Сообщения

Атаки самозванства, такие как фишинг и спуфинг, могут существенно повлиять на здоровье вашего домена и привести к сбоям аутентификации, компрометации электронной почты и многому другому! Вот почему вам необходимо улучшить защиту от них, начиная с сегодняшнего дня. Существуют различные методы, которые вы можете использовать для обеспечения надлежащей защиты вашей электронной почты от фишинговых и поддельных атак. Давайте обсудим, что это такое!

Протоколы аутентификации электронной почты для предотвращения атак на выдачу себя за другого человека

  1. Структура политики отправителя (SPF)
    Хорошим способом начать является развертывание SPF. Sender Policy Framework, основанная на DNS вашего доменного имени, может подтвердить, что IP-адрес, используемый для отправки электронной почты, имеет на это право. Это предотвращает мошенническое использование вашего доменного имени и не позволяет третьим лицам выдавать себя за вас. Протокол SPF особенно эффективен против фишинговых и спуфинг-атак, поскольку они часто используют такие ошибки. Если почтовый сервер утверждает, что он был отправлен почтовым сервером, IP-адрес которого может быть приписан к вашему домену, то, как правило, операционные системы дважды проверят, прежде чем доставить письмо. Таким образом, почтовые серверы, не соблюдающие SPF, успешно игнорируются. Проще говоря, "протокол SPF" позволяет владельцу домена (например, [email protected]) отправить авторизацию своему DNS-центру.

  2. DomainKeys Identified Mail (DKIM)
    DomainKeys Identified Mail, или DKIM, - это система аутентификации электронной почты, которая использует цифровые подписи для проверки источника и содержания сообщения. Это набор криптографических методов для проверки источника и содержания сообщений электронной почты с целью уменьшения количества спама, фишинга и других форм вредоносной электронной почты. В частности, она использует общие закрытые ключи шифрования для аутентификации отправителя сообщения (ключевым аспектом здесь является то, что только предполагаемый получатель должен обладать этим закрытым ключом), гарантируя, что электронная почта не может быть "подделана" или ложно представлена самозванцами. Это также позволяет уполномоченному получателю обнаружить любые изменения, внесенные в сообщение после его отправки; если организация, ответственная за проверку этих подписей, обнаружит повреждение данных в электронном сообщении, она может просто отклонить его как ложное и уведомить об этом его отправителя.

  3. Аутентификация, отчетность и соответствие сообщений на основе домена (DMARC)
    DMARC существует по нескольким причинам. Во-первых, DMARC дает вам возможность сообщать почтовым серверам, какие сообщения являются легитимными, а какие - нет. Во-вторых, DMARC предоставляет вам отчеты о том, насколько хорошо защищен ваш домен от атак. В-третьих, DMARC помогает защитить ваш бренд от ассоциаций с сообщениями, которые могут повредить вашей репутации. DMARC обеспечивает более надежную защиту от фишинга и подделки, проверяя, что сообщение электронной почты действительно отправлено с домена, о котором в нем говорится. DMARC также позволяет вашей организации запрашивать отчеты о полученных сообщениях. Эти отчеты могут помочь вам расследовать возможные проблемы безопасности и выявить возможные угрозы, такие как заражение вредоносным ПО или фишинговые атаки, направленные на вашу организацию.

Как PowerDMARC может помочь вам защитить ваш домен от фишинговых и спуфинг-атак?

Пакет аутентификации безопасности электронной почты PowerDMARC не только поможет вам в беспрепятственном внедрении протоколов SPF, DKIM и DMARC, но и обеспечит множество дополнительных преимуществ, включая:

  • Сглаживание SPF для обеспечения того, чтобы ваша запись SPF оставалась действительной и не превышала жесткий лимит SPF в 10 поисков
  • BIMI для визуальной идентификации вашей деловой электронной почты. BIMI гарантирует, что электронные письма, поступающие к вашим клиентам, содержат логотип вашего бренда, который они могут заметить еще до того, как откроют сообщение.
  • MTA-STS для шифрования ваших писем при их передаче

Чтобы пользоваться бесплатным DMARCвам нужно только зарегистрироваться и создать учетную запись PowerDMARC без каких-либо дополнительных затрат. Начните свой путь к аутентификации электронной почты вместе с нами для более безопасного использования электронной почты!

Спуфинг - один из самых универсальных видов атак на сегодняшний день. Мошенники просто обожают захватывать имена и адреса электронной почты в сети электронной почты (например, Hotmail, Gmail), чтобы рассылать тысячи поддельных писем, которые выглядят так, будто они отправлены от кого-то, кого вы знаете - например, от генерального директора или руководителя другой компании в вашей отрасли.

Не позволяйте похитителям личных данных подделывать ваш адрес электронной почты. Узнайте, как защититься от подделки электронной почты и почему вас должна волновать эта серьезная угроза информационной безопасности. Давайте разберемся!

Поддельные электронные письма: Что это такое?

Подделка электронной почты - не новое явление, и, похоже, в ближайшее время оно не исчезнет. В некоторых случаях развитие технологий действительно помогает мошенникам обманывать. Существует множество причин, по которым электронное письмо может быть признано поддельным. Наиболее распространенный сценарий - когда злоумышленник захватывает настоящий сервер и использует его для отправки поддельных писем. Самый распространенный способ отправки электронной почты - это использование уязвимого SMTP-сервера. После взлома SMTP-сервера злоумышленники могут отправлять поддельные электронные письма кому угодно.

Фишинг - это серьезная проблема, которая становится только хуже. Последствия подделки могут быть далеко идущими и нанести ущерб крупным брендам, но недавний поток фишинга уже вызвал панику среди пользователей. Предоставив руководство о том, как избежать подделки электронной почты, вы поможете своим пользователям (и себе) избавиться от этой угрозы, а также установите лучшие практики для тех, кто входит в список вашей технической поддержки.

Как поддельные электронные письма могут навредить вам?

Помните ли вы, когда в последний раз нажимали на ссылку в электронном письме, в котором говорилось, что оно получено от компании, которой вы доверяете? Возможно, вы оказались на сайте, который никогда раньше не посещали, потому что отправитель приказал вам перейти по ссылке. Как вы узнали, что этот новый адрес не был попыткой шпионажа за вашими личными данными? Ответ прост: Легальные компании никогда не будут запрашивать по электронной почте такую частную информацию, как имена пользователей, пароли и номера кредитных карт.

Однако если мошеннический источник подделает ваш адрес для отправки таких вредоносных сообщений вашим клиентам, будьте уверены, это нанесет ущерб вашему бизнесу. Доверие и репутация, над созданием которых вы так усердно работали, пострадают от таких атак, а ваши клиенты будут колебаться, прежде чем открывать ваши законные маркетинговые электронные письма.

Как прекратить постоянную отправку писем с поддельными адресами с моего адреса электронной почты?

Сделайте протоколы аутентификации электронной почты частью вашего почтового пакета!

  1. SPF: Одной из основ аутентификации электронной почты, которая поможет вам избежать подделки писем, является SPF. Хотя его настройка не требует особых усилий, его поддержка представляет собой сложную задачу. Часто существует риск превышения лимита в 10 DNS-поисков, что приводит к тому, что электронная почта не проходит проверку подлинности, несмотря на доказанную подлинность. Мы предлагаем вам быстрое решение для обхода этой проблемы с помощью нашего инструмента динамического сглаживания SPF.Создайте SPF-запись сегодня бесплатно с помощью нашего генератора SPF-записей. Генератор SPF-записей.
  2. DKIM: DKIM - это метод подписи всех исходящих сообщений для предотвращения подделки электронной почты. Подделка является распространенным несанкционированным использованием электронной почты, поэтому некоторые почтовые серверы требуют DKIM для предотвращения подделки электронной почты. При его использовании вся ваша исходящая почта будет подтверждена цифровой подписью, которая позволит почтовым серверам узнать, что она действительно пришла от вас.
  3. DMARC: DMARC - это стандарт аутентификации электронной почты для организаций, помогающий защитить их от поддельных и фишинговых атак, которые используют электронную почту, чтобы обманом заставить получателя совершить какое-либо действие. DMARC работает как слой поверх SPF и DKIM, чтобы помочь получателям электронной почты распознать, когда письмо приходит не из одобренных доменов компании, и предоставить инструкции по безопасному удалению неавторизованной почты.

Если вы хотите начать строить свою защиту от спуфинга, мы рекомендуем вам взять пробную версию нашего анализатор отчетов DMARC. Он поможет вам внедрять протоколы с самой высокой скоростью на рынке, быть в курсе ошибок и легко контролировать ваши домены на многоцелевой панели DMARC.

Как поставщику услуг DMARC, нам часто задают этот вопрос: "Если DMARC просто использует SPF и DKIM аутентификацию, зачем нам беспокоиться о DMARC? Разве это не лишнее?"

На первый взгляд может показаться, что это мало что меняет, но реальность совсем другая. DMARC - это не просто комбинация технологий SPF и DKIM, это совершенно новый протокол сам по себе. Он имеет несколько особенностей, которые делают его одним из самых продвинутых стандартов аутентификации электронной почты в мире, и абсолютную необходимость для бизнеса.

Но подожди минутку. Мы не ответили точно, зачем вам нужен DMARC. Что он предлагает, чего нет у SPF и DKIM? Ну, это довольно длинный ответ, слишком длинный для одной записи в блоге. Так что давайте разделим его и сначала поговорим о SPF. На случай, если вы не знакомы с ним, вот краткое вступление.

Что такое SPF?

SPF, или Sender Policy Framework, является протоколом аутентификации электронной почты, который защищает получателя электронной почты от подделок. По сути, это список всех IP-адресов, разрешенных для отправки электронной почты по вашим (владельца домена) каналам. Когда принимающий сервер видит сообщение из вашего домена, он проверяет SPF запись, опубликованную в вашем DNS. Если IP-адрес отправителя находится в этом 'списке', электронная почта доставляется. Если нет, то сервер отклоняет сообщение.

Как вы видите, SPF делает довольно хорошую работу, удерживая в тайне множество неприятных электронных писем, которые могут нанести вред вашему устройству или скомпрометировать системы безопасности вашей организации. Но SPF не так хорош, как некоторые могут подумать. Это потому, что у него есть некоторые очень серьезные недостатки. Давайте поговорим о некоторых из этих проблем.

Ограничения СПФ

Записи SPF не применимы к адресу "From".

Электронная почта имеет несколько адресов для идентификации отправителя: адрес From, который вы обычно видите, и адрес Return Path, который скрыт и требует одного или двух щелчков мыши для просмотра. С включенной функцией SPF принимающий почтовый сервер смотрит на путь возврата и проверяет записи SPF домена с этого адреса.

Проблема здесь заключается в том, что злоумышленники могут использовать это, используя поддельный домен в своем адресе пути возврата (Return Path address) и легитимный (или легальный) адрес электронной почты в разделе От (From). Даже если бы получатель проверял почтовый ID отправителя, он бы сначала увидел адрес From, и обычно не утруждается проверкой пути возврата. На самом деле, большинство людей даже не знает, что существует такая вещь, как адрес Return Path.

SPF можно довольно легко обойти, используя этот простой трюк, и даже домены, защищенные SPF, остаются в значительной степени уязвимыми.

Записи SPF имеют ограничение на поиск DNS

Записи SPF содержат список всех IP-адресов, разрешенных владельцем домена для отправки электронной почты. Однако, у них есть важный недостаток. Принимающему серверу необходимо проверить запись, чтобы убедиться, что отправитель авторизован, и, чтобы уменьшить нагрузку на сервер, записи SPF имеют ограничение на 10 DNS поисков.

Это означает, что если ваша организация использует несколько сторонних производителей, которые посылают электронную почту через ваш домен, запись SPF может в конечном итоге превысить этот лимит. Если правильно не оптимизировать (что не так-то просто сделать самому), записи SPF будут иметь очень ограничительный лимит. Когда вы превышаете этот лимит, реализация SPF считается недействительной и ваша электронная почта не работает SPF. Это может потенциально повредить скорости доставки вашей электронной почты.

 

SPF не всегда работает, когда электронная почта пересылается.

SPF имеет еще одну критическую точку отказа, которая может навредить доставке вашей электронной почты. Когда вы внедрили SPF на вашем домене и кто-то пересылает вашу электронную почту, пересылаемая электронная почта может быть отклонена из-за вашей политики SPF.

Это происходит потому, что переадресованное сообщение изменило получателя письма, но адрес отправителя остался прежним. Это становится проблемой, потому что сообщение содержит адрес From оригинального отправителя, но принимающий сервер видит другой IP. IP-адрес почтового сервера пересылки не включен в SPF-запись домена оригинального отправителя. Это может привести к тому, что письмо будет отклонено принимающим сервером.

Как DMARC решает эти проблемы?

DMARC использует комбинацию SPF и DKIM для аутентификации электронной почты. Электронная почта должна пройти либо SPF, либо DKIM, чтобы пройти DMARC и быть доставлена успешно. И это также добавляет одну ключевую особенность, которая делает его намного более эффективным, чем SPF или DKIM в одиночку: Отчетность.

С помощью отчетов DMARC вы ежедневно получаете обратную связь о состоянии ваших каналов электронной почты. Сюда входит информация о выравнивании DMARC, данные об электронных сообщениях, в которых произошла неудачная аутентификация, и подробности о возможных попытках подделки.

Если вам интересно, что можно сделать, чтобы не подделать, обратитесь к нашему удобному руководству по 5-ти лучшим способам избежать подделки электронной почты.

Развенчание мифов о DMARC

Многие люди не сразу понимают, что делает DMARC и как он предотвращает подмену домена, выдачу себя за другого и мошенничество. Это может привести к серьезным заблуждениям относительно DMARC, того, как работает аутентификация электронной почты, и почему это полезно для вас. Но как понять, что правильно, а что нет? И как вы можете быть уверены в том, что применяете его правильно? 

PowerDMARC пришел на помощь! Чтобы помочь вам лучше понять DMARC, мы составили этот список из 6 наиболее распространенных заблуждений о DMARC.

Ошибочные представления о DMARC

1. DMARC такой же, как и спам-фильтр.

Это одна из самых распространенных ошибок, которые люди допускают в отношении DMARC. Спам-фильтры блокируют входящую электронную почту, которая доставляется в ваш почтовый ящик. Это могут быть подозрительные письма, отправленные с любого домена, а не только с вашего. DMARC, с другой стороны, сообщает принимающим почтовым серверам, как обрабатывать исходящие сообщения, отправленные с вашего домена. Фильтры спама, такие как Microsoft Office 365 ATP, не защищают от таких кибератак. Если ваш домен поддерживает DMARC и письмо не прошло проверку подлинности, принимающий сервер отклоняет его.

2. После того, как вы настроите DMARC, ваша электронная почта будет в безопасности навсегда.

DMARC - один из самых передовых протоколов аутентификации электронной почты, но это не значит, что он полностью самодостаточен. Вам необходимо регулярно отслеживать отчеты DMARC, чтобы убедиться, что электронные письма из авторизованных источников не отклоняются. Что еще более важно, необходимо проверять, не злоупотребляют ли неавторизованные отправители вашим доменом. Если вы видите, что IP-адрес предпринимает неоднократные попытки подделать вашу электронную почту, необходимо немедленно принять меры и внести его в черный список или удалить.

3. DMARC уменьшит доставку моей электронной почты

Когда вы устанавливаете DMARC, важно сначала установить вашу политику на p=none. Это означает, что все ваши сообщения электронной почты все равно будут доставляться, но вы будете получать отчеты DMARC о том, прошли они или нет аутентификацию. Если во время этого периода мониторинга вы увидите, что ваша электронная почта не прошла проверку DMARC, вы можете принять меры для решения проблем. После того, как все ваши авторизованные сообщения электронной почты будут подтверждены корректно, вы можете внедрить DMARC с политикой p=карантин или p=отказ.

4. Мне не нужно обеспечивать соблюдение DMARC (p=none - достаточно).

Когда вы настраиваете DMARC, не применяя его (политика p=none), вся электронная почта с вашего домена, включая те, которые не работают с DMARC, доставляется. Вы будете получать отчеты DMARC, но не будете защищать свой домен от любых попыток подделки. После начального периода мониторинга (объясненного выше), абсолютно необходимо установить вашу политику p=карантин или p=отклонить и внедрить DMARC.

5. Только крупные бренды нуждаются в DMARC

Многие небольшие организации считают, что защита DMARC нужна только самым крупным и узнаваемым брендам. На самом деле киберпреступники могут использовать любой бизнес-домен для проведения поддельной атаки. Многие малые предприятия, как правило, не имеют специальных команд по кибербезопасности, что еще больше облегчает злоумышленникам атаку на малые и средние организации. Помните, что каждая организация, имеющая доменное имя, нуждается в защите DMARC!

6. Отчеты DMARC легко читаются

Мы видим, как многие организации внедряют DMARC и отправляют отчеты на собственные почтовые ящики. Проблема заключается в том, что отчеты DMARC приходят в формате XML, который может быть очень сложно прочитать, если вы не знакомы с ним. Использование специализированной платформы DMARC может не только значительно упростить процесс настройки, но PowerDMARC может преобразовать ваши сложные XML файлы в легко читаемые отчеты с графиками, диаграммами и подробной статистикой.

Электронная почта часто является первым выбором для киберпреступников, когда они запускают, потому что ее так легко использовать. В отличие от атак с применением грубой силы, требующих больших вычислительных мощностей, или более изощренных методов, требующих высокого уровня мастерства, подделка домена может быть такой же простой, как написание электронного письма, выдающего себя за кого-то другого. Во многих случаях этот "кто-то другой" является основной программной сервисной платформой, на которую люди полагаются при выполнении своей работы.

Именно это произошло между 15 и 30 апреля 2020 года, когда наши аналитики по безопасности PowerDMARC обнаружили новую волну фишинговых электронных писем, нацеленных на ведущие страховые компании на Ближнем Востоке. Эта атака была лишь одной из многих других в недавнем увеличении числа случаев фишинга и спуфинга во время кризиса Covid-19. Уже в феврале 2020 года другая крупная фишинговая афера зашла настолько далеко, что выдала себя за Всемирную организацию здравоохранения, рассылая тысячи людей по электронной почте письма с просьбами о пожертвованиях на помощь в борьбе с коронавирусом.

В этой недавней серии инцидентов пользователи службы Microsoft Office 365 получали, казалось бы, обычные сообщения с обновлениями, касающимися состояния их пользовательских учетных записей. Эти сообщения приходили с собственных доменов организаций, предлагая пользователям сбросить свои пароли или переходить по ссылкам для просмотра ожидающих обновления уведомлений.

Мы составили список некоторых почтовых заголовков, которые мы наблюдали:

  • необычные действия при входе в систему Microsoft
  • У вас есть (3) сообщения, ожидающие доставки на вашу электронную почту [email protected]* Портал!
  • [email protected] You Have Pending Microsoft Office UNSYNC Messages
  • Повторная активация Сводное уведомление для [email protected]

* данные аккаунта изменены для обеспечения конфиденциальности пользователей

Вы также можете просмотреть образец почтового заголовка, используемого в поддельном письме, отправленном в страховую компанию:

Получено: из [вредоносный_ип(привет= злоумышленное_домен)

id 1jK7RC-000uju-6x

для [email protected]; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-подпись: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

Получено: из [xxxxx] (порт=58502 helo=xxxxx)

по адресу злоумышленное_домен с esmtpsa (TLSv1.2:ECDHE-RSA-AES2) 56-ГКМ-ША384:256)

От: "Команда по работе с учетными записями Microsoft" 

За: [email protected]

Объект: Уведомление Microsoft Office для [email protected] по телефону 4/1/2020 23:46.

Дата: 2 апреля 2020 22:31:45 +0100

Message-ID: <[email protected]>

MIME-Version: 1.0

Content-Type: text/html;

символ="utf-8″

Контент-трансфер-Обновление: цитируемый текст для печати

X-AntiAbuse: Этот заголовок был добавлен для отслеживания злоупотреблений, пожалуйста, включите его в любое сообщение о злоупотреблениях.

X-AntiAbuse: Имя основного хоста - злоумышленное_домен

X-AntiAbuse: Original Domain - домен.com

X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]

X-AntiAbuse: Адрес отправителя Домен - domain.com

X-Get-Message-Sender-Via: злоумышленный_домен: authenticated_id: [email protected]_domain

Аутентифицированный отправитель: malicious_domain: [email protected]_domain

Икс-источник: 

X-Source-Args: 

X-Source-Dir: 

Received-SPF: fail ( домен domain.com не обозначает вредоносный_ip_адрес как разрешенный отправитель) клиент-ip= вредоносный_ip_адрес конверт от=[email protected]аллозлоумышленное_домен;

X-SPF-Result: домен domain.com не обозначает вредоносный_ip_адрес разрешённый отправитель

X-Sender-Warning: Обратный просмотр DNS не удался для вредоносный_ip_адрес (не удалось)

X-DKIM-статус: нет / / домен.com / / /

X-DKIM-статус: проездной / / злоумышленное_домен / злоумышленное_домен / / по умолчанию

 

Наш центр управления безопасностью отследил ссылки электронной почты на фишинговые URL-адреса, предназначенные для пользователей Microsoft Office 365. Эти URL-адреса были перенаправлены на зараженные сайты в различных местах по всему миру.

Просто посмотрев на эти почтовые заголовки, невозможно будет сказать, что их отправил кто-то, подделывающий домен вашей организации. Мы привыкли к постоянному потоку рабочих или связанных с учетными записями писем, предлагающих нам войти в различные онлайн-сервисы, такие как Office 365. Подделка домена использует это, делая их фальшивые, вредоносные электронные письма неотличимыми от подлинных. Практически невозможно узнать, без тщательного анализа электронной почты, поступает ли она из доверенного источника. А с десятками писем, приходящих каждый день, ни у кого нет времени на тщательный анализ каждого из них. Единственным решением будет использование механизма аутентификации, который будет проверять все письма, отправленные с вашего домена, и блокировать только те письма, которые были отправлены кем-то, кто отправил их без авторизации.

Этот механизм аутентификации называется DMARC. И как один из ведущих поставщиков решений по безопасности электронной почты в мире, мы в PowerDMARC поставили перед собой задачу, чтобы вы поняли важность защиты домена вашей организации. Не только для себя, но и для всех, кто доверяет и зависит от вас, чтобы каждый раз доставлять безопасную, надежную электронную почту в свой почтовый ящик.

О рисках спуфинга можно прочитать здесь: https://powerdmarc.com/stop-email-spoofing/.

Узнайте, как защитить свой домен от подделок и повысить бренд, здесь: https://powerdmarc.com/what-is-dmarc/.