E-postautentisering för intrångstestare
Penetrationstestare spelar en viktig roll när det gäller att identifiera och åtgärda sårbarheter i en organisations säkerhetsupplägg, inklusive e-postsäkerhet. Genom att förstå DMARC och hur det fungerar kan penetrationstestare bättre utvärdera en organisations e-postsäkerhetsförsvar och se till att deras kunder är skyddade mot e-postbaserade attacker.
Enligt Global DMARC Adoption Report-2019, 69.6% av de 500 största domänerna för internetåterförsäljare i Europeiska unionen inte använder DMARC. Dagens penetrationsövningar täcker inte e-postsäkerheten, och detta måste förändras för att skapa ett säkrare digitalt landskap.
Varför är e-postautentisering viktigt?
Penetrationstestning är en process där man försöker genomföra en auktoriserad simulerad attack på ett systems IT-infrastruktur, inklusive e-postdomäner, för att hitta säkerhetsbrister. Det finns tre viktiga skäl till varför autentisering av e-post för penetrationstestare är viktiga.
Förebyggande av bedrägerier
Skadliga aktörer drar nytta av att brevlådor inte är byggda med starka säkerhetsprotokoll som standard. De lurar offren att dela med sig av känsliga uppgifter genom att övertyga dem om att e-postmeddelandena kommer från legitima källor. Tillsammans SPF, DKIM och DMARC förhindrar detta genom att endast auktoriserade enheter tillåts skicka e-post via dina officiella domäner.
Skydd av varumärkesbilden
Lär dig e-postautentisering för penetrationstestare är viktigt eftersom det förhindrar attacker i varumärkets namn, vilket skyddar varumärkets image.
Förbättrad e-post leveransbarhet
Att e-postmeddelanden studsar tillbaka är inte bara ett hinder för PR-, marknadsförings- och försäljningskampanjer utan leder också till en dålig leveransfrekvens för e-postmeddelanden. Leveransgraden är förmågan att leverera e-post till mottagarnas inboxar utan att den markeras som skräppost eller studsar tillbaka. Läs mer om hur autentisering av e-post hjälper till att förbättra leveransbarheten.
Vad är SPF, DKIM och DMARC?
SPF, DKIM och DMARC är protokoll för autentisering av e-post som verifierar en avsändares äkthet för att säkerställa att e-postmeddelandet kommer från den angivna källan. Domäner som inte uppfyller dessa krav kan få sin e-post markerad som skräppost eller studsar tillbaka. Hotaktörer kan dessutom lätt utge sig för att vara dem och skicka falska meddelanden till människor som ber dem att dela känsliga uppgifter eller göra finansiella transaktioner.
Hur fungerar SPF?
SPF eller Sender Policy Framework är ett sätt att skicka e-post autentisering för penetrationstestare där en lista över servrar som får skicka e-post skapas och läggs till i domänens DNS. Alla sändande servrar som inte finns med på listan markeras.
Hur fungerar DKIM?
DKIM eller DomainKeys Identified Mail gör det möjligt för domänägare att signera e-posthuvuden som underlättar verifieringsprocessen. DKIM bygger på konceptet kryptografi eftersom det handlar om en digital signatur. Du får ett par offentliga och privata nycklar; den förstnämnda sparas på DNS för öppen åtkomst och den sistnämnda förvaras i hemlighet hos den avsändande servern.
Mottagarens server matchar båda nycklarna; om matchningen är framgångsrik godkänns DKIM-verifieringen, annars misslyckas den. Det finns en positiv DKIM-politiken har en positiv inverkan på leveransbarheten av e-post och åtgärder mot skräppost..
Hur fungerar DMARC?
DMARC är en förkortning för Domain-based Message Authentication Reporting and Conformance (domänbaserad meddelandeautentiseringsrapportering och överensstämmelse). Det fungerar tillsammans med SPF och DKIM.
DMARC ansvarar för att tala om för mottagarens brevlåda hur e-postmeddelanden som skickas från din domän och som inte klarar SPF- och/eller DKIM-kontrollen ska behandlas. Du kan välja en av de tre DMARC-policies för att bestämma detta; p=none (ingen åtgärd vidtas mot e-postmeddelanden som inte klarar autentiseringskontrollerna), p=quarantine (e-postmeddelanden som inte klarar autentiseringskontrollerna markeras som skräppost) eller p=reject (e-postmeddelanden som inte klarar autentiseringskontrollerna studsar tillbaka).
Hur penetrationsgranskare utnyttjar en DMARC-felkonfiguration?
Som penetrationstestare kan du utföra en simulerad attack för att upptäcka sårbarheter för e-postautentisering i en domän som observeras. Så här kan du gå till väga.
Skaffa din domän
Det första steget i autentisering av e-post för penetrationstestare är att ha en domän för att installera en e-postspoofer och skicka e-post genom att utge sig för att vara ett företag. Du kan använda vilken domänleverantör som helst som passar dina krav och din budget.
Inställning av domänen
När du har domänen lägger du till den i DNS-panelen. Ta bort allt som finns under panelen "DNS-hantering" för att simulera en attack. Detta bör följas av att byta ut den givna namnservraren på domäntjänstleverantörens panel. Du får en API-nyckel till konfigurationsfilen för de kommande stegen i din övning av e-postautentisering för penetrationstestare.
Konfigurera VPS:en
Observera att du kan behöva upprepa det här steget om dina VPS-IP:er har ett dåligt rykte eftersom din e-post inte levereras i det läget.
Eftersom VPS inte förbrukar särskilt mycket resurser kan du välja en billig VPS och ändå få en korrekt fungerande instans. Kom ihåg att ställa in värdnamnet exakt som ditt domännamn, annars kommer du inte att kunna simulera en attack.
Använd följande kommandon:
apt-get install git
apt-get update && apt-get install docker-compose
Därefter kopierar du GitHub-arkivet och går till "Newly Created Directory" där du måste redigera inställningarna och lägga till din domän och API-nyckel.
När du har slutfört dessa steg skriver du "docker-compose up" och väntar några minuter för att få igång din webbserver.
Sända ut ett nätfiskemeddelande
Slutligen skickar du phishing-e-postmeddelandet till mål för att få en översikt över DMARC-felkonfigurationen.
Rapport om penetrationsförsök
Nu när du vet tillräckligt mycket om e-postautentisering för penetrationstestare och hur man utnyttjar en DMARC-felkonfiguration är det viktigt att skriva en utmärkt rapport efter att ha simulerat en attack.
Här är fyra saker som du bör lägga till i en professionell rapport om ett penningstest.
1. Sammanfattning av den strategiska inriktningen
Detta inkluderar en översiktlig bild av riskerna och konsekvenserna av sårbarheter i e-postautentisering på klarspråk (eller annat önskat språk). Den här delen är vanligtvis avsedd för chefer som kanske inte är så insatta i teknisk terminologi.
2. Förklaring av de tekniska riskerna
Du måste bedöma riskernas intensitet så att IT-teamet snabbt och effektivt kan åtgärda e-postsystemets kryphål.
3. Sårbarhetens potentiella konsekvenser
E-postsäkerhetsrelaterade risker delas upp i två delar - sannolikhet och potentiell påverkan. Det hjälper åtgärdsteamet att prioritera korrigeringen av sårbarheter beroende på deras potentiella inverkan.
4. Flera olika metoder för att avhjälpa problemen
Se till att de korrigeringsmetoder som du föreslår är mer än att bara inaktivera domänen eller e-postkontona helt och hållet. Inkludera metoder som sökning av registeruppgifter, utjämning av SPF-rekord, strängare DMARC-politik osv.
Skydda din domän från risker för e-postsäkerhet
Kunskap om e-postautentisering för penetrationstestare är viktig för att skydda digitala tillgångar från phishing och spamming. Överensstämmelse med SPF och/eller DKIM är obligatoriskt för DMARC eftersom det talar om för mottagarens server hur hanteringen av e-postmeddelanden som inte klarar autentiseringskontrollerna ska gå till. Du kan ställa in en policy för ingen, karantän eller avvisning.
PowerDMARC erbjuder en gratis provperiod för att hjälpa dig att komma igång med din DMARC-resa mot en säkrare e-postmiljö. Kontakta oss för att få veta mer.
- DMARC Black Friday: Stärk dina e-postmeddelanden denna semestersäsong - November 23, 2023
- Google och Yahoo uppdaterade kraven för autentisering av e-post för 2024 - 15 november 2023
- Hur hittar jag den bästa DMARC-lösningsleverantören för ditt företag? - 8 november 2023
