LaunDroMARC: Jak Microsoft SRS pozwala na przepuszczanie fałszywych wiadomości e-mail

Kluczowe wnioski

Przekazywanie wiadomości e-mail może nieumyślnie ominąć zabezpieczenia DMARC.
System SRS firmy Microsoft może „wyprać” złośliwe wiadomości e-mail, sprawiając, że wyglądają one na wiarygodne.
LaunDroMARC ma wpływ zarówno na wiadomości przekazywane wewnętrznie, jak i zewnętrznie.
Ciągłe monitorowanie i widoczność mają kluczowe znaczenie dla bezpieczeństwa poczty elektronicznej.
PowerDMARC zapewnia narzędzia do wykrywania i ograniczania takich luk w przekazywaniu wiadomości.

Badacz bezpieczeństwa Aaron Hart badał przypadek, który wyglądał na zwykłą próbę przejęcia konta służbowego. Jednak im głębiej się w to zagłębiał, tym bardziej sprawa stawała się dziwna. Wszystko w tym ataku wyglądało na dopracowane i wiarygodne: domena nadawcy, wyniki uwierzytelniania i ścieżka, jaką przeszła wiadomość e-mail.

Jednak stało się coś niemożliwego. E-mail, który nie przeszedł weryfikacji DMARC u nadawcy w magiczny sposób przeszedł test DMARC po przekazaniu przez Microsoft Exchange Online.

To nie powinno być możliwe. Ale było – i działo się tak z powodu efektu ubocznego schematu Sender Rewriting Scheme (SRS) .

Ten blog wyjaśnia tę kwestię prostym językiem, pierwotnie udostępniony przez Engage Security, wyjaśniając, jak działa ta luka i jak organizacje mogą wykrywać i ograniczać ryzyko.

W jaki sposób Microsoft SRS powoduje obejście DMARC

Podczas dochodzenia Aaron zauważył:

Wiadomość e-mail rzekomo pochodziła z zaufanej domeny wewnętrznej (ORG 1).
Została dostarczona do skrzynki odbiorczej użytkownika w innej organizacji (ORG 2).
ORG 2 uznał wiadomość za całkowicie uwierzytelnioną, tj. zgodną z SPF i DMARC.
Jednak oryginalna wiadomość e-mail wysłana do ORG 1 przez atakującego nie przeszedł weryfikacji DMARC.
Przekierowanie SRS firmy Microsoft zmieniło adres MAIL FROM podczas przekierowania.
Przepisany MAIL FROM zapewnił zgodność, dzięki czemu DMARC przeszedł dalej.

W skrócie: Fałszywa wiadomość e-mail , który powinien zostać odrzucony został przekazany dalej, przepisany i „wyczyszczony”, a następnie dostarczony jako wiadomość zaufana. Spowodowało to rzeczywiste przejęcie konta i nie był to odosobniony przypadek.

Dlaczego to ma znaczenie

Przekazywanie wiadomości e-mail jest niezwykle powszechne w organizacjach:

Konsultanci przekazujący wiadomości e-mail od klientów
Członkowie zarządu przekazujący adresy firmowe do prywatnych skrzynek pocztowych
Współdzielone skrzynki pocztowe lub listy dystrybucyjne przekazujące pocztę na zewnątrz
Grupy współpracy międzyorganizacyjnej

Od 2023 r. firma Microsoft włączyła funkcję SRS dla wszystkich dzierżawców Exchange Online, zamierzając naprawić błędy SPF spowodowane przekazywaniem wiadomości e-mail. Niestety, ta poprawka spowodowała nowy problem: przekazywane złośliwe wiadomości e-mail są teraz w pełni uwierzytelniane, nawet jeśli pierwotnie nie przeszły weryfikacji DMARC.

Zjawisko to nazwano obecnie „LaunDroMARC” , ponieważ proces przekazywania dosłownie „wypłukuje” złośliwe wiadomości.

Krótkie przypomnienie: SMTP, SPF, DKIM i DMARC

MAIL FROM vs FROM

MAIL FROM (Koperta od): niewidoczna dla użytkowników i używana do obsługi odrzuconych wiadomości.
OD: widoczny nadawca w skrzynce odbiorczej.

SPF

Sender Policy Framework weryfikuje, czy serwer wysyłający ma prawo wysyłać wiadomości e-mail dla domeny MAIL FROM. SPF nie weryfikuje widocznego adresu FROM i nie działa w przypadku przekazywania wiadomości (przekazujący nie znajdują się w rekordzie SPF nadawcy).

DKIM

DomainKeys Identified Mail cyfrowo podpisuje nagłówki wiadomości e-mail, w tym nagłówek FROM. Atakujący mogą potencjalnie podpisać DKIM swoje własne złośliwe domeny, co stanowi jedną ze słabości protokołu.

DMARC

Domain-based Message Authentication, Reporting, and Conformance (DMARC) rozwiązuje problemy związane z dopasowaniem, wymagając, aby domena MAIL FROM była zgodna z domeną FROM lub domena podpisująca DKIM była zgodna z domeną FROM, aby przejść proces uwierzytelniania. Jeśli dopasowanie nie powiedzie się, domena polityka DMARC informuje odbiorców, czy należy dostarczyć, poddać kwarantannie, czy odrzucić wiadomość.

DMARC znacznie ograniczył spoofing do momentu, gdy ta luka ponownie go wprowadziła.

Gdzie nastąpiło załamanie: wdrożenie SRS przez Microsoft

SRS zostało wprowadzone, aby zapobiegać awariom SPF podczas przekazywania. Jednak implementacja Microsoftu ma istotną lukę:

Microsoft przepisuje MAIL FROM nawet wtedy, gdy:

Oryginalna wiadomość e-mail podszywa się pod adres nadawcy domeny przekazującej.
Sfałszowana wiadomość e-mail nie przechodzi weryfikacji DMARC przy pierwszym przeskoku.
Wiadomość pochodzi z domeny kontrolowanej przez atakującego.

Po przepisaniu przy użyciu SRS, MAIL FROM jest teraz zgodny z domeną FROM, co sprawia, że DMARC przechodzi w miejscu docelowym.

Wynik: złośliwa wiadomość e-mail, która normalnie powinna zostać odrzucona przez DMARC, zostaje przekazana dalej, przepisana przez SRS i idealnie dopasowana do rekordów uwierzytelniających domeny przekazującej. W rezultacie jest ona dostarczana do odbiorcy jako w pełni legalna wiadomość. Krótko mówiąc, spoofing poprzez przekazywanie wiadomości e-mail staje się ponownie możliwy, co niweczy ochronę, jaką miało zapewnić DMARC.

Obecnie firma Microsoft nie traktuje tego jako luki w zabezpieczeniach.

Przykładowy scenariusz

Wyobraź sobie, że osoba atakująca kontroluje domenę maliciousmailer.com, z rekordami SPF skonfigurowanymi tak, aby zezwalały na wysyłanie wiadomości z adresu IP 198.51.100.25. Tworzy ona wiadomość e-mail przeznaczoną dla konsultantki Sarah, której służbowy adres e-mail to [email protected], ale jest ona automatycznie przekazywana do jej prywatnej skrzynki pocztowej pod adresem [email protected].

Atakujący ustawia nagłówki wiadomości e-mail w następujący sposób:

WIADOMOŚĆ OD: [email protected]
OD: Sarah [email protected] (sfałszowany, aby wyglądał na wewnętrzny)
Do: [email protected]

Po wysłaniu wiadomość przechodzi weryfikację SPF, ponieważ domena MAIL FROM jest kontrolowana przez atakującego. Gdy wiadomość e-mail dotrze do company.com, Exchange Online przetwarza ją za pomocą SRS: ignoruje błąd DMARC dotyczący sfałszowanego pola FROM, przepisuje pole MAIL FROM, aby dopasować je do domeny przekazującej (np. sarah+SRS=…@company.com), a następnie przekazuje ją do osobistej skrzynki pocztowej Sarah.

W serwisie personalmail.com protokół DMARC jest teraz akceptowany, ponieważ przepisany adres MAIL FROM i widoczny adres FROM są ze sobą zgodne. Wiadomość e-mail trafia do skrzynki odbiorczej Sarah jako wygląda na autentyczną, skutecznie omijając zabezpieczenia, które powinny ją zatrzymać.

Krótko mówiąc, sfałszowana wiadomość, która powinna zostać zablokowana, jest teraz uznawana za wiarygodną przez odbiorcę, co pokazuje, jak SRS może nieumyślnie „wyprać” złośliwe wiadomości e-mail.

Dlaczego LaunDroMARC stanowi zagrożenie dla organizacji

Ta luka jest niebezpieczna, ponieważ użytkownicy naturalnie ufają wiadomościom e-mail, które wydają się pochodzić z ich własnej organizacji lub znanej domeny wewnętrznej. Kiedy złośliwe wiadomości e-mail są przekazywane dalej, omijają one pierwotne kontrole bezpieczeństwa i docierają do odbiorcy jako czyste i legalne.

Atakujący wykorzystują przewidywalne reguły przekazywania wiadomości, aby wykorzystać tę lukę, podczas gdy zespoły ds. bezpieczeństwa często koncentrują się na zagrożeniach przychodzących, a nie na przekazywanych wiadomościach. W rezultacie ta luka otwiera drzwi do poważnych zagrożeń, w tym kradzieży poufnych danych, zbierania danych uwierzytelniających, wewnętrznego spear-phishingu, a nawet ataków polegających na podszywaniu się pod dostawców w łańcuchu dostaw.

Co Microsoft mógłby naprawić

Istnieje kilka prostych środków zaradczych, które firma Microsoft mogłaby wdrożyć:

Nie należy przepisywać MAIL FROM za pośrednictwem SRS, jeśli nagłówek FROM należy do domeny przekazującej, ale nie spełnia wymogów DMARC przy pierwszym przeskoku.
Stosuj SRS tylko do wiadomości, które przeszły weryfikację DMARC od nadawcy.
Porównaj nagłówki Authentication-Results przed i po przekazaniu.
Jeśli nie są one zgodne, poddaj wiadomość kwarantannie.

Jak organizacje mogą wykrywać LaunDroMARC

1. Domena przekazywania (Exchange Online)

Możesz wykryć potencjalne nadużycia, szukając wiadomości e-mail, w których domena MAIL FROM jest zewnętrzna, ale nagłówek FROM wydaje się należeć do Twojej organizacji. Wiadomości te często wykazują wzorzec przechodzenia SPF przy jednoczesnym niepowodzeniu DMARC: jest to sygnał ostrzegawczy w kontekście przepisywania SRS. Gdy te same wiadomości są później przekazywane dalej, staje się to wyraźnym wskaźnikiem, że reguły przekazywania są wykorzystywane do przekazywania sfałszowanych lub złośliwych treści.

2. Domena ostatecznego odbiorcy

Jeśli wiadomość e-mail wykazuje zgodność między widocznym adresem nadawcy (FROM) a przepisanym adresem MAIL FROM, ale oryginalna domena MAIL FROM ukryta w wartości SRS nie pasuje do żadnego z nich, jest to wyraźna wskazówka, że wiadomość została „wyprana” poprzez przekazanie dalej i może być fałszywą lub złośliwą wiadomością e-mail.

Perspektywa PowerDMARC

Jako platforma poświęcona wzmacnianiu globalnej autoryzacji poczty elektronicznej, kwestie takie jak LaunDroMARC podkreślają, dlaczego monitorowanie i widoczność są równie ważne jak egzekwowanie. Nawet jeśli standardy takie jak DMARC są wdrażane prawidłowo, luki we wdrożeniu u dostawców skrzynek pocztowych mogą powodować powstanie luk w zabezpieczeniach, nad którymi nie masz kontroli.

PowerDMARC pomaga organizacjom:

Analizuj wyniki uwierzytelniania we wszystkich przeskokach
Wykrywanie anomalii wyrównania i zachowań związanych z przekazywaniem
Otrzymuj powiadomienia w czasie rzeczywistym o próbach spoofingu
Zrozum, w jaki sposób systemy zewnętrzne obsługują przekazywane wiadomości e-mail.
Monitoruj ruch międzydomenowy pod kątem wzorców spoofingu.
Zachowaj widoczność ataków wykorzystujących łańcuchy przekazywania

Skorzystaj z bezpłatną wersję próbną lub umów się na prezentację z jednym z naszych wewnętrznych ekspertów, aby już dziś zacząć chronić swoją domenę!

Przemyślenia końcowe

Problem LaunDroMARC ponownie otwiera wektor ataku, który DMARC miał powstrzymać, umożliwiając ponownie fałszowanie domen wewnętrznych poprzez przekazywanie poczty. Chociaż firma Microsoft obecnie postrzega to jako „niskie ryzyko”, rzeczywiste naruszenia bezpieczeństwa dowodzą czegoś innego.

Organizacje korzystające z Microsoft 365 muszą być świadome tej luki w przekazywaniu wiadomości i wprowadzić dodatkowe środki wykrywania.

O
Latest Posts

Ahona Rudra

Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC

Ahona jest Marketing Managerem w PowerDMARC, z ponad 5-letnim doświadczeniem w pisaniu na tematy związane z cyberbezpieczeństwem, specjalizującym się w bezpieczeństwie domen i poczty elektronicznej. Ahona posiada dyplom ukończenia studiów podyplomowych w zakresie dziennikarstwa i komunikacji, umacniając swoją karierę w sektorze bezpieczeństwa od 2019 roku.

Latest posts by Ahona Rudra (zobacz wszystkie)

Studium przypadku DMARC dla dostawców usług zarządzanych (MSP): Jak firma Digital Infinity IT Group usprawniła zarządzanie protokołami DMARC i DKIM dla klientów dzięki PowerDMARC - 21 kwietnia 2026 r.
Czym jest DANE? Wyjaśnienie uwierzytelniania nazwanych podmiotów w oparciu o DNS (2026) - 20 kwietnia 2026 r.
Podstawy bezpieczeństwa VPN: najlepsze praktyki w zakresie ochrony prywatności – 14 kwietnia 2026 r.

LaunDroMARC: Jak luka w systemie Microsoft SRS umożliwia pranie fałszywych wiadomości e-mail