web-dev-qa-db-ja.com

メールを偽装できますか?

つまり、私が自分のSMTPを持っている場合(また、それはお金にかかっているのか、自分のSMTPサーバーを実行するのにいくつかの制限があるのでしょうか)、メール(ヘッダー、なりすましIPなどすべて)を完全に作成して送信したということですメール、何か私を止めることはありますか?

1
ShinobiUltra

簡単な答えは「はい」です。メールを偽装できます。 FROMメールアドレスと送信ドメインを偽装することはできますが、元のIPアドレスを偽装することはできません。 (IPアドレスは、受信メールサーバーへの接続を確立するプロセスで使用されるため、IPアドレスを偽装すると、パケットが接続を確立できないため、接続を確立できません。)

したがって、偽のFROMアドレスとドメインを使用して、実際のIPアドレスを使用してメッセージを送信するとします。次に起こることは、スプーフィングしているドメインの構成と受信メールサーバーの構成の両方に依存するため、残念ながら言うことは困難です。両方が正しく設定されている場合、メッセージは最終的にSPAMになるか、完全に拒否されます。しかし、それ以外の場合、メッセージが受信者のメールボックスに届く可能性があります。

なぜあなたのメッセージはスパムに終わるのでしょうか?長年にわたって、電子メールのなりすましに対抗し、メールサーバーがなりすましメッセージを識別するのを助けるために、多くのメカニズムが開発されてきました。 SPF(Sender Policy Framework)と呼ばれる単純なものと、DKIM(Domain-keys Identified Mail)と呼ばれるより堅牢なものがあります。

[〜#〜] spf [〜#〜]

ドメイン所有者(ドメインのDNSレコードにアクセスできることを意味します)の場合は、ドメイン名に代わってメールを送信することが許可されているすべてのIPアドレスを本質的にリストする特別なレコードを追加できます。受信メールサーバーがメッセージを取得すると、メッセージの受信元のIPアドレスを、ドメイン所有者が公開した承認済みアドレスのリストと比較できます。 IPが承認されていない場合、受信メールサーバーはメッセージを拒否するか、フラグを立てるかを選択できます。

[〜#〜] dkim [〜#〜]

DKIMもDNSを利用しますが、単純なIPアドレスリストではなく公開鍵暗号方式に依存しているため、かなり堅牢です。ドメイン所有者は、公開鍵と秘密鍵のペアを生成し、公開鍵をDNSレコードとして公開します。すべての送信メッセージに暗号で署名するために秘密鍵を使用する正当な送信メールサーバーすべてに秘密鍵をインストールします。受信メールサーバーは、DNS経由で公開キーを取得することにより、署名が有効であることを確認できます。 DKIMで保護されたドメインからのメールを偽装しようとすると、秘密鍵を所有していないため、暗号署名を追加できません。

[〜#〜] dmarc [〜#〜]

SPFとDKIMに加えて、ドメイン所有者は、DMARCポリシーと呼ばれるものをDNSに公開することもできます。これは、SPFまたはDKIMチェックに合格しないメッセージが発生した場合に受信メールサーバーに通知します。このポリシーは、ドメイン所有者が自分のドメインからの偽造メッセージに対抗するためにどの程度強くしたいかに応じて、緩やかまたは厳格にすることができます。

要約

スプーフィングしているドメインが厳密なDMARCポリシーを使用してSPFおよびDKIMレコードを公開し、適切に構成されたスパムフィルターを使用してメールサーバーにメッセージを送信している場合、メッセージはおそらくスパムになります。 SPF/DKIM/DMARCを適切に構成していないドメインからのメッセージをスプーフィングしている場合、および/または受信メールサーバーに緩いフィルターがある場合、メッセージが通過する可能性があります。

5
tlng05

タイトルで簡単な質問をします。簡単な答えはyesです。メールを偽装できます。あなたを止めることはほとんどありません。

それはお金の問題ですか、それとも自分のSMTPサーバーの実行にいくつかの制限がありますか?

「なぜ誰もが独自のsmtpサーバーを実行しないのか」という意味の場合、答えは次のとおりです。人々は方法を知りません。人々はオンラインで提供されるどんなサービスでも大丈夫です。人々はセットアップやメンテナンスに労力を費やしたくありません。あるいは、実際に誰かが独自のサーバーを持っていない場合、サーバーを取得するのに少なくとも1か月あたり5ドル程度かかります。これはおそらく価値がありません。

他の人のたわごとを修正することにどれだけ関心があるかに応じて、それを設定することも同様に多くの作業になる可能性があります。基本的にメールの送信は非常に簡単ですが、多くの人々はあなたをブロックするスパムフィルターを採用する(またはスパムフィルターを選択する)ことを選択します。それが気になる場合は、他の人のメールサーバーのすべてを回避して修正する必要があります。メッセージを再試行してほしいもの(グレーリスト)、SPFを追加して欲しい人、DKIMが必要な人、スパムハウスのようなブラックリストを使用している人がいます。以前の所有者がIPアドレスをリストに追加した場合、そこでIPアドレスを除外するには、おそらくGmail固有の問題に対処する必要があります。何なのかわからない、独占者にはいつも問題があるだけだ。特に、Googleはあなたよりも間違いを犯す可能性が低いと考えているため、彼らはそれがあなたのせいだと思っているので、Gmailでホワイトリストに登録してみましょう。

完全に作成されたメール(ヘッダー...

ヘッダーはあなたが書くことができる単なるテキストです。必要なものすべてを偽装します。

...なりすましIP ...

ちょっと待って、どのようにあなたのIPアドレスを偽りますか? IPアドレスが偽装されたパケットをインターネットに送信できます。運が良ければ、ISPはそれをブロックしません(たとえそれがBest CurrentPractice®であっても)が、返信は偽装された送信元に戻るため、次のことができます。サーバーが送り返しているものを受け取りません。あなたは基本的に暗闇の中で送信しており、すべてがうまくいくことを願っています。

その上、SMTPはTCP上で実行されます。 spoof a TCP connection (一般的な考えに反して)はできますが、特に大量のデータを送信する必要がある場合は困難です。少なくともHELO xMAIL FROM:valid@addressRCPT TO:valid@address、最後にメールデータ(例:ATTACK AT DAWN)。 TCP接続をスプーフィングするには数十億回の試行が必要なので、これは受信者側で気付かれないかもしれない大量のデータです。

技術的には可能ですが、実際には不可能に近いものです。良い点は、接続が常に速くなるため、常に到達範囲が広がることです。

...そしてすべて

すべてではない! DKIMのような暗号化システムは、あなたが送信元であると主張しているドメインに電子メールを送信する権限があることを証明するように設計されているため、なりすましはできません。

通常、DKIMヘッダーが欠落しているだけでは、メールの通過が完全に停止するわけではありません。ドメインにDKIMを設定していないので、おそらく2年に一度は問題が発生します。 IPアドレスの評判を構築した後、それは非常にうまく機能します。

私を止める誰かがいるだろうか?

当局はあなたと一緒に言葉を持ちたいかもしれません。なりすましは、送信元または送信先の国によって違法である場合とそうでない場合がありますが、詐欺とスパムは違法です。

4
Luc

それはお金の問題ですか、それとも自分のSMTPサーバーの実行にいくつかの制限がありますか?

サーバーの実行に必要なユーティリティに十分なお金があり、ISPがTCPポート25で着信接続をフィルタリングしない場合は、問題ないはずです。

興味深いことに、moneyについて言及します。私たちは基本的にtrust...に完全に依存しています...パケットがサーバーを離れた瞬間から、他の人が所有する一連のルーターを通過します。 SMTPは暗号化されていないため、これらのルーターが接続を改ざんするのは非常に簡単です。

Telnetを使用すると、不正なリクエストを送信できます。これらのリクエストには、任意の電子メールアドレスを含めることができます。

上記の問題、SPF、DKIM、DMARCはすべて非常に役立ちますが、残念ながら同じ欠陥があります。DNSを使用しており、UDPを使用しているため、偽造も簡単です。実際、偽造された電子メールを受信するサーバーは、それらの多数のリクエストを起動しますが、偽造された電子メールを受信する前には起動しません。

攻撃者は、ここでタイミング関連の巨大な攻撃の恩恵を受けています。彼らは正当なDNS応答を自分の偽造した応答で倒すことができることを知っています(通常、総当たりのブルートフォーススタイルで成功の確率を高めます)。

主要な後退は、攻撃者が一致するために必要な一意のパケット識別子でしか推測できないことです。それが初めて機能する場合、攻撃者はDNSキャッシュ汚染を使用してすべてのSPF、DKIM、DMARCトラフィックをハイジャックし、何年もの間、そうすることを選択した場合...

これが完了すると、攻撃者は認証サービスのサービス拒否を確立し、これらのサービスが存在しない場合、メールはドロップされるのではなく中継されます。

それ以外の場合、攻撃者はキャッシュエントリの期限が切れるのを待って再試行する必要があります(そして、TTLそれは彼らを助けるでしょう)...)を可能にする深刻な文書化された攻撃がありましたゾーン全体のDNSトラフィックをハイジャックする攻撃者。これらは、上流のネームサーバーをだまして、問題のドメインの偽造されたネームサーバーエントリをキャッシュすることに基づいています。

これに対する保護は、SPF/DKIM/DMARCに加えて、DNSSEC(およびおそらくIPSEC?)の形式で提供されます。残念ながら、インターネットは満場一致でこれらを受け入れていないため、フォールバックが必要です。フォールバックは、SPF/DKIM/DMARCチェックが失敗した後にメールを配信することです。

...なりすましIP ...

偽造TCP接続は確立するのが非常に難しいです。すべてのパケットのパケット識別子を正確に推測できる必要があります。可能ですが、実用的ではありません。攻撃者彼らの攻撃を行うために公共のwifiネットワークを使用する可能性が高いかもしれません...言うまでもなくサングラス

...私を止める何かがあるのでしょうか?

それはあなたがどこに住んでいるかによると思います。これらの種類の攻撃を犯罪事件として扱わない国もあれば、攻撃者がそうだと主張しようとする国もあります tourists

さらに、犯罪が犯されない限り、当局は通常調査を行いません。システムへの侵入に成功したら、あなたは入ります...当局はそれを気に入らないかもしれませんが、彼らは(数ヶ月)遅すぎるでしょう。

0
autistic