後方散乱攻撃から防御することは可能ですか?
昨日、世界の反対側にいる一部のスパマーが、私のビジネス用メールアドレスをFromアドレスとエンベロープ送信者の両方として使用して、大量のフィッシングメールを送信することを決定しました。
通常のベストプラクティスが実施されています。私のプロバイダーは(どうやら) Bounce Address Tag Validation を使用しており、 Sender Policy Framework レコードは-allで終わります。したがって、「通常の」NDRの量は、それよりもはるかに少なかった。
それでも、1分あたり約1〜3回の自動返信を受け取りました:「休暇中です...」、「お問い合わせいただきありがとうございます...」、「メッセージに悪意のあるコンテンツが含まれています...」、「私は外出中...」、「X氏はもう事務所にいない...」、「メールアドレスが変更されました...」、「メッセージを受信し、サポートチケットが生成されました。 .. "-いくつか例を挙げます。明らかに世界中から、そして多数の異なる言語で。実際、あなたがもっと良いことを何もしていないのであれば、かなり興味深い読み物です。
残念ながら、私にはやるべきことがあり、幸いなことに、自動返信の一部には元のメッセージのコピーが含まれていたため、スパマーのIPアドレスを特定し、スパマー(またはサーバーをハッキングした貧乏人)をシャットダウンすることができました。彼のホスティングプロバイダーによってダウン。
それでも疑問に思っていました:「通常の」作業の横で処理できる1分あたり1〜3通の迷惑メールですが、スパマーがより多くのホスト(またはボットネットワーク)を使用していれば、私のメールアカウントは事実上DDOSされていたはずです。無駄に。
この種の「後方散乱自動応答攻撃」に対してdefendするためにできることはありますか?
問題は、自動応答が存在し、送信者の電子メールアドレスに返信することです。これは、なりすましが容易です。
これを防ぐためにできることはありません。 (コンピューターの観点からは)正当なメッセージであるため、フィルタリングは効果的ではありません。特定のIPがいくつかのメッセージ以上を送信する可能性は低いため、IPの禁止も効果がありません。
解決策は、ヒューリスティックフィルターでメールヘッダーと件名行を前処理することです(条件付き確率フレームワークを使用して、たとえば Bayesian )。ここで同様の質問を参照してください:
ソリューションを実装したい場合は、IT担当者が受信トレイにメールを配信する前にサーバーで実行される小さなスクリプトをプログラムできます(正確な実装は、メールサーバーの種類によって異なります)。たとえば、Microsoft Office 365を採用している電子メールは、管理者によるレビューのために、さまざまなヒューリスティックに従って 電子メールメッセージを隔離 できます。
ここにマイクロソフトによって文書化されている方法を使用して、Microsoft Exchangeサーバーのアドインを構築することが可能です: https://docs.Microsoft.com/en-us/office/dev/add-ins/publish/centralized -展開
一部の人々がこれを採用するアプローチは、あなたにスパムを送信したことをこれらの会社に報告することです。
送信者自身がだまされているので、それは少し疑問です。ただし、SPFレコードでメッセージが偽物であると明確に述べられており、NDRでスパムを送信する前にそれを不注意にチェックしなかった場合、mayはスパムと見なされます(私は知っています、誰もが独自の定義を持っています)。一部の企業は、このような問題によってブラックリストになってしまいました。
ReturnパスではなくFrom:ヘッダーに反応する自動返信は簡単ではありませんが、SPFの対象外なので、DMARCポリシーが必要であり、独自の問題があります。
休暇の返信は、少なくとも(適切に実装されている場合)通常、電子メールで送信されたアドレスを記憶し、一度だけ返信します。
一方で、「私たちはあなたのためのチケットを生成しました」というメッセージを毎回自動的に送信するシステムがお互いにポイントされた場合、どうなるのか不思議ではありません...