Специалисты по тестированию на проникновение играют важную роль в выявлении и устранении уязвимостей в системе безопасности организации, включая безопасность электронной почты. Понимая принцип работы DMARC, специалисты по тестированию на проникновение могут лучше оценить защиту организации от атак по электронной почте и обеспечить защиту своих клиентов от атак по электронной почте.
Согласно отчету Global DMARC Adoption Report-2019, 69.6% из 500 крупнейших доменов интернет-магазинов Европейского союза не используют DMARC. Современные тренинги по тестированию на проникновение слабо освещают вопросы безопасности электронной почты, и это необходимо изменить для создания более безопасного цифрового ландшафта.
Почему аутентификация электронной почты имеет значение?
Тестирование на проникновение - это процесс попытки санкционированной имитации атаки на ИТ-инфраструктуру системы, включая домены рассылки электронной почты, с целью поиска уязвимостей в системе безопасности. Существует 3 основные причины, по которым аутентификация электронной почты для специалистов по тестированию на проникновение имеет значение.
Предотвращение мошенничества
Злоумышленники пользуются тем, что почтовые ящики не оснащены надежными протоколами безопасности по умолчанию. Они обманом заставляют жертв сообщать конфиденциальные данные, убеждая их в том, что электронные письма пришли из законных источников. Вместе SPF, DKIM и DMARC предотвращают это, позволяя только уполномоченным организациям отправлять электронные письма с использованием ваших официальных доменов.
Защита имиджа бренда
Изучение аутентификации электронной почты для тестеров на проникновение имеет большое значение, поскольку предотвращает атаки, совершаемые от имени вашего бренда, что, соответственно, защищает имидж бренда.
Улучшенная доставляемость электронной почты
Отскакивание писем не только мешает вашим PR-, маркетинговым и торговым кампаниям, но и является причиной низкого коэффициента доставки электронной почты. Коэффициент доставки электронной почты - это способность доставлять письма в почтовые ящики получателей, не помечая их как спам и не возвращая обратно. Узнайте больше о том. как аутентификация электронной почты помогает повысить ее доставляемость.
Что такое SPF, DKIM и DMARC?
SPF, DKIM и DMARC - это протоколы аутентификации электронной почты, которые проверяют подлинность отправителя письма, чтобы убедиться в том, что оно пришло от того источника, о котором говорится. Домены, не соответствующие этим протоколам, могут обнаружить, что их электронная почта помечается как спам или возвращается обратно. И не только это, но и то, что субъекты угроз могут легко выдавать себя за них и отправлять мошеннические сообщения людям с просьбой сообщить конфиденциальные данные или совершить финансовые операции.
Как работает SPF?
SPF или Sender Policy Framework - это способ аутентификации электронной почты. аутентификации для тестеров на проникновение, где создается список серверов, которым разрешено отправлять электронную почту, и добавляется в DNS вашего домена. Любые серверы-отправители, не входящие в этот список, помечаются.
Как работает DKIM?
DKIM или DomainKeys Identified Mail позволяет владельцам доменов подписывать заголовки электронной почты, что помогает в процессе проверки. DKIM работает на основе концепции криптографии, поскольку включает в себя цифровую подпись. Вы получаете пару открытого и закрытого ключей; первый хранится на DNS для открытого доступа, а второй тайно хранится на сервере-отправителе.
Сервер получателя сопоставляет оба ключа; если совпадение успешно, проверка DKIM проходит, в противном случае - нет. Существует положительное влияние политики DKIM на доставляемость электронной почты и меры по борьбе со спамом.
Как работает DMARC?
DMARC сокращение от Domain-based Message Authentication Reporting and Conformance. Он работает в координации с SPF и DKIM.
DMARC отвечает за информирование почтового ящика получателя о том, как относиться к письмам, отправленным с вашего домена, которые не прошли проверку SPF и/или DKIM. Вы можете выбрать одну из трех политик DMARC p=none (никаких действий не предпринимается против писем, не прошедших проверку подлинности), p=quarantine (письма, не прошедшие проверку подлинности, помечаются как спам) или p=reject (письма, не прошедшие проверку подлинности, возвращаются обратно).
Как тестеры проникновения используют неправильную конфигурацию DMARC?
Как специалисты по тестированию на проникновение, вы можете провести имитацию атаки для обнаружения уязвимостей аутентификации электронной почты в наблюдаемом домене. Вот как вы можете действовать.
Получение своего домена
Первый шаг проверки подлинности электронной почты для тестеров проникновения включает в себя наличие домена для установки почтового спуфера и отправки электронных писем, выдавая себя за предприятие. Вы можете использовать любого поставщика доменов, который соответствует вашим требованиям и бюджету.
Настройка домена
Получив домен, добавьте его в панель DNS. Удалите все, что находится под панелью "Управление DNS", чтобы имитировать атаку. После этого следует заменить данный сервер имен на панели поставщика доменных услуг. Вы получите API-ключ к конфигурационному файлу для последующих шагов по обучению аутентификации электронной почты для тестеров на проникновение.
Настройка VPS
Обратите внимание, что вам может потребоваться повторить этот шаг, если ваши IP-адреса VPS имеют плохую репутацию, поскольку в такой ситуации ваши электронные письма не будут доставлены.
Поскольку VPS не потребляет много ресурсов, можно выбрать недорогой VPS и при этом получить корректно работающий экземпляр. Не забудьте задать имя хоста, точно соответствующее имени вашего домена, иначе вы не сможете имитировать атаку.
Используйте следующие команды:
apt-get install git
apt-get update && apt-get install docker-compose
Затем скопируйте репозиторий GitHub и перейдите в раздел 'Newly Created Directory', где вам нужно отредактировать настройки и добавить свой домен и ключ API.
Когда вы выполните эти шаги, введите 'docker-compose up' и подождите несколько минут, чтобы ваш веб-сервер заработал.
Отправка фишингового письма
Наконец, отправьте фишинговое письмо целевой аудитории, чтобы получить представление о неправильной конфигурации DMARC.
Отчет о пен-тесте
Теперь, когда вы знаете достаточно об аутентификации электронной почты для тестеров проникновения и о том, как использовать неправильную конфигурацию DMARC, важно составить выдающийся отчет после имитации атаки.
Вот четыре вещи, которые следует добавить в профессиональный отчет о пен-тесте.
1. Резюме для стратегического направления
Она включает в себя высокоуровневое представление о рисках и влиянии уязвимостей аутентификации электронной почты на простом английском (или любом другом предпочитаемом языке). Эта часть обычно предназначена для руководителей, которые могут не слишком хорошо разбираться в технических терминах.
2. Объяснение технических рисков
Вам необходимо оценить интенсивность рисков, чтобы ИТ-команда могла быстро и эффективно принять меры по устранению лазеек в системе электронной почты.
3. Потенциальное воздействие уязвимости
Риски, связанные с безопасностью электронной почты, разбиваются на две части - вероятность и потенциальное воздействие. Это помогает команде исправления установить приоритетность устранения уязвимостей в зависимости от их потенциального воздействия.
4. Многочисленные методы устранения последствий
Убедитесь, что предложенные вами методы исправления ситуации - это не просто полное отключение домена или учетных записей электронной почты. Включите такие методы, как поиск записей, сглаживание записей SPF, более строгие политики DMARC и т.д.
Защита вашего домена от рисков, связанных с безопасностью электронной почты
Знание аутентификации электронной почты для тестеров на проникновение важно для защиты цифровых активов от фишинга и спама. Соответствие SPF и/или DKIM является обязательным для DMARC поскольку оно указывает серверу получателя, как поступать с письмами, не прошедшими проверку подлинности. Вы можете установить политику отсутствия, карантина или отклонения.
PowerDMARC предлагает бесплатную пробную версию, чтобы помочь вам начать свой DMARC-путь к более безопасной среде электронной почты. Свяжитесь с нами, чтобы узнать больше.
- Может ли блокчейн помочь повысить безопасность электронной почты? - 9 мая 2024 г.
- Прокси для дата-центров: Раскрытие рабочей лошадки мира прокси - 7 мая 2024 г.
- Kimsuky использует политику DMARC "None" в последних фишинговых атаках - 6 мая 2024 г.