Bisakah spoofing email dicegah?

Akun email istri saya diretas dan penyerang mendapatkan buku alamatnya. Saya tidak tahu apakah serangan itu terjadi pada klien email lokalnya (Thunderbird berjalan pada Windows 7) atau pada server (dihosting di GoDaddy). Either way, data daftar kontak di luar sana dan saya tidak bisa membatalkannya. Saya telah mengubah semua kata sandi, keamanan terkini, dll., Dan saya rasa tidak ada gangguan lebih lanjut.

Namun, siapa pun yang melakukan ini telah mengirim spam dalam jumlah besar, menggunakan nama istri saya sebagai "pengirim". Mereka terdiam beberapa saat, dan kemudian sering kali aku terbangun beberapa lusin email dari istriku, yang tentu saja tidak benar-benar dia kirim, dan setiap orang di buku alamatnya juga menerima ini . Dan karena buku alamatnya penuh dengan banyak alamat yang mati, istri saya mendapat ratusan pesan bounceback "Mail Delivery Failed", serta ratusan email yang ditolak oleh domain penerima sebagai spam. Orang-orang di daftar kontaknya menjadi marah, dan itu menjadi masalah nyata.

Saya telah bertanya kepada GoDaddy tentang hal ini, dan mereka mengatakan bahwa setiap orang A dapat mengirim email yang b@bbb.commengaku sebagai c@ccc.com, dan tidak ada infrastruktur email di tempat untuk memverifikasi bahwa orang A berwenang mengirim email dari ccc.com. Akibatnya, sama sekali tidak ada yang bisa saya lakukan tentang hal ini, dan spammer ini akan dapat melecehkan orang, merusak reputasi istri saya, membuat daftar hitam surelnya, dll. Dan tidak ada cara untuk menghentikannya .

Apakah ini benar, atau adakah yang bisa saya lakukan untuk menghentikan spammer ini, atau untuk mengurangi kerusakan?

Memang sangat sulit untuk memecahkan masalah spoofing e-mail secara umum, karena cara sederhana dan sangat terdistribusi protokol dirancang.

Analogi surat fisik cukup kuat dalam contoh ini: Saya dapat memasukkan surat ke dalam pos, dan menulis di atasnya bahwa surat itu berasal dari rumah Anda; Saya tidak perlu masuk ke rumah Anda untuk melakukan ini, cukup taruh di kotak pos publik. Dan jika posting ditandai "kembali ke pengirim" mungkin berakhir dengan "dikembalikan" kepada Anda, meskipun Anda tidak menulisnya. Hal yang sama terjadi dengan email: siapa pun dapat mengirimkan pesan ke sistem, dengan alamat Dari dan Dari; server tempat Anda mengirim email mungkin bukan yang sama dengan yang Anda terima, dan tidak ada layanan terpusat yang memverifikasi identitas Anda ketika Anda mengirim pesan ke sistem.

Ada dua pendekatan umum untuk menyelesaikan ini:

Tanda tangan digital adalah cara memasukkan semacam tanda tangan atau stempel ke dalam pesan yang hanya diketahui oleh pengirim nyata (menggunakan kunci pribadi yang tidak pernah mereka bagikan). Penerima kemudian dapat memverifikasi tanda tangan menggunakan kunci publik yang secara matematis membuktikan siapa yang menghasilkan tanda tangan (dan cocok dengan teks yang diterima).

Namun, ini tidak terlalu berguna untuk contoh Anda, karena itu tidak mencegah pengiriman pesan, dan mengharuskan penerima untuk mengetahui kunci publik, atau lokasi yang diverifikasi untuk mengambilnya.

Sistem verifikasi pengirim berbasis domain telah dikembangkan untuk mencoba mencegah spam. Ini menyimpan data dalam DNS (direktori lookup) untuk domain alamat (bagian setelah @) yang memungkinkan sistem penerima untuk memverifikasi apakah surat itu sah. Satu sistem, SPF , mendaftar sistem mana yang diizinkan mengirim email atas nama domain itu; lain, DKIM , menyimpan kunci publik yang digunakan mirip dengan pendekatan tanda tangan digital di atas, tetapi untuk memverifikasi sistem transmisi, bukan pengirim yang sebenarnya.

(Untuk sedikit memperluas analogi surat fisik, SPF seperti mengatakan di depan umum "Saya hanya mengirim surat menggunakan kotak pos ini" dan DKIM seperti mengatakan di depan umum "Saya selalu mengirim surat dari kantor pos ini yang mencetak label yang jelas untuk saya. ".)

Ini akan lebih relevan dengan kasus Anda - jika istri Anda menggunakan domain khusus, pengaturan SPF atau DKIM yang sesuai akan menyebabkan banyak sistem secara diam-diam menolak surat yang tidak ia kirimkan sendiri (atau tandai sebagai spam, tanpa menghubungkannya dengan dia) ). Namun, ini hanya berfungsi di tingkat domain, bukan alamat individual, dan beberapa sistem penerima mungkin tidak memeriksa catatan.

Mengemailkan semua kontak langsung di buku alamatnya & memberi tahu mereka tentang masalah email spam mungkin akan membantu. Dan sekarang adalah saat yang tepat untuk menghilangkan kontak mati dari daftar.

Menggunakan PGP / GPG di masa depan akan menjadi solusi yang hampir sempurna bagi pengguna pribadi & pengirim untuk memverifikasi sendiri bahwa email sebenarnya dikirim dari pengirim, dan dapat menyembunyikan / mengenkripsi isi pesan juga sehingga mereka hanya dilihat oleh penerima yang dimaksud. Tetapi, meskipun PGP telah tersedia selama beberapa dekade sekarang, itu tidak secara universal super mudah bagi siapa pun untuk mulai menggunakan, dan surat web-saja (seperti Gmail, dll) membuat sulit untuk menjaga bagian-bagian rahasia benar-benar rahasia hanya untuk Anda dan masih mudah untuk gunakan dari mana saja ...

Otentikasi Email

Ada hal-hal yang dapat dilakukan untuk mengautentikasi ke penerima email (setidaknya beberapa, seperti Yahoo & Google & lainnya, yang " mewakili persentase tinggi pengguna email Internet " - DMARC FAQ ) bahwa pesan yang mengatakan itu dari domain Anda sebenarnya adalah dari domain Anda. Mereka menggunakan DMARK yang " memungkinkan pengirim untuk menunjukkan bahwa pesan mereka dilindungi oleh SPF dan / atau DKIM, dan memberi tahu penerima apa yang harus dilakukan jika tidak satu pun dari metode otentikasi tersebut lolos - seperti sampah atau menolak pesan " - FAQ DMARC .

Mengubah ke alamat email lain juga dapat membantu dalam jangka pendek, maka Anda & orang lain dapat dengan aman mengabaikan / "menandai sebagai spam" semua pesan lebih lanjut dari pengirim spam. Tetapi bahkan jika itu bukan perhatian utama Anda karena mereka "jelas spam super-spam" dan tidak ada yang tertipu, Anda mungkin ingin melihat menghentikan garis "dari:" agar tidak mudah dipalsukan, karena jika cukup banyak pengguna selalu menandai sebagai spam "email bisnis istri Anda, filter spam mungkin akan mulai membuang semua pesan dari alamat itu.

Otentikasi Email harus membantu server pengirim & penerima untuk memverifikasi pesan yang sebenarnya dikirim dari siapa mereka berasal. Saya telah menemukan beberapa info di Gmail, karena ini adalah salah satu dari perusahaan email "tiga besar" itu mungkin tempat yang baik untuk memulai. Bahkan mengalihkan penyedia email ke yang sudah disiapkan / diautentikasi, seperti Gmail untuk Bisnis seharusnya membantu & mungkin lebih mudah, tetapi seharusnya tidak perlu, walaupun menilai dari tanggapan Anda dari GoDaddy, mereka mungkin bukan tuan rumah impian Anda.

Bantuan Gmail pada Autentikasi Email memiliki beberapa saran untuk mengirim domain:

Jika Anda seorang pengirim domain

Pesan dengan tanda tangan DKIM menggunakan tombol untuk menandatangani pesan. Pesan yang ditandatangani dengan kunci pendek dapat dengan mudah dipalsukan (lihat http://www.kb.cert.org/vuls/id/268267 ), sehingga pesan yang ditandatangani dengan kunci pendek tidak lagi menjadi indikasi bahwa pesan tersebut diotentikasi dengan benar. Untuk melindungi pengguna kami, Gmail akan mulai memperlakukan email yang ditandatangani dengan kunci kurang dari 1024-bit sebagai tidak ditandatangani, mulai Januari 2013. Kami sangat menyarankan agar semua pengirim yang menggunakan kunci pendek beralih ke kunci RSA yang panjangnya paling sedikit 1024-bit. Otentikasi sangat dianjurkan untuk setiap pengirim email untuk memastikan bahwa pesan Anda diklasifikasikan dengan benar. Untuk rekomendasi lain, lihat Panduan Pengirim Massal kami .

Otentikasi dengan sendirinya tidak cukup untuk menjamin pesan Anda dapat dikirim, karena spammer juga dapat mengotentikasi surat. Gmail menggabungkan laporan pengguna dan sinyal lainnya, dengan informasi otentikasi, saat mengklasifikasikan pesan.

Demikian pula, fakta bahwa suatu pesan tidak terauthentikasi tidak cukup untuk mengklasifikasikannya sebagai spam, karena beberapa pengirim tidak mengautentikasi surat mereka atau karena otentikasi rusak dalam beberapa kasus (misalnya, ketika pesan dikirim ke milis).

Pelajari lebih lanjut tentang bagaimana Anda dapat membuat kebijakan untuk membantu mengontrol email yang tidak diautentikasi dari domain Anda.

Tautan terakhir Kontrol email yang tidak diautentikasi dari domain Anda sangat relevan:

Untuk membantu memerangi spam dan penyalahgunaan, Gmail menggunakan autentikasi email untuk memverifikasi apakah suatu pesan benar-benar dikirim dari alamat yang kelihatannya dikirim. Sebagai bagian dari inisiatif DMARC, Google mengizinkan pemilik domain untuk membantu menentukan bagaimana kami menangani pesan yang tidak diautentikasi yang secara salah mengklaim berasal dari domain Anda.

Apa yang dapat Anda lakukan

Pemilik domain dapat menerbitkan kebijakan yang memberi tahu Gmail dan penyedia email lain yang berpartisipasi bagaimana menangani pesan yang dikirim dari domain Anda tetapi tidak diautentikasi. Dengan menetapkan kebijakan, Anda dapat membantu memerangi phishing untuk melindungi pengguna dan reputasi Anda.

Di situs web DMARC, pelajari cara mempublikasikan kebijakan Anda , atau lihat instruksi untuk domain Google Apps .

Berikut beberapa hal yang perlu diingat:

• Anda akan menerima laporan harian dari setiap penyedia email yang berpartisipasi sehingga Anda dapat melihat seberapa sering email Anda diautentikasi dan seberapa sering email yang tidak valid diidentifikasi.
• Anda mungkin ingin menyesuaikan kebijakan saat Anda belajar dari data dalam laporan ini. Misalnya, Anda dapat menyesuaikan kebijakan yang dapat ditindaklanjuti dari "monitor" ke "karantina" menjadi "menolak" karena Anda menjadi lebih percaya diri bahwa pesan Anda sendiri semuanya akan disahkan.
• Kebijakan Anda bisa ketat atau santai. Misalnya, eBay dan PayPal menerbitkan kebijakan yang mengharuskan semua surat mereka diautentikasi agar dapat muncul di kotak masuk seseorang. Sesuai dengan kebijakan mereka, Google menolak semua pesan dari eBay atau PayPal yang tidak diautentikasi.

Lebih lanjut tentang DMARC

DMARC.org dibentuk untuk memungkinkan pengirim email untuk mempengaruhi surat yang tidak diautentikasi dengan menerbitkan preferensi mereka dalam kebijakan yang dapat ditemukan dan fleksibel. Ini juga memungkinkan penyedia email yang berpartisipasi untuk memberikan laporan sehingga pengirim dapat meningkatkan dan memantau infrastruktur otentikasi mereka.

Google berpartisipasi dalam DMARC bersama dengan domain email lainnya seperti AOL, Comcast, Hotmail, dan Yahoo! Surat. Selain itu, pengirim seperti Bank of America, Facebook, Fidelity, LinkedIn, dan Paypal telah menerbitkan kebijakan untuk diikuti Google dan penerima lainnya.

Untuk informasi lebih lanjut, silakan merujuk ke posting ini di Blog Resmi Gmail .

Tautan pencarian bermanfaat lainnya:

• Siapkan Gmail untuk Mengirim / Menerima Email Menggunakan Nama Domain Anda Sendiri
• Kendalikan Alamat Email Anda

Apa yang dapat dilakukan tergantung pada seberapa banyak infrastruktur yang Anda kendalikan, dan apakah Anda menggunakan nama domain Anda sendiri atau hanya memiliki alamat di bawah domain yang dikendalikan oleh orang lain.

Jika Anda memiliki domain sendiri, mudah untuk beralih ke alamat email baru di bawah domain yang sama. Selain itu, Anda dapat mengatur catatan DNS untuk memberi tahu dunia bahwa semua email dari domain Anda seharusnya ditandatangani secara digital. (SPF, DKIM, dan DMARC adalah istilah untuk mencari jika ini adalah pendekatan yang ingin Anda ambil.)

Anda tidak dapat mengharapkan semua orang untuk memverifikasi tanda tangan ini, jadi bahkan jika Anda melakukan pengaturan catatan DNS yang menunjukkan bahwa email dari domain Anda harus ditandatangani, masih akan ada pelaku yang mengirim email yang tidak ditandatangani mengklaim berasal dari domain Anda dan penerima menerima email yang tidak ditandatangani.

Jika Anda tidak mengontrol domain, maka mengubah alamat email tidak mudah, dan Anda memiliki sedikit pengaruh pada apakah catatan DNS digunakan untuk membatasi kemampuan untuk memalsukan domain dalam email keluar.

Masalah dengan pesan spam menggunakan alamat sumber palsu yang menyebabkan bouncing kembali ke alamat yang sah setidaknya secara prinsip mudah diselesaikan.

Anda dapat merekam Message-IDsemua email yang Anda kirim. Semua pantulan harus menyertakan Message-IDpesan asli di suatu tempat - jika tidak bouncing sama sekali tidak berguna, karena itulah yang memberitahu Anda pesan mana yang terpental. Setiap pesan yang terpental yang tidak mengandung yang Message-IDAnda kirim sebelumnya dapat dikirim langsung ke folder spam atau ditolak pada waktu penerimaan (yang memiliki manfaat mendorong masalah satu langkah lebih dekat ke sumber).

Bouncing dapat diceritakan terpisah dari email lain dengan MAIL Fromalamat tersebut. Bouncing selalu memiliki MAIL Fromalamat kosong , email lain tidak pernah memiliki MAIL Fromalamat kosong .

Jadi jika MAIL Fromkosong - dan DATAtidak berisi yang Message-IDAnda kirim sebelumnya, surat itu dapat ditolak dengan aman.

Itulah prinsipnya. Mengubahnya menjadi praktik agak sulit. Pertama-tama infrastruktur untuk email keluar dan masuk mungkin terpisah, yang membuatnya bermasalah untuk infrastruktur agar email masuk selalu tahu tentang setiap Message-IDyang telah melalui infrastruktur untuk email keluar.

Selain itu beberapa penyedia bersikeras mengirim bouncing yang tidak sesuai dengan akal sehat. Misalnya saya telah melihat penyedia mengirim pantulan yang tidak berisi informasi apa pun tentang email asli yang dipantulkan. Rekomendasi terbaik saya untuk bouncing yang tidak berguna tersebut adalah memperlakukannya sebagai spam, bahkan jika mereka berasal dari sistem email yang sah.

Ingatlah bahwa siapa pun yang telah memperoleh daftar alamat email dapat memasukkan salah satu alamat sebagai alamat sumber dan alamat mana pun sebagai alamat tujuan. Jadi kecuali Anda memiliki informasi tambahan, Anda tidak dapat memastikan kebocoran bahkan terjadi dari sistem Anda sendiri. Mungkin salah satu kontak Anda yang membocorkan daftar alamat termasuk milik Anda.

Semakin Anda dapat mengetahui tentang alamat mana yang ada dalam daftar yang bocor dan mana yang tidak, semakin baik Anda dapat mengetahui dari mana alamat itu bocor. Mungkin Anda sudah melakukan ini dan menyimpulkan bahwa kebocoran pasti berasal dari daftar kontak Anda karena tidak ada kontak Anda yang tahu semua alamat yang dikonfirmasi telah bocor.

Pendekatan saya untuk itu adalah menggunakan domain saya sendiri dan alamat email terpisah di bawah domain itu untuk setiap kontak yang saya berkomunikasi dengan. Saya menyertakan tanggal komunikasi pertama dengan kontak di alamat surat, sehingga dapat terlihat seperti kasperd@mdgwh.04.dec.2015.kasperd.netjika saya menulis email ke kontak baru hari ini. Pendekatan itu jelas bukan untuk semua orang, tetapi bagi saya itu pasti membantu mengetahui dengan tepat siapa yang telah membocorkan daftar alamat email di mana salah satu dari saya berada. Ini juga berarti saya dapat menutup alamat individual sehingga hanya orang yang membocorkan alamat saya yang harus memperbarui informasi kontak mereka untuk saya.

Iya dan tidak.

Tidak ada yang menghentikan saya dari menulis email dengan alamat Anda sebagai pengirim. Ini tidak berbeda dengan surat kertas biasa di mana saya juga dapat meletakkan alamat tujuan di bagian depan amplop dan alamat pengembalian (apa saja!) Di bagian belakang amplop.

Namun, Anda dapat menambahkan tanda tangan digital untuk membuktikan bahwa Anda adalah pengirimnya (lihat jawaban PGP dan Xen). Dan penyedia surat juga mulai menerapkan pemeriksaan keamanan untuk komunikasi antara server surat. (Lihat TLS - Transport Layer Security). Tetapi email dibangun berdasarkan protokol lama di mana semua orang berperilaku dan bekerja sama dengan baik. Itu tidak dirancang untuk dunia buruk besar.

Anda melakukan pendekatan yang salah.

Dari tahun yang dihabiskan di industri perbaikan komputer, saya dapat memberitahu Anda bahwa sangat tidak mungkin ada "peretasan" yang terjadi di sini. Jauh lebih mungkin komputer istri Anda memiliki virus, dan virus itu telah mengakses buku alamat Thunderbird-nya.

Ini cukup umum. Biasanya virus mengirim email langsung dari komputer yang terinfeksi, jadi menghapus virus akan menghentikan email spam - mereka tidak "menipu" alamat email istri Anda, mereka adalah alamat email istri Anda.

Mengubah alamat email seperti yang disarankan oleh pengguna lain sangat tidak mungkin untuk menyelesaikan apa pun ... terutama jika Anda memasukkannya ke Thunderbird di komputer yang sama.

Unduh dan jalankan Combofixdi komputer istri Anda.

http://www.bleepingcomputer.com/download/combofix/

Ada petunjuk tentang cara menjalankannya di: http://www.bleepingcomputer.com/combofix/how-to-use-combofix

Intinya, unduh, jalankan sebagai administrator (klik kanan -> jalankan sebagai administrator), klik OK / Ya / Lanjutkan ke petunjuknya, lalu berjalan kaki selama 30 menit hingga satu jam. Ini akan berjalan untuk waktu yang lama, dan kemungkinan me-reboot komputer (pastikan Anda masuk kembali agar komputer tetap berfungsi).

Anda akan tahu itu dilakukan ketika notepad layar penuh terbuka dengan banyak teks. Tutup, reboot sekali lagi, dan kemungkinan Anda telah memecahkan masalah Anda ... hanya waktu yang akan menjawab.

Ada dua masalah di sini. Pertanyaan spesifik Anda tentang memvalidasi pengirim email, dan apa yang dapat dilakukan ketika email dikirim atas nama Anda.

Sayangnya itu adalah masalah sederhana untuk menipu From:alamat dalam email, dan hanya itu yang diperlukan. Meskipun ada cara untuk mengatur email sehingga pengirim dapat diverifikasi (seperti penandatanganan difital yang disebutkan dalam jawaban lain), mereka tidak digunakan secara umum. Jika kontak yang dicuri istri Anda termasuk banyak koneksi biasa, klien sekali pakai, mailing list, dll., Ini bukan permulaan: jika penerima menemukan email palsu itu merepotkan, hal terakhir yang mereka inginkan adalah diminta untuk menginstal perangkat lunak khusus di komputer mereka.

Yang membawa kita pada apa yang bisa dia lakukan. Alamat yang dicuri banyak digunakan sebagai penutup oleh spammer, dan kebanyakan orang tahu untuk mengabaikan spam jelas yang berpura-pura berasal dari seorang kenalan. Jika hanya itu yang terjadi, solusinya jelas bagi istri Anda untuk mendapatkan email baru, lebih disukai yang mudah dibedakan dari yang lama; jika mungkin, gabungkan dengan mengeja nama lengkapnya secara berbeda, mis., tambahkan nama tengah atau jabatan. Kemudian beri tahu semua orang di daftar kontaknya, dan berhenti menggunakan email yang lama tetapi terus memonitornya untuk pesan masuk dari orang-orang yang melewatkan memo itu.

Hal-hal yang lebih sulit jika Anda percaya bahwa seseorang secara khusus menargetkan istri Anda, mencoba menyamar, merusak reputasinya, dll. Dalam hal itu, email baru akan segera diadopsi oleh penyerang (karena istri Anda tidak akan menyimpannya sebagai rahasia). Tapi itu jembatan yang bisa Anda lewati jika harus sampai pada itu (yang saya anggap tidak mungkin).

Seperti yang dikatakan Freeman ... biarkan semua koresponden email reguler tahu bahwa semua email masa depan darinya akan memiliki frasa yang disebutkannya atau yang serupa.

Beberapa kontak saya yang paling biasa tahu bahwa jika mereka ingin saya membuka pesan mereka, mereka harus mengatakan sesuatu di email yang tidak akan pernah diketahui oleh spammer, misalnya "Ya, Dennis ini benar-benar ______ dan nama anjing Anda ______" Saya katakan sesuatu yang mirip dengan mereka. Apakah ini merepotkan? Mungkin itu lebih dari gangguan kecil.

Sekarang jika semua orang akan mengadopsi SPF itu akan sangat membantu.

Ini mungkin tidak ideal, tetapi jika saya jadi Anda, saya akan menutup akun saya dan memulai yang baru. Memberitahu semua orang alamat saya yang baru dan daftar hitam yang lama.