Czy można zapobiec fałszowaniu wiadomości e-mail?

50

Konto e-mail mojej żony zostało zhakowane, a osoba atakująca dostała swoją książkę adresową. Nie wiem, czy atak miał miejsce na jej lokalnym kliencie e-mail (Thunderbird działającym w systemie Windows 7), czy na serwerze (hostowanym w GoDaddy). Tak czy inaczej, dane z listy kontaktów są dostępne i nie mogę tego cofnąć. Zmieniłem wszystkie hasła, zaktualizowałem zabezpieczenia itp. I nie sądzę, aby były jakieś dalsze ingerencje.

Jednak ktokolwiek to zrobił, wysyłał ogromne ilości spamu, używając imienia mojej żony jako „nadawcy”. Przez chwilę milczą, a potem tak często budzę do kilkudziesięciu e-maili od mojej żony, których oczywiście tak naprawdę nie wysłała, a każda inna osoba w jej książce adresowej też je otrzymuje . A ponieważ jej książka adresowa była pełna wielu martwych adresów, moja żona otrzymuje setki wiadomości zwrotnych „Mail Delivery Failed”, a także setki wiadomości e-mail odrzuconych przez domenę odbierającą jako spam. Ludzie na jej liście kontaktów denerwują się i staje się to prawdziwym problemem.

Poprosiłem GoDaddy o to, a oni mówią, że każda osoba A może wysłać wiadomość e-mail do osoby, która [email protected]twierdzi [email protected], że jest , i że nie ma infrastruktury e-mail do zweryfikowania, czy osoba A jest upoważniona do wysyłania wiadomości e-mail ccc.com. W związku z tym absolutnie nic nie mogę na to poradzić, a ten spamer będzie mógł nękać ludzi, szkodzić reputacji mojej żony, umieszczać jej adresy e-mail na czarnej liście itp. I nie ma sposobu, aby temu zapobiec .

Czy to prawda, czy jest coś, co mogę zrobić, aby powstrzymać tych spamerów lub w dzierżawie zmniejszyć szkody?

Joshua Frank
źródło
27
Tak to prawda.
Uruchom CMD
14
Mogę wrzucić kopertę do poczty, która mówi, że to od Prezydenta, jeśli chcę. Cholera, można powiedzieć, że pochodzi od Boga. Porozmawiaj z administratorem poczty w domenie, w której znajduje się jej adres e-mail.
David Schwartz,
7
Twoja żona ma wirusa na swoim komputerze. To nie był „haker” ... wirusy często spotykają się z książką adresową programu Outlook / Thunderbird i spamują wszystkich. Napraw wirusa, bo inaczej tak się stanie.
SnakeDoc,
4
Osoba, która została sfałszowana, nie może tego zatrzymać (niestety dla ciebie), ale odbiorcy mogą użyć niektórych narzędzi, aby spróbować zmniejszyć liczbę otrzymywanych fałszywych wiadomości.
Todd Wilcox,
4
Po otrzymaniu jednego z tych e-maili sprawdź pełne nagłówki wiadomości e-mail, a także nagłówki „Odebrano:”. To da ci informację, czy e-maile faktycznie pochodzą od kogoś innego, czy z komputera twojej żony (z powodu wirusa na tym komputerze).
jcaron,

Odpowiedzi:

46

Naprawdę bardzo trudno jest rozwiązać problem fałszowania wiadomości e-mail w sposób ogólny, ze względu na prosty i wysoce rozproszony sposób zaprojektowania protokołu.

Fizyczna analogia do listu trzyma się całkiem dobrze w tym przykładzie: mogę umieścić list na poście i napisać na nim, że pochodzi on z twojego domu; Nie muszę włamać się do twojego domu, aby to zrobić, po prostu upuść go w publicznej skrzynce pocztowej. A jeśli post oznaczony jest jako „zwrot do nadawcy”, może on zostać „zwrócony”, nawet jeśli go nie napisałeś. To samo dzieje się z pocztą e-mail: każdy może dostarczyć wiadomość do systemu z adresem Do i Od; serwer, z którego wysyłasz pocztę, może nie być tym samym, na który otrzymujesz pocztę, i nie ma scentralizowanej usługi weryfikującej twoją tożsamość po upuszczeniu wiadomości do systemu.

Istnieją dwa ogólne podejścia do rozwiązania tego:

Podpisy cyfrowe to sposób na zawarcie w wiadomości rodzaju podpisu lub pieczęci, którą tylko prawdziwy nadawca wie, jak wygenerować (używając klucza prywatnego, którego nigdy nie udostępnia). Odbiorca może następnie zweryfikować podpis przy użyciu klucza publicznego, który matematycznie dowodzi, kto wyprodukował podpis (i czy pasuje do otrzymanego tekstu).

Nie jest to jednak bardzo przydatne w twoim przykładzie, ponieważ nie uniemożliwia dostarczenia wiadomości i wymaga od odbiorców znajomości klucza publicznego lub zweryfikowanej lokalizacji w celu jego odzyskania.

W celu zapobiegania spamowi opracowano oparte na domenie systemy weryfikacji nadawców . Przechowują one dane w DNS (wyszukiwanie katalogu) dla domeny adresu (część po @), które pozwalają systemowi odbierającemu sprawdzić, czy poczta jest prawdziwa. Jeden system, SPF , wymienia, które systemy mogą wysyłać pocztę w imieniu tej domeny; inny, DKIM , przechowuje używane klucze publiczne podobne do powyższego podejścia do podpisu cyfrowego, ale do weryfikacji systemu nadawczego, a nie faktycznego nadawcy.

(Aby nieco rozszerzyć fizyczną analogię listów, SPF jest jak publiczne powiedzenie „Wysyłam tylko listy przy użyciu tej skrzynki pocztowej”, a DKIM jest jak publiczne powiedzenie „Zawsze wysyłam pocztę z tego urzędu pocztowego, który drukuje dla mnie etykietę umożliwiającą manipulację „.)

Byłyby one bardziej odpowiednie dla twojej sprawy - gdyby twoja żona używała niestandardowej domeny, odpowiednia konfiguracja SPF lub DKIM spowodowałaby, że wiele systemów po cichu odrzuciłoby pocztę, której sama nie wysłała (lub oznaczyło ją jako spam, bez przypisywania jej jej ). Działa jednak tylko na poziomie domeny, a nie na indywidualnym adresie, a niektóre systemy odbiorców mogą nie sprawdzać zapisów.

IMSoP
źródło
Poziom domeny byłby dla mnie wystarczający, ponieważ adres e-mail znajduje się w domenie niestandardowej i jest w rzeczywistości jedynym. Ale jak wiarygodne są te środki i czy można je obejść przez spamerów? Czy większość głównych dostawców usług internetowych i dostawców poczty e-mail korzysta z wyszukiwania SPF i DKIM, czy raczej są to propozycje bez szerokiego zastosowania?
Joshua Frank,
4
@JoshuaFrank - Prawie każda legalna firma poprawnie konfiguruje (SPF, DKIM, ect), aby złagodzić opisywane problemy. To naprawdę zależy od tego, czy masz umiejętności techniczne, aby to zrobić i zasoby, aby wdrożyć te rozwiązania.
Ramhound,
4
Kluczowym pytaniem jest, czy usługa odbiorcy weryfikuje nagłówki SPF / DKIM i co robi z informacjami. Na szczęście wiele osób korzysta obecnie z usług poczty internetowej, takich jak Hotmail / Outlook.com i GMail, które są dość dobre w tego rodzaju sprawach, ale niektórzy mniejsi dostawcy usług internetowych mogą nie mieć bardzo dobrego filtrowania, w którym to przypadku nic nie można zrobić, aby je zatrzymać odbieranie poczty. Warto jednak spróbować - SPF jest ogólnie dość łatwy w konfiguracji.
IMSoP,
6
+1. Połączone razem SPF, DKIM i DMARC są niesamowicie potężną bronią, gdy systemy rzeczywiście przeszkadzają w ich słuchaniu.
Kaz Wolfe,
2
@DmitryGrigoryev Krótka odpowiedź: nie. Długa odpowiedź: patrz nowy akapit dodany u góry odpowiedzi.
IMSoP,
16

Wysłanie wiadomości e-mail do wszystkich kontaktów na żywo w jej książce adresowej i poinformowanie ich o problemach ze spamem e-mail prawdopodobnie by pomogło. A teraz jest tak dobry moment, jak każdy, aby usunąć martwe kontakty z listy.

Korzystanie z PGP / GPG w przyszłości byłoby prawie idealnym rozwiązaniem dla prywatnych użytkowników i nadawców , którzy mogliby sami zweryfikować, czy wiadomość e-mail jest faktycznie wysyłana od nadawcy, i mogliby ukryć / zaszyfrować zawartość wiadomości, aby były widoczne tylko dla zamierzony odbiornik. Ale chociaż PGP jest dostępny od dziesięcioleci, powszechnie nie jest łatwo rozpocząć korzystanie z niego, a poczta internetowa (np. Gmail itp.) Utrudnia trzymanie tajnych części w tajemnicy tylko dla Ciebie i nadal jest łatwa do używać z dowolnego miejsca ...

Potwierdzenie email

Są rzeczy, które można zrobić, aby uwierzytelnić się w odbiorcach e-maili (przynajmniej niektórzy, np. Yahoo i Google i inni, którzy „ reprezentują wysoki odsetek użytkowników internetowych e-maili ” - DMARC FAQ ), że wiadomość, która mówi, że pochodzi z Twojej domeny, naprawdę jest z twojej domeny. Używają DMARK, który „ pozwala nadawcy wskazać, że jego wiadomości są chronione przez SPF i / lub DKIM, i mówi odbiorcy, co zrobić, jeśli żadna z tych metod uwierzytelnienia nie przejdzie - na przykład śmieci lub odrzuć wiadomość ” - DMARC FAQ .

Zmiana innego adresu e-mail może również pomóc w krótkim okresie, wtedy Ty i wszyscy inni możecie bezpiecznie zignorować / „oznaczyć jako spam” wszystkie dalsze wiadomości od spamerów. Ale nawet jeśli nie jest to twoim głównym zmartwieniem, ponieważ są one „spamem o najwyższym stopniu spamu” i nikogo nie można oszukać, prawdopodobnie chcesz powstrzymać łatwą sfałszowanie wiersza „od:”, ponieważ jeśli wystarczająca liczba użytkowników zawsze „oznacza” jako spam ”firmowy adres e-mail żony, filtry antyspamowe prawdopodobnie zaczną wyrzucać wszystkie wiadomości z tego adresu.

Uwierzytelnianie wiadomości e-mail powinno pomóc serwerom wysyłającym i odbierającym w sprawdzaniu, czy wiadomości są faktycznie wysyłane od tego, od kogo pochodzą. Znalazłem trochę informacji na temat Gmaila, ponieważ jest to jedna z firm zajmujących się pocztą elektroniczną „z wielkiej trójki” i prawdopodobnie jest to dobre miejsce na rozpoczęcie. Nawet zmiana dostawcy poczty e-mail na takiego, który jest już skonfigurowany / uwierzytelniony, na przykład Gmail dla Firm, powinien pomóc i może być łatwiejszy, ale nie powinien być konieczny, chociaż sądząc po odpowiedzi GoDaddy, może nie być Twoim wymarzonym gospodarzem.

Pomoc Gmaila na temat uwierzytelniania poczty e-mail zawiera porady dotyczące wysyłania domen:

Jeśli jesteś domeną wysyłającą

Wiadomości z podpisami DKIM używają klucza do podpisywania wiadomości. Wiadomości podpisane krótkimi klawiszami można łatwo sfałszować (patrz http://www.kb.cert.org/vuls/id/268267 ), więc wiadomość podpisana krótkim klawiszem nie oznacza już, że wiadomość jest poprawnie uwierzytelniona. Aby najlepiej chronić naszych użytkowników, Gmail zacznie traktować wiadomości e-mail podpisane przy użyciu kluczy mniejszych niż 1024-bitowe jako niepodpisane, począwszy od stycznia 2013 r. Zdecydowanie zalecamy, aby wszyscy nadawcy używający krótkich kluczy przełączali się na klucze RSA o długości co najmniej 1024-bitowej. Uwierzytelnianie jest wysoce zalecane dla każdego nadawcy poczty, aby upewnić się, że wiadomości są poprawnie klasyfikowane. Inne zalecenia można znaleźć w naszych Wytycznych dla nadawców masowych .

Samo uwierzytelnianie nie wystarcza do zagwarantowania dostarczenia wiadomości, ponieważ spamerzy mogą również uwierzytelniać pocztę. Gmail klasyfikuje wiadomości użytkowników i inne sygnały z informacjami uwierzytelniającymi.

Podobnie fakt, że wiadomość nie jest uwierzytelniona, nie wystarcza, aby zaklasyfikować ją jako spam, ponieważ niektórzy nadawcy nie uwierzytelniają swojej poczty lub ponieważ uwierzytelnianie psuje się w niektórych przypadkach (na przykład, gdy wiadomości są wysyłane na listy mailingowe).

Dowiedz się więcej o tym, jak utworzyć zasadę, która pomoże kontrolować nieuwierzytelnioną pocztę ze swojej domeny.

Ostatni link Kontrola nieuwierzytelnionej poczty z Twojej domeny jest szczególnie istotny:

Aby pomóc w walce ze spamem i nadużyciami, Gmail używa uwierzytelnienia e-mail, aby sprawdzić, czy wiadomość została faktycznie wysłana z adresu, z którego wygląda na to, że została wysłana. W ramach inicjatywy DMARC Google zezwala właścicielom domen na określenie sposobu obsługi nieuwierzytelnionych wiadomości, które fałszywie twierdzą, że pochodzą z Twojej domeny.

Co możesz zrobić

Właściciele domen mogą opublikować zasady informujące Gmaila i innych uczestniczących dostawców poczty e-mail o tym, jak obsługiwać wiadomości wysyłane z Twojej domeny, ale nie są uwierzytelniane. Definiując zasady, możesz pomóc w walce z phishingiem, aby chronić użytkowników i swoją reputację.

Na stronie DMARC dowiedz się, jak opublikować swoje zasady lub zapoznaj się z instrukcjami dla domen Google Apps .

Oto kilka rzeczy, o których należy pamiętać:

  • Otrzymasz codzienny raport od każdego uczestniczącego dostawcy poczty e-mail, dzięki czemu zobaczysz, jak często Twoje wiadomości są uwierzytelniane i jak często są wykrywane nieprawidłowe wiadomości.
  • Możesz dostosować swoje zasady, korzystając z danych zawartych w tych raportach. Na przykład możesz dostosować swoje możliwe do zastosowania zasady z „monitoruj” do „poddaj kwarantannie”, aby „odrzucić”, ponieważ zyskujesz większą pewność, że wszystkie twoje wiadomości zostaną uwierzytelnione.
  • Twoja polityka może być surowa lub zrelaksowana. Na przykład eBay i PayPal publikują zasady wymagające uwierzytelnienia całej poczty w celu wyświetlenia w czyjejś skrzynce odbiorczej. Zgodnie z ich zasadami Google odrzuca wszystkie wiadomości z serwisu eBay lub PayPal, które nie są uwierzytelnione.

Więcej o DMARC

Utworzono DMARC.org, aby umożliwić nadawcom wiadomości e-mail wpływ na nieuwierzytelnioną pocztę poprzez opublikowanie ich preferencji zgodnie z wykrywalnymi i elastycznymi zasadami. Umożliwia także uczestniczącym dostawcom poczty e-mail dostarczanie raportów, dzięki czemu nadawcy mogą poprawić i monitorować infrastrukturę uwierzytelniania.

Google uczestniczy w DMARC wraz z innymi domenami e-mail, takimi jak AOL, Comcast, Hotmail i Yahoo! Poczta. Ponadto nadawcy tacy jak Bank of America, Facebook, Fidelity, LinkedIn i Paypal opublikowali już zasady obowiązujące Google i innych odbiorców.

Aby uzyskać więcej informacji, zapoznaj się z tym postem na oficjalnym blogu Gmaila .

Inne pomocne linki:

Xen2050
źródło
6
Niestety dla większości osób skonfigurowanie PGP / GPG i używanie go na tyle konsekwentnie, aby ludzie mogli zignorować niepodpisane wiadomości, jest prawdopodobnie niewykonalne - szczególnie dlatego, że w tym konkretnym scenariuszu każdy odbiorca musi skonfigurować i zrozumieć system, aby nie być wpływ istniejącego spamu.
IMSoP,
5
Prostym sposobem sprawdzenia, czy wiadomość e-mail pochodzi od twojej żony, byłoby wysłanie jej do każdego kontaktu, powiadomienie ich o ataku i powiedzenie im: „Wszystkie legalne wiadomości ode mnie w przyszłości będą zawierać This really is Mary* w temacie”. Bardziej wyrafinowani użytkownicy skonfigurują filtr odrzucający pocztę, która go nie ma, użytkownicy podstawowi mogą ręcznie usuwać pocztę, która go nie ma. Byłaby to bardzo prosta forma podpisu cyfrowego, której nawet babcia mogłaby się zorientować. * Zastąp tutaj imię swojej żony. ;)
FreeMan
1
Spam jest bardzo spamowy, więc nie ma wątpliwości, że e-maile tak naprawdę nie pochodzą od mojej żony, że powinna udowodnić swoją ludzkość, pisząc prawdziwy e-mail. Problem polega na tym, że ludzie otrzymują spam i denerwują się na moją żonę, nawet jeśli to nie jej wina. Wymaganie od wszystkich odbiorców, aby byli wystarczająco wyrafinowani, aby korzystać z PGP lub tworzyć filtry poczty na podstawie haseł, nie jest naprawdę możliwe i nie powstrzymałoby ataku spamu, który ich denerwuje.
Joshua Frank,
Jest to zwykle spowodowane przez wirusa, więc po prostu zmiana adresów e-mail przyniesie zerowy efekt, chyba że najpierw usuniesz wirusa!
SnakeDoc,
@FreeMan z wyjątkiem tego, że każdy może zduplikować „podpis” w temacie. W przypadku GPG klucz prywatny używany do podpisywania wiadomości nie jest dystrybuowany.
Nathan Osman,
10

To, co można zrobić, zależy od tego, ile infrastruktury kontrolujesz i od tego, czy używasz własnej nazwy domeny, czy po prostu masz adres pod domeną kontrolowaną przez kogoś innego.

Jeśli masz własną domenę, możesz łatwo przejść na nowy adres e-mail w tej samej domenie. Dodatkowo możesz skonfigurować rekordy DNS, aby informować świat, że wszystkie wiadomości e-mail z Twojej domeny powinny być podpisane cyfrowo. (SPF, DKIM i DMARC to terminy, których należy szukać, jeśli takie podejście chcesz zastosować).

Nie można oczekiwać, że wszyscy zweryfikują te podpisy, więc nawet jeśli skonfigurujesz rekordy DNS wskazujące, że wiadomość e-mail z Twojej domeny musi być podpisana, nadal będą nadużywający wysyłający niepodpisane wiadomości e-mail, które twierdzą, że pochodzą z Twojej domeny, i odbiorcy przyjmujący te niepodpisane wiadomości e-mail.

Jeśli nie kontrolujesz domeny, zmiana adresu e-mail nie jest tak łatwa i masz niewielki wpływ na to, czy rekordy DNS są używane do ograniczenia możliwości fałszowania domeny w wychodzących wiadomościach e-mail.

Problem z wiadomościami spamowymi używającymi sfałszowanego adresu źródłowego powodującymi odesłania do prawidłowego adresu jest co najmniej w zasadzie łatwy do rozwiązania.

Możesz zarejestrować Message-IDwszystkie wysyłane e-maile. Wszystkie Message-IDodrzuceń muszą zawierać gdzieś oryginalną wiadomość - w przeciwnym razie odesłanie i tak jest całkowicie bezużyteczne, ponieważ to mówi ci, która wiadomość została odesłana. Każda odesłana wiadomość, która nie zawiera Message-IDwcześniej wysłanej wiadomości, może zostać wysłana bezpośrednio do folderu ze spamem lub odrzucona w momencie otrzymania (co ma tę zaletę, że przesuwa problem o krok bliżej źródła).

MAIL FromAdres może odróżniać od innych wiadomości e-mail od adresu. Odbicia zawsze mają pusty MAIL Fromadres, inne e-maile nigdy nie mają pustego MAIL Fromadresu.

Jeśli więc MAIL Fromjest pusty - i DATAnie zawiera Message-IDwcześniej wysłanej wiadomości, można ją bezpiecznie odrzucić.

To jest zasada. Przekształcenie go w praktykę jest nieco trudniejsze. Przede wszystkim infrastruktura dla poczty wychodzącej i przychodzącej może być osobna, co sprawia, że ​​problematyczne jest, aby infrastruktura dla przychodzących wiadomości e-mail zawsze wiedziała o wszystkim, Message-IDco przeszło przez infrastrukturę dla wiadomości wychodzących.

Ponadto niektórzy dostawcy nalegają na wysyłanie odrzuceń, które nie są zgodne ze zdrowym rozsądkiem. Na przykład widziałem dostawców wysyłających odesłania niezawierające żadnych informacji o pierwotnym e-mailu, który został odesłany. Moja najlepsza rekomendacja dla takich bezużytecznych odsyłaczy polega na traktowaniu ich jako spamu, nawet jeśli pochodzą one z innego legalnego systemu pocztowego.

Pamiętaj, że ktokolwiek uzyskał listę adresów e-mail, może ustawić dowolny z adresów jako adres źródłowy, a dowolny z adresów jako adres docelowy. Dlatego jeśli nie masz dodatkowych informacji, nie możesz być pewien, że wyciek nastąpił nawet z twojego własnego systemu. Może to być którykolwiek z twoich kontaktów, który ujawnił listę adresów, w tym twój.

Im więcej możesz dowiedzieć się, które adresy znajdują się na liście wyciekłych, a które nie, tym lepiej będziesz w stanie ustalić, skąd wyciekły. Możliwe, że już to zrobiłeś i doszedłeś do wniosku, że wyciek musiał pochodzić z twojej listy kontaktów, ponieważ żaden z twoich kontaktów nie znałby wszystkich adresów potwierdzonych jako wyciekły.

Podejście do tego polega na użyciu mojej domeny i osobnego adresu e-mail w tej domenie dla każdego kontaktu, z którym się komunikuję. Podaję datę pierwszej komunikacji z kontaktem na adres e-mail, tak aby mogło to wyglądać, [email protected]gdybym dzisiaj napisał wiadomość e-mail do nowego kontaktu. To podejście oczywiście nie jest dla wszystkich, ale dla mnie z pewnością pomaga dokładnie wiedzieć, kto przeciekał listę adresów e-mail, na których znajduje się jeden z moich. Oznacza to również, że mogę zamknąć poszczególne adresy, tak że tylko osoba, która ujawniła mój adres, musi zaktualizować dla mnie swoje dane kontaktowe.

kasperd
źródło
Przykładowy adres wymieniony w mojej odpowiedzi otrzymał teraz swoją pierwszą wiadomość spamową. Adres zostanie chwilowo wycofany. Daje to jeden punkt danych wskazujący, jak szybko spamerzy zbierają adresy zamieszczone na superuser.com.
kasperd
8

Tak i nie.

Nic nie powstrzymuje mnie przed napisaniem wiadomości e-mail z Twoim adresem jako nadawcy. Nie różni się to od zwykłej papierowej poczty, w której mogę również umieścić adres docelowy na przedniej stronie koperty i (dowolny!) Adres zwrotny na tylnej stronie koperty.

Możesz jednak dodać podpis cyfrowy, aby potwierdzić, że jesteś nadawcą (patrz odpowiedź PGP i Xen). Dostawcy poczty również zaczynają wdrażać kontrole bezpieczeństwa w komunikacji między serwerami pocztowymi. (Patrz TLS - Transport Layer Security). Ale poczta opiera się na starych protokołach, w których wszyscy zachowywali się i współpracowali ładnie. Nie został zaprojektowany dla wielkiego złego świata.

Hennes
źródło
2
Niektórzy z najmądrzejszych ludzi powiedzieli to najlepiej. E-mail nie został zaprojektowany do przesyłania danych osobowych. E-mail został zaprojektowany w celu zastąpienia fizycznego listu, listu, który mimo że jest zapieczętowany, nadawcę można podrobić. Chociaż technologia pozwala nam dokładnie wiedzieć, skąd wysłano ten fizyczny list, w wyniku dochodzenia użytkownik końcowy nie ma dostępu do tych informacji. Innymi słowy, mógłbym wysłać komuś fizyczny list, ustawić adres zwrotny na dowolne, a odbiorca nie wiedziałby, kto go faktycznie wysłał. (ciąg dalszy w następnym komentarzu)
Ramhound,
Szyfrowanie zawartości wiadomości e-mail rozwiązuje pierwszy poważny problem z wiadomościami e-mail, ponieważ są one wysyłane zwykłym tekstem i każdy, kto ma możliwość przechwycenia wiadomości e-mail, może przeczytać jej treść. W świecie liter fizycznych byłoby to rozwiązane przez fizyczne zamknięcie koperty, więc wiesz, jeśli ktoś ją przechwycił (lub zapłacił dodatkowo za dowolną liczbę usług w przypadku fizycznej dostawy osobistej). Oczywiście nadal nie zmienia to faktu, że osoba wysyłająca list może twierdzić, że pochodzi od każdego, kogo chce, po prostu tak mówiąc.
Ramhound,
1
@Ramhound - e-mail nie był tak zaprojektowany, aby zastąpić fizyczny list, ale pocztówkę, na której każdy może również przeczytać to, co jest napisane.
Kevin Keane,
@KevinKeane - Kłócisz się z semantyką.
Ramhound,
@Ramhound - Zdaję sobie sprawę, że koncentrowałeś się głównie na adresie zwrotnym, więc masz rację w tym sensie. Jednak pod względem ochrony treści koperta przypomina pocztę e-mail z treścią zaszyfrowaną PGP: nadal możesz zobaczyć nadawcę i odbiorcę, ale nie to, co do siebie napisali. Ale tak, jeśli chodzi o fałszowanie adresu nadawcy, masz rację, koperta i pocztówka są takie same pod tym względem.
Kevin Keane,
7

Podchodzisz do tego niepoprawnie.

Od lat spędzonych w branży napraw komputerowych mogę powiedzieć, że jest bardzo mało prawdopodobne, aby miało miejsce tutaj „hackowanie”. Jest o wiele bardziej prawdopodobne, że komputer twojej żony ma wirusa, i ten wirus uzyskał dostęp do swojej książki adresowej Thunderbird.

Jest to dość powszechne. Zazwyczaj wirus wysyła wiadomości e-mail bezpośrednio z zainfekowanego komputera, więc usunięcie wirusa zatrzyma wiadomości spamowe - nie „fałszują” adresu e-mail żony, są adresem e-mail żony.

Zmiana adresów e-mail zgodnie z sugestiami innego użytkownika jest bardzo mało prawdopodobna, aby rozwiązać cokolwiek ... zwłaszcza jeśli wpiszesz go do Thunderbirda na tym samym komputerze.

Pobierz i uruchom Combofixna komputerze swojej żony.

http://www.bleepingcomputer.com/download/combofix/

Instrukcje dotyczące uruchomienia można znaleźć na stronie : http://www.bleepingcomputer.com/combofix/how-to-use-combofix

Zasadniczo pobierz go, uruchom jako administrator (kliknij prawym przyciskiem myszy -> uruchom jako administrator), kliknij przycisk OK / Tak / Kontynuuj wyświetlane monity, a następnie odejdź na 30 minut do godziny. Będzie działał przez długi czas i prawdopodobnie uruchomi ponownie komputer (zaloguj się ponownie, aby kontynuować pracę).

Będziesz wiedział, że zrobiono to, gdy otwarty jest pełny ekran notatnika z dużą ilością tekstu. Zamknij go, uruchom ponownie, a prawdopodobnie rozwiązałeś problem ... czas pokaże.

SnakeDoc
źródło
„to adres e-mail twojej żony”. - Czy to może brakuje słowa?
Ramhound,
@Ramhound Nie, próbowałem przekazać, że „oni” nie fałszują adresu e-mail, oni (wirus) dosłownie wysyłają adres e-mail za pośrednictwem klienta Thunderbird na komputerze (nawet jeśli jest zamknięty).
SnakeDoc,
Aby to zrobić, wirus musi znać hasło, które, choć jest możliwe, jest w rzeczywistości niezwykłe i rzadko wykonywane
Ramhound
@ SnakeDoc: Nie jestem pewien, czy może tak być, ponieważ dzieje się to nawet wtedy, gdy urządzenie jest wyłączone. I to jest inna maszyna niż ta, którą uruchomiono po raz pierwszy, z lepszym bezpieczeństwem, więc mam nadzieję , że nie mam tego samego wirusa. Ale i tak spróbuję combofix, żeby być bezpiecznym. Dzieki za sugestie.
Joshua Frank,
3
To tak proste, jak sprawdzanie dzienników serwera, czy zostały przez niego wysłane, czy nie. Co więcej, odbicia będą obejmować nagłówki otrzymanych wiadomości e-mail (oprócz wiadomości otrzymanych przez męża), więc nie trzeba nawet pytać osoby trzeciej.
Ángel,
2

Istnieją tutaj dwa problemy. Twoje szczegółowe pytanie dotyczące sprawdzania poprawności nadawców wiadomości e-mail i tego, co możesz zrobić, gdy wiadomość e-mail jest wysyłana w Twoim imieniu.

Niestety sfałszowanie From:adresu w wiadomości e-mail jest proste , i to wszystko. Chociaż istnieją sposoby skonfigurowania wiadomości e-mail, aby umożliwić weryfikację nadawcy (takie jak podpisywanie różnicowe wspomniane w innych odpowiedziach), nie są one jednak w powszechnym użyciu. Jeśli skradzione kontakty Twojej żony zawierały wiele przypadkowych połączeń, jednorazowych klientów, list mailingowych itp., Nie jest to początek: jeśli odbiorcy uznają fałszywe wiadomości e-mail za kłopotliwe, ostatnią rzeczą, jakiej chcą, jest poproszenie o zainstalowanie specjalnego oprogramowania na swoich komputerach.

Co prowadzi nas do tego, co potrafi. Skradzione adresy są szeroko stosowane jako spamerzy, a większość ludzi wie, jak ignorować oczywisty spam, który udaje, że pochodzi od znajomego. Jeśli to wszystko, co się dzieje, rozwiązaniem jest, aby twoja żona otrzymała nowy e-mail, najlepiej taki, który można łatwo odróżnić od starego; jeśli to możliwe, połącz to z literowaniem jej pełnego imienia w inny sposób, np. dodaj drugie imię lub stanowisko. Następnie powiadom wszystkich na liście kontaktów i przestań używać starego e-maila, ale nadal monitoruj go pod kątem wiadomości przychodzących od osób, które przegapiły notatkę.

Sprawy są trudniejsze, jeśli uważasz, że ktoś specjalnie atakuje twoją żonę, próbuje podszyć się pod nią, zaszkodzić jej reputacji itp. W takim przypadku atakujący szybko przyjmie nowy e-mail (ponieważ twoja żona nie będzie go utrzymywać sekret). Ale to most, który można pokonać, jeśli kiedykolwiek do niego dojdzie (co uważam za mało prawdopodobne).

Alexis
źródło
Jeśli przestanie używać tego adresu, wszyscy na liście nadal będą spamowani ORAZ utracą swój główny adres, więc przestanie otrzymywać krytyczne wiadomości e-mail od osób, które nie wiedzą, że używa innego adresu. Nie wiem, czy celują w moją żonę, ale wciąż to robią i zaczyna to wkurzać ludzi, ponieważ myślą, że to wina mojej żony, że nie przestali tego robić, i wciąż próbujemy wyjaśnić, że jest nic nie możemy zrobić, ale myślę, że nam nie wierzą.
Joshua Frank,
2
Nic nie przestanie dostawać. Jak powiedziałem, powinna kontynuować monitorowanie wiadomości przychodzących, ale wysyłać wiadomości e-mail z nowego adresu. Powinna też wysłać wiadomość e-mail do wszystkich, aby poinformować ich, że zainfekowany adres jest nieaktualny - w razie potrzeby mogą przekierować wiadomości e-mail z tego adresu bezpośrednio do folderu ze spamem.
Alexis,
1

Jak powiedział Freeman ... niech wszyscy regularni korespondenci e-mail będą wiedzieć, że wszystkie przyszłe e-maile od niej będą miały zwrot, o którym wspominał, lub coś podobnego.

Kilka moich najbardziej regularnych kontaktów wie, że jeśli chcą, żebym otworzył ich wiadomości, muszą powiedzieć coś w e-mailu, czego żaden spamer nigdy by nie znał, na przykład „Tak, Dennis, to naprawdę ______, a imię twojego psa to ______” I powiedz coś podobnego do nich. Czy to kłopot? Być może jest to raczej niewielka irytacja.

Gdyby wszyscy przyjęli SPF, byłoby to ogromną pomocą.

Dennis H Wilson
źródło
Problem nie polega na tym, że odbiorcy są oszukiwani przez e-mail (którego zawartość jest oczywistym linkiem do spamu), ale że otrzymują dziesiątki jego kopii. Posiadanie hasła pozwoliłoby wyrafinowanym użytkownikom stworzyć filtr, który blokuje spam, ale większość ludzi tego nie zrobi, więc będą go otrzymywać i denerwować.
Joshua Frank,
1
To rozwiązanie również nie pomaga w problemie z blowbackiem „Mail Delivery Failed”.
Anthony G - sprawiedliwość dla Moniki
Na wszelki wypadek, gdy uważasz, że SPF jest rozwiązaniem: większość (jeśli nie wszystkie) implementacje SPF nie są wystarczające, aby zatrzymać spamowanie lub zatrzymać fałszywych nadawców. Jakby to nie powstrzymało spamera przed użyciem polecenia SMTP, mail from: <[email protected]>po którym następuje nagłówek From: Someone Else <[email protected]>, ten ostatni jest adresem widocznym w kliencie e-mail. (Również odbiorcy mogą być zaskoczeni, że niektóre e-maile nie zostaną dostarczone, jeśli skonfigurują przekazywanie wiadomości e-mail; mój dostawca promuje NIE używanie SPF ...)
Arjan
1

To może nie być idealne, ale gdybym był tobą, zamknąłem moje konto i założyłem nowe. Mówię wszystkim o moim nowym adresie i wpisuję na starą listę.

Haiiro
źródło
Tak, nie jest idealne zamknięcie nagle e-maila
pun