Qu'est-ce que le SPF Permerror ?

SPF=Permerror indique qu'il y a un problème fondamental avec l'enregistrement SPF, ce qui rend impossible de déterminer si le serveur expéditeur est autorisé ou non.

Quelle est la limite de 10 recherches DNS ?

Pendant la vérification SPF, chaque fois qu'un courriel est envoyé à partir de votre domaine, le serveur de courriel de votre destinataire effectue des requêtes DNS, également connues sous le nom de "DNS lookups", pour vérifier la présence d'adresses IP autorisées dans votre DNS et les faire correspondre à celles figurant dans l'en-tête "return-path" (chemin de retour) du courriel reçu. Cependant, la RFC limite le nombre de requêtes DNS à 10. C'est ce qu'on appelle la limite de 10 consultations DNS.

Suis-je en train de dépasser la limite de SPF Too Many DNS Lookups ?

Si vous craignez de dépasser la limite de consultation pour SPF, vous pouvez vérifier votre enregistrement instantanément à l'aide de notre outil de vérification de l'enregistrement SPF.

Comment réparer le SPF Permerror ?

Un moyen plus efficace d'éviter les erreurs SPF est de déployer un outil d'aplatissement SPF qui est automatique et sans tracas - comme PowerSPF !

EchoSpoofing : Explication de l'exploit de routage d'emails de Proofpoint

Ce n'est pas un secret que l'authentification par courrier électronique peut être assez vulnérable. C'est particulièrement vrai lorsque les courriels sont transmis avec des en-têtes modifiés, des lignes d'objet changées ou des pièces jointes supprimées. Ces changements mineurs peuvent compromettre la signature DKIM.

Diverses passerelles de messagerie sécurisée (SEG), telles que Proofpoint, ont été introduites pour résoudre ce problème. Ces SEG peuvent résoudre les problèmes d'authentification des courriels modifiés en les réauthentifiant. Bien que cette méthode soit suffisamment efficace pour atténuer les échecs d'authentification, elle soulève de nouveaux risques.

Malheureusement, une vulnérabilité a été détectée dans le service de relais de messagerie de Proofpoint, en mars 2024. Elle a permis à divers acteurs malveillants d'exploiter un paramètre de configuration. Cette faille de routage faille de routage des courriels de Proofpoint a permis aux attaquants d'envoyer des millions de messages usurpés.

Dans cet article, vous apprendrez tout sur l'EchoSpoofing et le récent exploit de routage d'emails de Proofpoint.

Points clés à retenir

Les vulnérabilités liées à l'authentification du courrier électronique peuvent être aggravées par des défauts de configuration dans les services de relais de courrier électronique.
La technique EchoSpoofing permet aux attaquants d'exploiter des services de messagerie électronique de confiance pour envoyer des courriels usurpés.
Le récent problème de configuration de Proofpoint a permis à des acteurs malveillants d'usurper l'identité de domaines légitimes sans filtre approprié.
Même si des mesures de sécurité sont en place, les entreprises doivent rester vigilantes face à l'évolution des menaces liées au courrier électronique.
La mise en œuvre de politiques DMARC strictes peut contribuer à prévenir l'usurpation d'identité d'un domaine et à renforcer la sécurité du courrier électronique.

Comprendre l'exploit de routage d'e-mails de Proofpoint

Des acteurs malveillants ont trouvé le moyen d'exploiter une vulnérabilité dans le service de relais de messagerie de Proofpoint, un paramètre de configuration qui accepte les courriels de n'importe quel locataire de Microsoft 365. Après avoir reçu ces courriels, Proofpoint les réauthentifie en ajoutant une nouvelle signature DKIM valide.

La faille dans les paramètres de configuration permet aux auteurs d'usurper n'importe quel nom de domaine. Ils peuvent ainsi envoyer des courriels semblant provenir de sources légitimes, dans le cadre d'une série de campagnes d'hameçonnage appelées "EchoSpoofing".

Protégez-vous contre l'usurpation d'identité avec PowerDMARC !

15 jours d'essai Réservez une démo

Qu'est-ce que l'EchoSpoofing ?

L'exploit a été baptisé "EchoSpoofing" par Gaurdio Labs. Il s'agit d'une technique par laquelle les attaquants envoient des courriels à partir de serveurs SMTP. Ces serveurs SMTP sont hébergés sur des serveurs privés virtuels (VPS), et les messages envoyés passent facilement les contrôles d'authentification des courriels, notamment les contrôles SPF et DKIM. Ces courriels d'EchoSpoofing imitent des courriels légitimes provenant d'expéditeurs de confiance.

Microsoft 365 permet d'envoyer des courriels à partir de n'importe quel domaine choisi par l'utilisateur. Bien qu'il soit connu pour permettre l'envoi de courriels à partir de locataires même suspects, les pirates de l'exploit EchoSpoofing ont utilisé cette faille pour acheminer des messages à partir de locataires Office 365 contrôlés par les attaquants. Les clients de Proofpoint qui autorisent Microsoft 365 en tant qu'expéditeur légitime se sont retrouvés en difficulté par inadvertance. Ces locataires Office 365 contrôlés par les attaquants ont reçu un laissez-passer pour relayer les courriels EchoSpoofing via le service de relais de Proofpoint avec une étiquette d'authentification et des signatures DKIM valides.

Proofpoint, dans son article expliquant l'attaque, a révélé que "La cause première est une fonction de configuration de routage des courriels modifiable sur les serveurs de Proofpoint pour permettre le relais des messages sortants des organisations à partir des locataires Microsoft 365, mais sans spécifier quels locataires M365 autoriser."

Conséquences de l'écho-spoofing

Si vous êtes un utilisateur de Microsoft 365 et que vous utilisez Secure Email Gateway de Proofpoint pour bloquer les courriels malveillants via un système de relais, vous devez faire preuve de prudence car tout autre locataire de Microsoft 365 peut potentiellement usurper votre domaine. Comme Proofpoint ne peut pas explicitement filtrer des locataires Office 365 spécifiques et les autorise tous, si vous avez défini Microsoft comme un expéditeur légitime - des acteurs malveillants peuvent facilement usurper l'identité de votre domaine pour envoyer des courriels de phishing.

Les courriers électroniques usurpés envoyés par l'intermédiaire de ce système ne sont pas signalés comme suspects, même s'ils passent le contrôle contrôle DMARCet atterrissent directement dans la boîte de réception de votre destinataire.

L'ampleur de l'exploitation

Les attaques ont eu une portée considérable.

Entreprises ciblées

La nouvelle méthode "Ecospoofing" a ciblé plusieurs marques connues. Il s'agit notamment de Nike, IBM, Walt Disney et Best Buy.

Stratégies de réponse et d'atténuation de Proofpoint

Après que le problème a été remarqué, Proofpoint a publié diverses mesures pour contrer rapidement cette vulnérabilité. Parmi celles-ci, les clients peuvent désormais spécifier les locataires Microsoft 365 autorisés. Proofpoint a rassuré ses clients sur le fait que, bien que chaque système d'acheminement du courrier électronique soit vulnérable dans une certaine mesure, les données des clients n'ont pas été exposées ou compromises au cours des attaques.

Opter pour une sécurité du courrier électronique complète avec PowerDMARC

La plateforme d'authentification par courriel de PowerDMARC, alimentée par l'IA, offre à la fois sécurité et visibilité en ce qui concerne la plupart des exploits et des menaces par courriel. Notre technologie de renseignement sur les menaces est capable de faire des prédictions basées sur des données sur les modèles et les tendances des menaces, avec une équipe d'experts qui vous guide dans le renforcement de votre posture d'authentification par courrier électronique.

Les API détaillées de PowerDMARC permettent aux clients d'intégrer de manière transparente notre plateforme à leurs systèmes de sécurité existants, y compris les SEG comme Proofpoint, ce qui renforce la sécurité !

En outre, nous aidons les propriétaires de domaines à passer à des politiques DMARC appliquées telles que le "rejet", ce qui leur permet de lutter efficacement contre les attaques par usurpation d'identité.

Le mot de la fin

L'exploit EchoSpoofing met en évidence une vulnérabilité importante dans le système d'acheminement du courrier électronique de Proofpoint, ce qui prouve que même les solutions de sécurité fiables peuvent avoir des angles morts.

Les attaquants n'en sont pas à leur premier coup d'essai en matière de mauvaise configuration des systèmes de messagerie pour contourner les contrôles d'authentification et lancer des campagnes de phishing à grande échelle. Bien que Proofpoint ait pris des mesures correctives, cet incident souligne l'importance d'une sécurité proactive du courrier électronique assurée par une équipe d'experts.

Pour explorer les stratégies de protection de votre nom de domaine et mettre en œuvre correctement l'authentification de votre email - contactez-nous dès aujourd'hui pour parler à l'un de nos professionnels chevronnés.

À propos de
Derniers messages

Ahona Rudra

Expert en sécurité des domaines et des courriels chez PowerDMARC

Ahona est la responsable du marketing chez PowerDMARC, avec plus de 5 ans d'expérience dans l'écriture sur des sujets de cybersécurité, spécialisée dans la sécurité des domaines et des courriels. Ahona est titulaire d'un diplôme de troisième cycle en journalisme et communication, solidifiant sa carrière dans le secteur de la sécurité depuis 2019.

Derniers messages de Ahona Rudra (voir tous)

Pourquoi les courriels sans réponse sont un danger pour la cybersécurité - 20 mars 2025
Les meilleurs analyseurs de domaine pour la sécurité des emails en 2025 - 19 mars 2025
PowerDMARC s'associe à Loons Group pour renforcer la sécurité des courriels au Qatar - 13 mars 2025

Qu'est-ce que l'EchoSpoofing ? Exploit de routage d'emails de Proofpoint