主页 / server / 问题 / 808775
Accepted
davidgo
Asked: 2016-10-13 23:26:11 +0800 CST

这封电子邮件如何颠覆 SPF 检查?

  • 772

我运行的邮件服务器似乎可以正确处理设置了 SPF 的电子邮件 - 但是我已经开始接收声称来自银行的虚假电子邮件 - 发件人地址设置为银行 - 但绝对不是来自银行。

电子邮件的相关标题如下:

Delivered-To: [email protected]
Received: from mail.mydomain.org (localhost [127.0.0.1])
    by mail.mydomain.org (Postfix) with ESMTP id AD4BB80D87
    for <[email protected]>; Thu, 13 Oct 2016 20:04:01 +1300 (NZDT)
Received-SPF: none (www.tchile.com: No applicable sender policy available) receiver=mydomain.org; identity=mailfrom; envelope-from="[email protected]"; helo=www.tchile.com; client-ip=200.6.122.202
Received: from www.tchile.com (www.tchile.com [200.6.122.202])
    (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
    (No client certificate requested)
    by mail.mydomain.org (Postfix) with ESMTPS id 40F6080B9F
    for <[email protected]>; Thu, 13 Oct 2016 20:03:57 +1300 (NZDT)
Received: from www.tchile.com (localhost.localdomain [127.0.0.1])
    by www.tchile.com (8.13.1/8.13.1) with ESMTP id u9D73sOG017283
    for <[email protected]>; Thu, 13 Oct 2016 04:03:55 -0300
Received: (from apache@localhost)
    by www.tchile.com (8.13.1/8.13.1/Submit) id u9D73smu017280;
    Thu, 13 Oct 2016 04:03:54 -0300
Date: Thu, 13 Oct 2016 04:03:54 -0300
Message-Id: <[email protected]>
To: [email protected]
Subject: CANCELLATION_PROCESS.
From: KIWI BANK <[email protected]>
Reply-To: 
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary=029F3E3270D5187AA69203962BF830E3
X-Virus-Scanned: ClamAV using ClamSMTP

这里的关键是 kiwibank.co.nz 是我来自的合法、信誉良好的银行,并且有一个 SPF 记录,内容如下:

kiwibank.co.nz.     13594   IN  TXT "v=spf1 include:_spf.jadeworld.com ip4:202.174.115.25 ip4:202.126.81.240 ip4:202.12.250.165 ip4:202.12.254.165 ip4:66.231.88.80 include:spf.smtp2go.com include:spf.protection.outlook.com -all"

因此,经过一番阅读 - 信封-发件人似乎是正确的,但“发件人”已被伪造。有什么方法可以在不破坏“一般”电子邮件的情况下纠正/减轻这种情况?我注意到我使用 Postfix、Spamassassin 和 policyd (postfix-policyd-spf-perl) - 如果它真的很容易绕过,那么 SPF 有什么意义?

postfix spf

2 个回答

  1. Best Answer

    在这种情况下,他们可能会对您的服务器说这样的话:

    EHLO www.tchile.com
MAIL FROM: [email protected] 
RCPT TO: [email protected]
DATA
Date: Thu, 13 Oct 2016 04:03:54 -0300
Message-Id: <[email protected]>
To: [email protected]
Subject: CANCELLATION_PROCESS.
From: KIWI BANK <[email protected]>
Reply-To: 
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary=029F3E3270D5187AA69203962BF830E3
X-Virus-Scanned: ClamAV using ClamSMTP

The contents of mail...
.

    SMTP 对话(又名“信封”)可以具有与电子邮件标头不同的 From/To。SPF 不检查标题,但它始终是实际显示给最终用户的标题!是的,SMTP 就是这么坏的。是的,SPF就是那么坏。

    最好通过检查 DMARC 而不是仅检查 SPF 来为您服务。DMARC 默认检查 SPF,但它也会检查 From 标头与 SMTP MAIL FROM 的对齐情况(域需要匹配 - 它忽略用户名部分)。作为奖励,您还可以获得 DKIM 支持,这是 SPF 的一个非常有用的附录。

    DMARC 将取决于在 _dmarc.kiwibank.co.nz 设置的 DNS TXT 记录。但目前没有。根据当前的互联网法规状态,这意味着 kiwibank.co.nz 的所有者。根本不在乎受到保护以免受此类欺骗。但是在某些实现中,您可以对所有传入的电子邮件强制执行 DMARC。

    • 13

  2. 因此,经过一番阅读 - 信封-发件人似乎是正确的,但“发件人”已被伪造。有什么方法可以在不破坏“一般”电子邮件的情况下纠正/减轻这种情况?

    验证From标头破坏邮件列表:

    1. foo@yourbank 向 cat-picture-sharing-list@bar 发送邮件。

    2. 邮件列表将接受邮件,

      • Envelope-From类似于 cat-picture-sharing-list-bounce@bar 的东西替换
      • 可能修改回复标题和
      • 将邮件重新发送给所有收件人(例如您)。

    现在您的邮件服务器收到一封邮件

    Envelope-From: cat-picture-sharing-list-bounce@bar
From: foo@yourBank

    从酒吧的邮件服务器发送。

    我注意到我使用 Postfix、Spamassassin 和 policyd (postfix-policyd-spf-perl) - 如果它真的很容易绕过,那么 SPF 有什么意义?

    1. 许多垃圾邮件发送者都懒得发送“正确的”信封发件人。
    2. 您的银行不会(大部分)收到此垃圾邮件的反向散射,因为 NDR 已(或:应该)发送到 Envelope-From 地址。
    3. 基于 Envelope-From 的评分变得更加可靠。如果您(或您信任的某个评分提供商)为所有带有 Envelope-From=...@yourbank 的邮件分配了一个非常负面的垃圾邮件分数,那么垃圾邮件发送者就不能滥用它。
    • 2

相关问题