Підроблені електронні листи проблема, яка може торкнутися кожного
Відправника листа можна підробити
Ось ці дві нові статті на Geektimes спонукали мене висловитися про наболілу проблему. З неї стикався і я, коли налаштовував VPS із поштовим сервером Exim:
- Проблеми безпеки пошти Mail.ru: https://geektimes.ru/post/291929/
- Проблеми безпеки Яндекс.Пошти (а ще ПДР та Коннект): https://geektimes.ru/post/291939/
- Підробляємо листи від найбільших українських банків: https://habrahabr.ru/post/326382/
Суть у тому, що можна підробити відправника имейлу і той, хто отримав лист, може нічого не запідозрити. Прокочує лише за певних умов, але їх достатньо, щоб отримати, наприклад, лист від відомого зеленого банку з проханням запровадити свої дані на сторонньому сайті.
Photo credit: mattwi1s0n / CC BY
… Захист від підробки листів повинен відбуватися з двох сторін: власника сервісу та одержувача листа (у більшості випадків це поштовий провайдер, наприклад Mail.ru). сервісу, як і описувалося у статті за посиланням. Особлива проблема — поштові послуги. Вони повинні перевіряти листи на підробку, але не завжди це роблять (з різних причин) чи роблять неправильно. Наприклад, є забавна вразливість у Yahoo, яка дозволяє обійти перевірку DMARC та SPF і підробити листа від абсолютно правильно налаштованого сервісу. …
І далі ведеться обговорення: https://geektimes.ru/post/291929/#comment_10250927. З нього стає зрозумілим масштаб біди.Справа неприємна та парадоксальна. Або поштові служби почнутьперевіряти справжність листів і відкидати з підробленим полем «від», але тоді перестануть приходити всякі розсилки та оповіщення з некоректно налаштованих серверів, абопропускати листи з невідповідностями в заголовках і обробляти їх різними антиспам-фільтрами, сподіваючись, що в ящик користувачеві потрапить тільки «правильна» кореспонденція.
Знаючі люди можуть виправити мене: одержувач завжди може подивитися вихідник листа, за ними справжність визначається на раз-два.
Ось коли ви востаннє дивилися на хедери листи? У веб-інтерфейсах пошти це можна зробити, але треба розуміти, що це взагалі таке і навіщо потрібно. У школі на уроках інформатики про це не розкажуть, у ВНЗ на непрограмно-інженерних спеціальностях теж. То з чого б середньоокругленому співробітнику офісу знати, як перевіряти імейли на справжність відправника?
Перевіряємо справжність самі
Бо поштові сервери ніхто налаштовувати не хоче, доведеться навчитися самим перевіряти справжність особливо важливих листів. Розповім, як це робити у трьох популярних поштових сервісах. Спосіб не гарантує 100% точність, зате відносно простий.
Для початку відкрийте саме листа, у справжності відправника якого ви не впевнені. Потім слід відкрити вихідний текст листа.
Пошта від ГуглаGMail: меню листа - "Показати оригінал".
Yandex: кнопка меню з трьома точками - "Властивості листа".
Mail.ru: кнопка меню праворуч від заголовка листа - пункт «Службові заголовки».
Відкриється простирадло (Простирадло!) тексту, в якому потрібно знайти три рядки (можна пошуком по сторінці, натиснувши Ctrl+F, вони будуть на початку тексту):
Третій службовий заголовок листа"Reply-To" вставляється не завжди. Шахраями він застосовується для хитрішої схеми. Припустимо, надходить такий лист начальника підлеглому:
Коли все полагодять?
Боюся, не найближчим часом. Парочка статей, що вийшли на популярному ресурсі, та моя скромна нотатка – крапля в інформаційне море. Як не парадоксально, але Яндекс, Майл.ру та інші сервіси не можуть просто так взяти і включити строгу перевірку відправника листа, тому що тоді перестануть приймати листи з некоректно налаштованих серверів.
Хоча є один простий спосіб і прийняти, і позначити підозрілі листи - просто на початок теми ставити мітку [UNTRUSTED] або [ВІДПРАВИЛЬНИК НЕ ПІДТВЕРДЖЕНИЙ]. Лист прийшов? Так! Чому позначка з'явилася? Та тому відправляючі листи сервера не працюють за стандартами. Неважливо, чи відкрито лист у веб-інтерфейсі пошти або Outlook/The Bat/іншій програмі, позначка про не засвідченого відправника буде видно. Ось чому цього не зробили давно — це мені не відомо.