A falsificação de email pode ser evitada?

A conta de e-mail da minha esposa foi hackeada e o atacante recebeu seu catálogo de endereços. Não sei se o ataque ocorreu no cliente de email local (Thunderbird em execução no Windows 7) ou no servidor (hospedado no GoDaddy). De qualquer maneira, os dados da lista de contatos estão disponíveis e não posso desfazer isso. Alterei todas as senhas, segurança atualizada etc. e não acho que houve mais invasões.

No entanto, quem fez isso enviou enormes quantidades de spam, usando o nome da minha esposa como "remetente". Eles ficam quietos por um tempo, e então muitas vezes acordo com algumas dúzias de e-mails da minha esposa, que é claro que ela realmente não enviou, e todas as outras pessoas em seu catálogo de endereços também os recebem . E como o catálogo de endereços dela estava cheio de muitos endereços mortos, minha esposa recebe centenas de mensagens de devolução "Mail Delivery Failed", bem como centenas de emails rejeitados pelo domínio de recebimento como spam. As pessoas em sua lista de contatos estão ficando bravas, e isso está se tornando um problema real.

Perguntei ao GoDaddy sobre isso e eles dizem que qualquer pessoa A pode enviar um e-mail para b@bbb.comalegar ser c@ccc.com, e não há infraestrutura de e-mail para verificar se a pessoa A está autorizada a enviar um e-mail ccc.com. Consequentemente, não há absolutamente nada que eu possa fazer sobre isso, e esse remetente de spam poderá assediar as pessoas, prejudicar a reputação da minha esposa, colocar seu e-mail na lista negra, etc., e não há como impedir isso .

Isso é verdade ou há algo que eu possa fazer para impedir esses spammers ou, pelo menos, atenuar os danos?

Na verdade, é muito difícil resolver o problema da falsificação de e-mail de maneira geral, devido à maneira simples e altamente distribuída de projetar o protocolo.

A analogia da carta física se mantém muito bem neste exemplo: posso colocar uma carta na postagem e escrever nela que ela vem da sua casa; Não preciso invadir sua casa para fazer isso, basta deixá-lo em uma caixa de correio pública. E se a postagem estiver marcada como "retornar ao remetente", ela poderá acabar sendo "devolvida" a você, mesmo que você não tenha escrito. O mesmo acontece com o e-mail: qualquer pessoa pode enviar uma mensagem para o sistema, com os endereços Para e De; o servidor do qual você envia mensagens pode não ser o mesmo para o qual você recebe mensagens e não há serviço centralizado que verifique sua identidade quando você solta uma mensagem no sistema.

Existem duas abordagens gerais para resolver isso:

As assinaturas digitais são uma maneira de incluir em uma mensagem um tipo de assinatura ou selo que somente o remetente real sabe gerar (usando uma chave privada que nunca compartilha). O destinatário pode então verificar a assinatura usando uma chave pública que matematicamente prova quem produziu a assinatura (e se ela corresponde ao texto recebido).

No entanto, isso não é muito útil para o seu exemplo, pois não impede a entrega das mensagens e requer que os destinatários conheçam a chave pública ou um local verificado para recuperá-la.

Os sistemas de verificação de remetente baseados em domínio foram desenvolvidos para tentar evitar spam. Eles armazenam dados no DNS (pesquisa de diretório) do domínio do endereço (a parte após o @) que permitem que um sistema receptor verifique se um email é legítimo. Um sistema, SPF , lista quais sistemas têm permissão para enviar email em nome desse domínio; outro, DKIM , armazena chaves públicas usadas de maneira semelhante à abordagem de assinatura digital acima, mas para verificar o sistema de transmissão, e não o remetente real.

(Para estender um pouco a analogia da carta física, o SPF é como dizer publicamente "Eu apenas posto cartas usando esta caixa de correio" e o DKIM é como dizendo publicamente "Eu sempre envio e-mails dessa agência postal que imprime uma etiqueta inviolável para mim ".)

Isso seria mais relevante para o seu caso - se sua esposa estivesse usando um domínio personalizado, uma configuração apropriada de SPF ou DKIM faria com que muitos sistemas rejeitassem silenciosamente as mensagens que ela não havia enviado a si mesma (ou as marcariam como spam, sem atribuí-las a ela). ) No entanto, ele funciona apenas no nível do domínio, não no endereço individual, e alguns sistemas destinatários podem não verificar os registros.

Enviar todos os contatos ao vivo em seu catálogo de endereços e contar sobre os problemas de spam por e-mail provavelmente ajudariam. E agora é o melhor momento para remover todos os contatos mortos da lista.

O uso de PGP / GPG no futuro seria uma solução quase perfeita para usuários e remetentes particulares verificarem por si próprios se um email é realmente enviado pelo remetente e também pode ocultar / criptografar o conteúdo das mensagens, para que sejam vistas apenas por o receptor pretendido. Mas, embora o PGP esteja disponível há décadas, não é universalmente fácil para qualquer pessoa começar a usar, e o correio somente na Web (como o Gmail, etc.) dificulta manter as partes secretas realmente secretas para você e ainda é fácil de usar. use de qualquer lugar ...

Autenticação do email

Há coisas que podem ser feitas para se autenticar em destinatários de e-mail (pelo menos alguns, como Yahoo, Google e outros, que " representam uma alta porcentagem de usuários de e-mail da Internet " - FAQ do DMARC ) que uma mensagem que diz ser do seu domínio realmente é do seu domínio. Eles usam o DMARK, que " permite que um remetente indique que suas mensagens estão protegidas por SPF e / ou DKIM, e informa ao destinatário o que fazer se nenhum desses métodos de autenticação for aprovado - como rejeitar ou rejeitar a mensagem " - Perguntas frequentes do DMARC .

Mudar para um endereço de e-mail diferente também pode ajudar a curto prazo, e você e todos os outros podem ignorar / "marcar como spam" com segurança todas as outras mensagens dos remetentes de spam. Mas mesmo que essa não seja sua principal preocupação, uma vez que eles são "obviamente spam super-spam" e ninguém está sendo enganado, provavelmente você deseja impedir que a linha "from:" seja facilmente falsificada, pois se usuários suficientes sempre "marcam como spam "o e-mail comercial da sua esposa, os filtros de spam provavelmente começarão a lançar todas as mensagens desse endereço.

A autenticação de email deve ajudar os servidores de email de envio e recebimento para verificar se as mensagens são realmente enviadas de quem eles dizem que são. Encontrei algumas informações no Gmail, já que é uma das "três grandes" empresas de e-mail, provavelmente é um bom lugar para começar. Mesmo a mudança de provedores de e-mail para um que já esteja configurado / autenticado, como o Gmail for Business, deve ajudar e pode ser mais fácil, mas não deve ser necessário, embora a julgar pela resposta do GoDaddy, eles possam não ser o anfitrião dos seus sonhos.

A ajuda do Gmail na autenticação de e-mail tem alguns conselhos para o envio de domínios:

Se você é um domínio de envio

Mensagens com assinaturas DKIM usam uma chave para assinar mensagens. As mensagens assinadas com teclas de atalho podem ser facilmente falsificadas (consulte http://www.kb.cert.org/vuls/id/268267 ); portanto, uma mensagem assinada com uma tecla de atalho não é mais uma indicação de que a mensagem foi autenticada corretamente. Para proteger melhor nossos usuários, o Gmail começará a tratar os e-mails assinados com chaves de menos de 1024 bits como não assinados, a partir de janeiro de 2013. É altamente recomendável que todos os remetentes que usam teclas de atalho mudem para chaves RSA com pelo menos 1024 bits. A autenticação é altamente recomendada para todos os remetentes de email, para garantir que suas mensagens sejam classificadas corretamente. Para outras recomendações, consulte nossas Diretrizes para remetentes em massa .

A autenticação por si só não é suficiente para garantir que suas mensagens possam ser entregues, pois os spammers também podem autenticar emails. O Gmail combina relatórios de usuários e outros sinais, com informações de autenticação, ao classificar mensagens.

Da mesma forma, o fato de uma mensagem não ser autenticada não é suficiente para classificá-la como spam, porque alguns remetentes não autenticam seus emails ou porque a autenticação é interrompida em alguns casos (por exemplo, quando as mensagens são enviadas para listas de email).

Saiba mais sobre como você pode criar uma política para ajudar a controlar emails não autenticados do seu domínio.

O último link Controlar emails não autenticados do seu domínio é particularmente relevante:

Para ajudar a combater spam e abuso, o Gmail usa a autenticação de email para verificar se uma mensagem foi realmente enviada do endereço de onde parece ter sido enviada. Como parte da iniciativa DMARC, o Google permite que os proprietários do domínio ajudem a definir como lidamos com mensagens não autenticadas que afirmam ser falsamente do seu domínio.

O que você pode fazer

Os proprietários de domínio podem publicar uma política informando ao Gmail e a outros provedores de e-mail participantes como lidar com as mensagens enviadas do seu domínio, mas não autenticadas. Ao definir uma política, você pode ajudar a combater o phishing para proteger os usuários e sua reputação.

No site da DMARC, saiba como publicar sua política ou consulte as instruções para domínios do Google Apps .

Aqui estão algumas coisas para manter na mente:

• Você receberá um relatório diário de cada provedor de email participante para ver com que frequência seus emails são autenticados e com que frequência os emails inválidos são identificados.
• Convém ajustar sua política à medida que aprende com os dados nesses relatórios. Por exemplo, você pode ajustar suas políticas acionáveis ​​de "monitorar" para "quarentena" para "rejeitar" à medida que se torna mais confiante de que suas próprias mensagens serão todas autenticadas.
• Sua política pode ser rigorosa ou relaxada. Por exemplo, o eBay e o PayPal publicam uma política que exige que todo o correio seja autenticado para aparecer na caixa de entrada de alguém. De acordo com sua política, o Google rejeita todas as mensagens do eBay ou PayPal que não são autenticadas.

Mais sobre DMARC

O DMARC.org foi formado para permitir que os remetentes de email influenciem emails não autenticados, publicando suas preferências em uma política flexível e detectável. Ele também permite que os provedores de email participantes forneçam relatórios para que os remetentes possam melhorar e monitorar sua infraestrutura de autenticação.

O Google está participando do DMARC junto com outros domínios de e-mail como AOL, Comcast, Hotmail e Yahoo! Enviar. Além disso, remetentes como Bank of America, Facebook, Fidelity, LinkedIn e Paypal já publicaram políticas para o Google e outros receptores seguirem.

Para mais informações, consulte esta postagem no Blog oficial do Gmail .

Outros links úteis:

• Configure o Gmail para enviar / receber e-mails usando seu próprio nome de domínio
• Assuma o controle de seu endereço de e-mail

O que pode ser feito depende de quanto da infraestrutura você tem controle e se está usando seu próprio nome de domínio ou simplesmente possui um endereço em um domínio controlado por outra pessoa.

Se você possui seu próprio domínio, é fácil mudar para um novo endereço de email no mesmo domínio. Além disso, você pode configurar registros DNS para informar ao mundo que todos os emails do seu domínio devem ser assinados digitalmente. (SPF, DKIM e DMARC são os termos a serem pesquisados, se essa é a abordagem que você deseja adotar.)

Você não pode esperar que todos verifiquem essas assinaturas; portanto, mesmo se você configurar registros DNS indicando que o email do seu domínio deve ser assinado, ainda haverá abusadores enviando emails não assinados que alegam ser do seu domínio e destinatários aceitando esses emails não assinados.

Se você não controla o domínio, a alteração do endereço de email não é tão fácil e você tem pouca influência sobre se os registros DNS são usados ​​para limitar a capacidade de falsificar o domínio nos emails de saída.

O problema com as mensagens de spam usando um endereço de origem falsificado, causando retornos ao endereço legítimo, é pelo menos em princípio fácil de resolver.

Você pode gravar Message-IDtodos os emails que está enviando. Todas as devoluções precisam incluir a Message-IDmensagem original em algum lugar - caso contrário, a devolução é completamente inútil, porque é isso que indica qual mensagem foi devolvida. Qualquer mensagem devolvida que não contenha uma que Message-IDvocê enviou anteriormente pode ser enviada diretamente para a pasta de spam ou ser rejeitada no momento do recebimento (o que tem o bom benefício de levar o problema um passo à frente da fonte).

Os reembolsos podem ser diferenciados de outros e-mails pelo MAIL Fromendereço. Os bounces sempre têm um MAIL Fromendereço vazio , outros e-mails nunca têm um MAIL Fromendereço vazio .

Portanto, se MAIL Fromestiver vazio - e DATAnão contiver um que Message-IDvocê enviou anteriormente, o e-mail poderá ser rejeitado com segurança.

Esse é o princípio. Transformar isso em prática é um pouco mais difícil. Antes de tudo, a infraestrutura para e-mails enviados e recebidos pode ser separada, o que torna problemático para a infraestrutura que os e-mails recebidos sempre saibam sobre tudo o Message-IDque passou pela infraestrutura para e-mails enviados.

Além disso, alguns provedores insistem em enviar devoluções que não estão de acordo com o bom senso. Por exemplo, vi fornecedores enviando devoluções sem nenhuma informação sobre o email original que foi devolvido. Minha melhor recomendação para tais rejeições inúteis é tratá-las como spam, mesmo que sejam originárias de um sistema de correio legítimo.

Lembre-se de que quem obteve a lista de endereços de email pode colocar qualquer um deles como endereço de origem e qualquer um deles como endereço de destino. Portanto, a menos que você tenha informações adicionais, não poderá ter certeza de que o vazamento ocorreu no seu próprio sistema. Pode ser qualquer um dos seus contatos que vazou a lista de endereços, incluindo o seu.

Quanto mais você descobrir quais endereços estão na lista de vazamentos e quais não, melhor será capaz de descobrir de onde eles foram vazados. Pode ser que você já tenha feito isso e concluiu que o vazamento deve ter se originado da sua lista de contatos, pois nenhum de seus contatos sabia que todos os endereços confirmados foram vazados.

Minha abordagem é usar meu próprio domínio e um endereço de e-mail separado nesse domínio para cada contato com o qual me comunico. Incluo a data da primeira comunicação com o contato no endereço de e-mail, para que pareça kasperd@mdgwh.04.dec.2015.kasperd.netque eu escreva um e-mail para um novo contato hoje. Essa abordagem obviamente não é para todos, mas para mim certamente ajuda a saber exatamente quem vazou uma lista de endereços de e-mail em que um dos meus está. Isso também significa que posso fechar os endereços individuais de forma que somente a pessoa que vazou meu endereço precise atualizar suas informações de contato para mim.

Sim e não.

Nada me impede de escrever um e-mail com seu endereço como remetente. Isso não é diferente do correio normal em papel, onde também posso colocar um endereço de destino na frente do envelope e um endereço de retorno (qualquer!) Na parte de trás do envelope.

No entanto, você pode adicionar uma assinatura digital para provar que é o remetente (consulte a resposta do PGP e do Xen). E os provedores de correio também estão começando a implementar verificações de segurança para comunicação entre servidores de correio. (Consulte TLS - Transport Layer Security). Mas o correio baseia-se nos antigos protocolos em que todos se comportaram e cooperaram bem. Não foi projetado para o grande mundo ruim.

Você está abordando isso incorretamente.

Dos anos passados ​​no setor de reparos de computadores, posso dizer que é muito improvável que ocorra algum "hacking" aqui. É muito mais provável que o computador da sua esposa tenha um vírus e esse vírus tenha acessado o catálogo de endereços do Thunderbird.

Isso é bastante comum. Normalmente, o vírus está enviando os e-mails diretamente do computador infectado; portanto, a remoção do vírus interrompe os e-mails de spam - eles não estão "falsificando" o endereço de e-mail da sua esposa, são o endereço de e-mail da sua esposa.

É muito improvável que alterar endereços de email, conforme sugerido por outro usuário, resolva algo ... especialmente se você o inserir no Thunderbird no mesmo computador.

Baixe e execute Combofixno computador da sua esposa.

http://www.bleepingcomputer.com/download/combofix/

Há instruções sobre como executá-lo em: http://www.bleepingcomputer.com/combofix/how-to-use-combofix

Basicamente, faça o download, execute-o como administrador (clique com o botão direito do mouse -> execute como administrador), clique em OK / Sim / Continue com os prompts e depois se afaste por 30 minutos a uma hora. Ele será executado por um longo período de tempo e provavelmente reiniciará o computador (certifique-se de fazer login novamente para continuar funcionando).

Você saberá que é feito quando um bloco de notas em tela cheia é aberto com um monte de texto. Feche, reinicie mais uma vez e você provavelmente resolveu o seu problema ... só o tempo dirá.

Há duas questões aqui. Sua pergunta específica sobre a validação de remetentes de email e o que se pode fazer quando o email está sendo enviado em seu nome.

Infelizmente, é uma questão simples falsificar o From:endereço em um email, e isso é tudo o que é preciso. Embora existam maneiras de configurar o email para que o remetente possa ser verificado (como a assinatura digital mencionada em outras respostas), elas não são de uso geral. Se os contatos roubados de sua esposa incluíam muitas conexões casuais, clientes antigos, listas de discussão etc., isso não é suficiente: se os destinatários consideram os e-mails falsificados um aborrecimento, a última coisa que eles querem é que instale um software especial em seus computadores.

O que nos leva ao que ela pode fazer. Endereços roubados são amplamente utilizados como cobertura por spammers, e a maioria das pessoas sabe ignorar spam óbvio que finge vir de um conhecido. Se isso é tudo o que está acontecendo, a solução é claramente para sua esposa receber um novo e-mail, de preferência um que seja facilmente distinguível do antigo; se possível, combine-o com a grafia do nome completo de maneira diferente, por exemplo, adicione um nome do meio ou cargo. Em seguida, notifique todos na lista de contatos e pare de usar o email antigo, mas continue a monitorá-lo para receber mensagens de pessoas que perderam o memorando.

As coisas ficam mais difíceis se você acredita que alguém está mirando especificamente em sua esposa, tentando se passar por ela, prejudicar sua reputação, etc. Nesse caso, um novo e-mail será rapidamente adotado pelo atacante (já que sua esposa não o manterá um segredo). Mas é uma ponte que você pode atravessar se alguma vez chegar a isso (o que considero improvável).

Como Freeman disse ... informe todos os correspondentes regulares de email que todos os emails futuros dela terão a frase que ele mencionou ou algo semelhante.

Alguns dos meus contatos mais regulares sabem que, se eles querem que eu abra suas mensagens, precisam dizer algo no e-mail que nenhum remetente de spam jamais saberia, por exemplo "Sim, Dennis, esse é realmente ______ e o nome do seu cão é ______". diga algo semelhante a eles. Isso é um aborrecimento? Talvez seja mais um pequeno aborrecimento.

Agora, se todos adotassem o SPF, isso seria uma grande ajuda.

Pode não ser o ideal, mas se eu fosse você, encerraria minha conta e começaria uma nova. Dizendo a todos o meu novo endereço e a colocar na lista negra o antigo.