查看原文
其他

深度分析 | 垃圾邮件是如何通过SPF检查进入收件箱的?

安胜ANSCEN 2023-01-25

电子邮件通过SMTP协议与所属发送方邮件服务器建立连接,并将要发送的邮件发送到所属发送方邮件服务器。但最初SMTP的局限之一在于它没有对发送方进行身份验证的机制,所以用户会收到垃圾邮件,因此行业开发了一种新方法SPF(发送者策略框架)。

当使用SPF,域名所有者可以发布域名系统(DNS)记录,这些记录定义了授权使用其域名发送电子邮件的IP地址。在接收端,邮件服务器可以查询发送者域的SPF记录,以判断发送者的IP地址是否被授权代表该域发送电子邮件。


SMTP 概述 

SMTP是一种提供可靠且有效电子邮件传输的协议。它是建立在FTP文件传输服务上的一种邮件服务,主要用于传输系统之间的邮件信息并提供来信有关的通知。

比如,假设在example.com 上的 Alice向example.org上的 Bob 发送一封电子邮件。如果没有 SPF,Alice 和 Bob 的电子邮件服务器将进行类似于以下的 SMTP 对话,使用 HELO 而不是 EHLO简化了该对话,但并不会以显着改变基本结构的方式进行:

这是自20世纪80年代初以来发送和接收互联网电子邮件(SMTP)的方式。从上面的图表中可以看出,example.net上的Chad可以很容易地连接到example.org SMTP服务器,进行完全相同的SMTP对话,并将来自example.com上的Alice的电子邮件消息传递给example.org上的Bob。问题更大的是,除了在诊断消息头中与主机名一起记录的IP地址(此处未显示)之外,没有任何迹象表明Bob受到欺骗,对于非专家来说,这些检查起来并不容易,根据个人电子邮件客户端应用程序,甚至经常很难访问。

回到example.net上的假设, “from”Alice……这将涉及两个级别的模仿(或伪造),现在许多人认为可以或应该通过自动化的技术检查来检测和阻止这种虚假的电子邮件消息。第一个是 SMTP 信封级别,第二个是邮件标题级别。SPF提供SMTP信封级别检查,后来的防伪和邮件身份验证协议DKIM和DMARC在邮件标题和邮件消息首部级别提供检查。 


SPF真的有用吗?

SPF是发送方策略框架 (Sender Policy Framework) 的缩写,它是一种电子邮件验证系统,可以使用为域发布的特定 SPF 记录(其中包含域管理员允许的主机详细信息的仿冒邮件)识别出仿冒/伪造的电子邮件。

根据2022年发表的一项研究,在调查15亿个域名中,约32%有SPF记录。其中,7.7%语法无效,1%使用了已弃用的PTR记录,该记录将IP地址指向域名。但SPF的使用速度很慢,而且确实存在缺陷,这可能也会导致另一个问题——有多少域拥有过度许可的SPF记录?

比如,以收到的一封自称来自法国保险公司 Prudence Cré ole 的电子邮件,但带有垃圾邮件和欺骗的特征为例。

虽然伪造邮件的From: address 邮件标头很简单,但通过检查完整的邮件标头并发SMTP信封的MAIL FROM: address reply@prudencecreole.com中的域发现它已通过 SPF。

△记录显示通过了SPF
△域prudencecreole.com的 SPF 记录 

是一个巨大的 IPv4 地址块,178.33.104.0/2包含 25% 的 IPv4 地址空间,取值范围为128.0.0.0-191.255.255.255 。 超过10亿个IP地址被批准为Prudence Creole域名的发送者,该域名可以算是垃圾邮件发送者的天堂。

为了确认该情况,笔者重新设置了一个电子邮件服务器,通过互联网服务提供商分配的一个随机但符合条件的 IP 地址,并成功向自己发送了一封欺骗prudencecreole.com的电子邮件。

 △记录显示成功


思考及经验教训

为域创建 SPF 记录并不能完全打击垃圾邮件发送者的欺骗行为。但如果配置安全,使用SPF可能会拦截许多垃圾邮件。因为 SPF 设置需要两个人配合,发件人和收件人都需要协调各自的电子邮件安全策略,以防电子邮件因双方采用过于严格的规则而无法送达。 

考虑到垃圾邮件散布者欺骗您的域名可能带来的潜在风险和损害,您可以了解或采用以下建议 :


01

为所有的HELO/EHLO身份创建SPF记录;

02

使用带有“ - ”或“ ~ ”限定符的all机制,而不是使用“ ?”限定符,因为后者能有效允许任何人欺骗用户的域名;

03

为每个域和子域设置“删除所有内容”规则 ( v=spf1 -all ),该规则不应生成(互联网路由)电子邮件或出现在HELO/EHLO或MAIL FROM: 命令的域名部分;

04

作为指导原则,要确保SPF记录很小,最好不超过512个字节;

05

确保SPF记录中只授权一组有限且受信任的IP地址。

SMPT的广泛使用创造了一种新的 IT 文化,它专注于可靠、高效地传输电子邮件,而不是安全和隐私。重新调整以安全为中心的文化虽然是个缓慢的过程,但鉴于泛滥的垃圾邮件以及钓鱼邮件对用户带来的困扰和巨大损失,这一过程应该重新提上日程。

-END-


 
参考资料:https://www.welivesecurity.com/2022/08/16/spoofed-email-passed-spf-check-inbox/

https://baike.baidu.com/item/SMTP?fromModule=lemma_search-box

https://baike.baidu.com/item/SPF/18073817?fr=aladdin

精彩回顾
01

浏览器安全 | 退!退!退! 警惕网页背后的黑手党

02

守护电子邮件安全 | 中小企业的12个最佳操作


03解读 | 关于修改《中华人民共和国网络安全法》的决定(征求意见稿)04网络安全意识 | 员工是企业网络安全工作的最后一道防线


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存