


SPF不会保护发件人:标头,但会保护信封发件人。

– Esa Jokinen
19 Mar 5 '19 at 17:20

检查SPF的不是电子邮件客户端。这是接收电子邮件的服务器。

–马克斯·弗农(Max Vernon)
19年3月7日在15:58

我要清理一下:我曾经为自己设置过这些保护措施,现在我不确定为什么十二个人支持我的回答。

–ShapeOfMatter
19年3月7日在16:03

#4 楼

可能值得注意的是理论和实践之间的区别。
作为电子邮件基础的SMTP(简单邮件传输协议)并不能真正防止欺骗。我认为这就是引用的来源。

尽管SMTP像现在一样是电子邮件的一部分,但它不仅是管道中的唯一内容。虽然我确定在野外确实可以完全实现此目的,但绝大多数人将使用少数几个“大”堆栈中的一种,其中有很多额外功能可以阻止这种行为。 >
由于垃圾邮件的目标是尽可能地覆盖尽可能多的人(最可悲的是最容易骗人的人):为了获得真实地址的信誉而过滤掉大多数案件的代价并不高。如果诈骗牵涉到诈骗者的一部分继续努力,尤其是这样,因为那种怀疑者会注意到“ service@amaz0n.com”看起来是错误的,这很可能是您想要早日淘汰的目标。

评论


我认为只需要简单的标记是很不错的一点。消息的内容中也有故意这样做的趋势。之前已经在这里进行了介绍:security.stackexchange.com/questions/96121/…

–drjpizzle
19 Mar 6 '19 at 17:19

#5 楼

詹姆士·维奇(James Veitch)在TED演讲中阐明了这一点。

他从讲起他收到的一些网络钓鱼诈骗电子邮件开始了他的讲话,其中一封关于一名南非骗子请求钻石的帮助。整个故事很荒谬,对我们大多数人来说,简直令人难以置信。但是


“ [...]如果您考虑一下,这实际上是很聪明的。因为通过使骗局变得荒谬,对于骗子来说是理想的,唯一要这样做的人回复是最容易受骗的人。“


如果您幼稚或分心以至于将” amaz0n“误读为” amazon“,那么也许您值得尝试...不同的领域,您正在关注,这可能是骗子浪费时间来欺骗您。

评论


我不敢说“如果您天真或分心以致将“ amaz0n”误读为“ amazon”,那您也许值得尝试。并不是每个人都对技术长大,这听起来很像“如果您太愚蠢而无法意识到它,那么就应该被吸引住。”他们之所以使用相似但不相同的域名的真实答案是,因为从技术上讲,它们无法欺骗真实名称Amazon.com。如果他们可以使用“ amazon.com”,我相信他们会的。

– SomeGuy
19 Mar 8 '19 at 17:11

您的逻辑有误。这不是“因为您容易受到攻击,我们会尝试这样做”,而是“我们会尝试所有人,并且人们的脆弱性将会暴露出来”。

– schroeder♦
19 Mar 8 '19 at 17:47

@SomeGuy作者

– schroeder♦
19年3月11日在9:03