Что такое SPF Permerror?

SPF=Permerror означает, что существует фундаментальная проблема с записью SPF, из-за чего невозможно определить, авторизован ли отправляющий сервер или нет.

Что такое ограничение на 10 DNS-поисков?

Во время SPF-проверки каждый раз, когда письмо отправляется с вашего домена, почтовый сервер получателя выполняет DNS-запросы, также известные как DNS-поиск, чтобы проверить наличие авторизованных IP-адресов в вашем DNS и сопоставить их с теми, что указаны в заголовке обратного пути полученного письма. Однако RFC ограничивает количество DNS-запросов до 10. Это известно как ограничение на 10 DNS-поисков.

Превышаю ли я лимит SPF Too Many DNS Lookups?

Если вы беспокоитесь о превышении лимита поиска для SPF, вы можете мгновенно проверить свою запись с помощью нашего инструмента проверки SPF-записей.

Как исправить SPF Permerror?

Более эффективным способом избежать ошибок SPF является использование автоматического и необременительного инструмента для сглаживания SPF - например, PowerSPF!

EchoSpoofing: Эксплойт для маршрутизации электронной почты с объяснениями

Не секрет, что аутентификация по электронной почте может быть довольно уязвимой. Это особенно актуально, когда письма пересылаются с измененными заголовками, измененными темами или удаленными вложениями. Эти незначительные изменения могут скомпрометировать подпись DKIM.

Для решения этой проблемы были созданы различные шлюзы безопасной электронной почты (SEG). Эти SEG могут решать проблемы аутентификации измененных электронных писем путем повторной аутентификации. Хотя этот метод достаточно хорош для смягчения последствий сбоев аутентификации, он создает новые риски.

К сожалению, в марте 2024 года в службе ретрансляции электронной почты Proofpoint была обнаружена уязвимость. Она позволяла различным злоумышленникам использовать настройки конфигурации. Это недостаток маршрутизации электронной почты позволяла злоумышленникам отправлять миллионы поддельных сообщений.

В этой статье вы узнаете все о EchoSpoofing и недавнем эксплойте для маршрутизации электронной почты.

Ключевые выводы

Уязвимости аутентификации электронной почты могут быть усугублены недостатками конфигурации служб ретрансляции электронной почты.
Техника EchoSpoofing позволяет злоумышленникам использовать доверенные почтовые сервисы для отправки поддельных писем.
Недавняя проблема с конфигурацией систем ретрансляции электронной почты позволила злоумышленникам выдавать себя за легитимные домены без надлежащих фильтров.
Даже принимая меры безопасности, организации должны сохранять бдительность в отношении эволюционирующих угроз, связанных с электронной почтой.
Внедрение строгих политик DMARC поможет предотвратить выдачу себя за домена и повысить безопасность электронной почты.

Понимание эксплойта маршрутизации электронной почты

Злоумышленники нашли способ использовать уязвимость в службах ретрансляции электронной почты - настройке, принимающей электронные письма от любого арендатора Microsoft 365. После получения этих писем они проходят повторную аутентификацию путем добавления новой и действительной подписи DKIM.

Дефект в настройках конфигурации позволяет злоумышленникам подделать любое доменное имя. Это позволяет им отправлять электронные письма, которые кажутся исходящими от законных источников, в серии фишинговых кампаний, получивших название "EchoSpoofing".

Защититесь от эхо-спуфинга с помощью PowerDMARC!

15-дн. пр. версия Заказать демо

Что такое EchoSpoofing?

Эксплойт получил название "EchoSpoofing" от Gaurdio Labs. Это техника, с помощью которой злоумышленники отправляют электронные письма с SMTP-серверов. Эти SMTP-серверы размещаются на виртуальных частных серверах (VPS), и отправленные сообщения легко проходят проверки подлинности электронной почты, включая SPF и DKIM. Такие письма EchoSpoofing имитируют легитимные письма от надежных отправителей.

Microsoft 365 позволяет отправлять электронные письма с любого домена по выбору пользователя. Хотя хакеры, использующие EchoSpoofing, печально известны тем, что позволяют отправлять электронные письма даже с подозрительных доменов, они использовали этот недостаток для маршрутизации сообщений с контролируемых злоумышленниками доменов Office 365. Например, клиенты Proofpoint, авторизовавшие Microsoft 365 в качестве легитимного отправителя, нечаянно попадали в неприятности. Эти подконтрольные злоумышленникам арендаторы Office 365 получали возможность передавать письма EchoSpoofing через свою службу ретрансляции с тегом аутентификации и действительными подписями DKIM.

Последствия эхо-подмены

Если вы являетесь пользователем Microsoft 365 и используете Secure Email Gateways для блокировки вредоносных писем через систему ретрансляции, вам следует проявить осторожность, поскольку любые другие арендаторы Microsoft 365 могут потенциально подделать ваш домен. Поскольку большинство таких SEG не могут явно отфильтровать определенных арендаторов Office 365 и разрешают работу всем им, если вы определили Microsoft в качестве легитимного отправителя, злоумышленники могут легко выдать себя за ваш домен для отправки фишинговых писем.

Поддельные письма, отправленные через эту систему, не отмечаются как подозрительные, даже проходя проверку проверка DMARCи попадают прямо в почтовый ящик вашего получателя.

Масштабы эксплуатации

Атаки были очень масштабными.

Целевые компании

Новый метод "Экоспуфинга" был направлен на различные известные бренды. Среди них - Nike, IBM, Walt Disney, Best Buy и другие компании.

Стратегии реагирования и смягчения последствий

После того как проблема была замечена, были оперативно выпущены различные меры по борьбе с этой уязвимостью. В частности, теперь клиенты могут указывать разрешенных арендаторов Microsoft 365. Клиентов также заверили, что, хотя каждая система маршрутизации электронной почты в той или иной степени уязвима, данные клиентов не были раскрыты или скомпрометированы во время атак.

Обеспечение комплексной безопасности электронной почты с помощью PowerDMARC

Передовая платформа аутентификации электронной почты PowerDMARC на основе искусственного интеллекта обеспечивает безопасность и прозрачность в отношении большинства эксплойтов и угроз, связанных с электронной почтой. Наша технология Threat Intelligence позволяет делать прогнозы на основе данных о моделях и тенденциях угроз, а команда экспертов направляет вас на укрепление системы аутентификации электронной почты.

Подробные API-интерфейсы PowerDMARC позволяют клиентам легко интегрировать нашу платформу с существующими системами безопасности, обеспечивая повышенную безопасность!

Кроме того, мы помогаем владельцам доменов перейти на принудительные политики DMARC, такие как "отказ", что позволяет им эффективно бороться с атаками спуфинга.

Заключительные слова

Эксплойт EchoSpoofing указывает на серьезную уязвимость в системах маршрутизации электронной почты, доказывая, что даже у надежных решений безопасности могут быть "слепые пятна".

Злоумышленникам не в новинку использовать неверные конфигурации в системах электронной почты для обхода проверок подлинности и запуска широкомасштабных фишинговых кампаний. Хотя меры по исправлению ситуации уже приняты, этот инцидент подчеркивает важность проактивной защиты электронной почты, обеспечиваемой командой экспертов.

Чтобы изучить стратегии защиты вашего доменного имени и обеспечить правильную аутентификацию электронной почты - обратитесь к нам. свяжитесь с нами сегодня, чтобы поговорить с одним из наших опытных специалистов.

О сайте
Последние сообщения

Ахона Рудра

Эксперт по безопасности доменов и электронной почты в PowerDMARC

Аона - менеджер по маркетингу в PowerDMARC, имеет более чем 5-летний опыт написания статей на темы кибербезопасности, специализируясь на безопасности доменов и электронной почты. Ахона получила диплом о высшем образовании по специальности "Журналистика и коммуникации", а с 2019 года начала работать в сфере безопасности.

Последние сообщения Ахона Рудра (см. все)

Что такое EchoSpoofing? Понимание эксплойтов маршрутизации электронной почты