Testerzy penetracyjni odgrywają kluczową rolę w identyfikowaniu i eliminowaniu luk w zabezpieczeniach organizacji, w tym w zabezpieczeniach poczty elektronicznej. Rozumiejąc DMARC i jego działanie, testerzy penetracyjni mogą lepiej ocenić zabezpieczenia poczty elektronicznej organizacji i pomóc zapewnić, że ich klienci są chronieni przed atakami opartymi na poczcie elektronicznej.
Jak wynika z raportu Global DMARC Adoption Report-2019, 69.6% z 500 największych domen sprzedawców internetowych w Unii Europejskiej nie używa DMARC. Współczesne testy penetracyjne słabo uwzględniają bezpieczeństwo poczty elektronicznej, co musi się zmienić, aby stworzyć bezpieczniejszy krajobraz cyfrowy.
Dlaczego uwierzytelnianie poczty elektronicznej ma znaczenie?
Testy penetracyjne to proces polegający na próbie autoryzowanego, symulowanego ataku na infrastrukturę informatyczną systemu, w tym domeny wysyłające wiadomości e-mail, w celu znalezienia luk bezpieczeństwa. Istnieją 3 główne powody, dla których uwierzytelnianie wiadomości e-mail dla testerów penetracyjnych ma znaczenie.
Zapobieganie oszustwom
Źli aktorzy wykorzystują skrzynki pocztowe, które nie są zbudowane z silnych domyślnych protokołów bezpieczeństwa. Oszukują i zwabiają ofiary do udostępnienia poufnych danych, przekonując je, że wiadomości e-mail pochodzą z legalnych źródeł. Razem SPF, DKIM i DMARC zapobiegają temu, pozwalając tylko autoryzowanym podmiotom na wysyłanie e-maili za pomocą oficjalnych domen.
Ochrona wizerunku marki
Nauka uwierzytelniania poczty elektronicznej dla testerów penetracyjnych ma znaczenie, ponieważ zapobiega atakom próbowanym w imieniu Twojej marki, co w konsekwencji chroni jej wizerunek.
Zwiększona dostarczalność wiadomości e-mail
Odrzucanie wiadomości e-mail nie tylko utrudnia kampanie PR, marketingowe i sprzedażowe, ale także powoduje niski wskaźnik dostarczalności wiadomości e-mail. Wskaźnik dostarczalności wiadomości e-mail to zdolność do dostarczania wiadomości e-mail do skrzynek odbiorczych odbiorców i nie oznaczania ich jako spamu lub odrzuceń. Dowiedz się więcej o jak uwierzytelnianie poczty e-mail pomaga poprawić dostarczalność wiadomości e-mail.
Czym są SPF, DKIM i DMARC?
SPF, DKIM i DMARC to protokoły uwierzytelniania wiadomości e-mail, które weryfikują autentyczność nadawcy wiadomości, aby upewnić się, że pochodzi ona z podanego źródła. Domeny, które nie są zgodne z tymi protokołami, mogą spotkać się z tym, że ich e-maile zostaną oznaczone jako spam lub odesłane. Nie tylko to, ale również aktorzy zagrożeń mogą z łatwością podszywać się pod nie i wysyłać fałszywe wiadomości do ludzi, prosząc ich o udostępnienie poufnych danych lub dokonanie transakcji finansowych.
Jak działa SPF?
SPF lub Sender Policy Framework to sposób uwierzytelniania emaili uwierzytelniania dla testerów penetracyjnych, gdzie tworzona jest lista serwerów dopuszczonych do wysyłania maili i dodawana do DNS domeny. Wszelkie serwery wysyłające spoza listy są oflagowane.
Jak działa DKIM?
DKIM lub DomainKeys Identified Mail umożliwia właścicielom domen podpisywanie nagłówków e-maili, które pomagają w procesie weryfikacji. DKIM działa na koncepcji kryptografii, ponieważ obejmuje podpis cyfrowy. Otrzymujesz parę kluczy publicznych i prywatnych; pierwszy jest przechowywany na DNS dla otwartego dostępu, a drugi jest potajemnie przechowywany z serwerem wysyłającym.
Serwer odbiorcy dopasowuje oba klucze; jeśli dopasowanie jest udane, weryfikacja DKIM przechodzi, w przeciwnym razie kończy się niepowodzeniem. Istnieje pozytywny wpływ polityki DKIM na dostarczalność poczty i działania antyspamowe.
Jak działa DMARC?
DMARC to skrót od Domain-based Message Authentication Reporting and Conformance. Działa on w koordynacji z SPF i DKIM.
DMARC jest odpowiedzialny za informowanie skrzynki pocztowej odbiorcy, jak traktować wiadomości e-mail wysyłane z Twojej domeny, które nie przejdą weryfikacji SPF i/lub DKIM. Możesz wybrać jedną z trzech polityk DMARC p=none (żadne działania nie są podejmowane w stosunku do wiadomości e-mail, które nie przeszły kontroli uwierzytelniania), p=quarantine (wiadomości e-mail, które nie przeszły kontroli uwierzytelniania są oznaczane jako spam) lub p=reject (wiadomości e-mail, które nie przeszły kontroli uwierzytelniania są odrzucane).
Jak testerzy penetracyjni wykorzystują błędną konfigurację DMARC?
Jako testerzy penetracyjni możecie przeprowadzić symulowany atak w celu wykrycia podatności na uwierzytelnianie poczty elektronicznej w obserwowanej domenie. Oto jak możecie postąpić.
Uzyskanie domeny
Pierwszy krok uwierzytelniania e-maili dla testerów penetracyjnych obejmuje posiadanie domeny do zainstalowania spoofera pocztowego i wysyłania e-maili poprzez podszywanie się pod firmę. Możesz użyć dowolnego dostawcy domeny, który pasuje do Twoich wymagań i budżetu.
Konfiguracja domeny
Jak już będziesz miał domenę, dodaj ją do panelu DNS. Usuń to, co znajduje się pod panelem "Zarządzanie DNS", aby zasymulować atak. Po tym należy podmienić dany serwer nazw w panelu dostawcy domeny. Otrzymasz klucz API do pliku konfiguracyjnego dla nadchodzących kroków w twoim wiertle uwierzytelniania poczty elektronicznej dla testerów penetracyjnych.
Konfiguracja VPS
Zwróć uwagę, że możesz potrzebować powtórzyć ten krok, jeśli Twoje IP VPS ma słabą reputację, ponieważ w takiej sytuacji Twoje e-maile nie są dostarczane.
Ponieważ VPS nie zużywa dużo zasobów, możesz wybrać niedrogi VPS i nadal uzyskać poprawnie działającą instancję. Pamiętaj, aby ustawić nazwę hosta dokładnie tak, jak nazwę domeny, w przeciwnym razie nie będziesz w stanie symulować ataku.
Użyj następujących poleceń:
apt-get install git
apt-get update && apt-get install docker-compose
Następnie skopiuj repozytorium GitHub i przejdź do "Newly Created Directory", gdzie musisz edytować ustawienia i dodać swoją domenę oraz klucz API.
Po wykonaniu tych kroków wpisz 'docker-compose up' i poczekaj kilka minut na uruchomienie serwera www.
Wysyłanie e-maili phishingowych
Na koniec wyślij wiadomość phishingową do celów, aby uzyskać przegląd błędnej konfiguracji DMARC.
Raport z testu penetracyjnego
Teraz, gdy wiesz już wystarczająco dużo o uwierzytelnianiu poczty elektronicznej dla testerów penetracyjnych i jak wykorzystać błędną konfigurację DMARC, ważne jest, aby sporządzić zaległy raport po symulacji ataku.
Oto cztery rzeczy, które warto dodać do profesjonalnego raportu z pen testu.
1. Streszczenie Kierunków Strategicznych
Obejmuje ona wysokopoziomowe spojrzenie na ryzyko i wpływ luk w uwierzytelnianiu wiadomości e-mail w prostym języku angielskim (lub innym preferowanym języku). Ta część jest zwykle przeznaczona dla kadry kierowniczej, która może nie być zbyt dobrze zorientowana w terminologii technicznej.
2. Objaśnienia dotyczące ryzyka technicznego
Musisz ocenić intensywność zagrożeń, aby zespół IT mógł wykonać szybki i skuteczny ruch w celu załatania luk w systemie poczty elektronicznej.
3. Potencjalny wpływ podatności
Ryzyka związane z bezpieczeństwem poczty elektronicznej są podzielone na dwie części - prawdopodobieństwo i potencjalny wpływ. Pomaga to zespołowi naprawczemu w ustaleniu priorytetów naprawiania podatności w zależności od ich potencjalnego wpływu.
4. Wiele metod naprawczych
Upewnij się, że sugerowane przez Ciebie metody naprawcze to coś więcej niż tylko całkowite wyłączenie domeny lub kont e-mail. Uwzględnij metody takie jak wyszukiwanie rekordów, SPF record flattening, bardziej rygorystyczne polityki DMARC, itp.
Ochrona domeny przed zagrożeniami bezpieczeństwa poczty elektronicznej
Wiedza na temat uwierzytelniania poczty elektronicznej dla testerów penetracyjnych jest ważna dla ochrony zasobów cyfrowych przed phishingiem i spamem. Zgodność z SPF i/lub DKIM jest obowiązkowa dla DMARC ponieważ mówi ona serwerowi odbiorcy jak ma postępować z wiadomościami, które nie przejdą kontroli uwierzytelniania. Można ustawić politykę braku, kwarantanny lub odrzucenia.
PowerDMARC oferuje darmową wersję próbną, aby pomóc Ci rozpocząć podróż DMARC w kierunku bezpieczniejszego środowiska poczty elektronicznej. Skontaktuj się z nami, aby dowiedzieć się więcej.
- Zmiany w NCSC Mail Check i ich wpływ na bezpieczeństwo poczty elektronicznej w brytyjskim sektorze publicznym - 13 grudnia 2024 r.
- PowerDMARC nazwany liderem G2 w oprogramowaniu DMARC po raz 4. w 2024 roku - 6 grudnia 2024 r.
- Naruszenie danych i phishing e-mailowy w szkolnictwie wyższym - 29 listopada 2024 r.