Védekezés az e-mail forgalmat érintő adathalászat ellen

Bemutatjuk az alapvető eszközöket

Világszerte hatalmas problémát jelentenek a hamisított emailek. Az SMTP protokoll hiányosságai miatt a támadók könnyedén tudnak emaileket hamisítani bárki és bármilyen domain nevében. Ezt felhasználva, könnyen megtámadható egy vállalat hamisított/ adathalász emailekkel.

A könnyű hamisíthatóság miatt nagyon fontos, hogy a szervezetek figyelmet szenteljenek a saját domainjeik "hírnevének" megőrzésére. Ez alatt azt értem, hogy többféle eszköz áll rendelkezésre, amivel a külvilág felé hitelesen lehet bizonyítani, hogy biztosan az adott domain nevében küldték a levelet.

Egy tavalyi statisztika szerint, a Fortune 500-as cégeknek is mindössze 9%-a (!) használja ezeket a könnyen implementálható megoldásokat.

Az alábbiakban egy rövid leírás arról a három eszközről, amelyekkel azaz pl. a contoso.com domain hogy tudja igazolni a külvilág (fogadó mailszerverek) felé a hitelességét.

Három eszközre lehet támaszkodni:

  • SPF rekord: ez egy régi megoldás, a publikus DNS zónába felvéve a rekordot lehet deklarálni, hogy honnan küldhetnek a contoso.com nevében mailt. Itt meg lehet adni domainnevet vagy a küldő szerverek IP címeit. Az SPF megléte alap kellene hogy legyen, ennek ellenére domainek millióinál hiányzik ez a beállítás!

  • DKIM aláírás: nagyon röviden, a contoso.com levelezőszerver minden kimenő mailt aláír (ez a felhasználók számára teljesen transzparens), amit a fogadó szerver egy DNS rekord visszaellenőrzéssel tud validálni (DNS-ben lévő publikus kulcs). Mivel a privát kulcs a contoso szerveren van, így a fogadó szerver biztos lehet benne, hogy a contoso írta alá.

  • DMARC: ez szintén egy publikus DNS zónában elhelyezett TXT rekord, amivel a fogadó oldalt lehet tájékoztatni, hogy mit tegyen a contoso nevében érkezett hamisított mailekkel. Tegyük fel, hogy érkezett egy sales@contoso.com feladójú mail, aminek küldő IP címe nem szerepel az SPF rekordban és a DKIM aláírása sem hiteles. Ez esetben a fogadó oldal lekérdezi a contoso.com DMARC rekordját, hogy mit tegyen a hamis levéllel. Ha az előírás az, hogy reject, akkor a fogadó oldal eldobja a mailt.


A fenti nagyon egyszerű (és ingyenes!) megoldásokkal elég jól biztosítható egy adott domain reputációja. Természetesen ehhez az is szükséges lenne, hogy minden szervezet implementálja ezeket, hiszen csak akkor működik jól egy védelem, ha egységesen világszerte használatban van. Aki teheti, állítsa be ezeket, ezzel is hozzájárulva a globális védekezéshez a hamisított levelezés elleni harcban.


Istvánffy ZoltánIstvánffy Zoltán

Microsoft Cloud Solution Architect, Microsoft Certified Trainer

Qualysoft Informatikai Zrt.

zoltan.istvanffy@qualysoft.com |My LinkedIn Profile

Next

Üzleti értékteremtés egy modern ERP segítségével

2019. nov. 28. 11:45
#

Minden cég vagy szervezet, bármilyen iparág, akármilyen méretben végzi tevékenységét előbb-utóbb érzi a szükségét, hogy működésének adatait feljegyezze olyan formában, amihez képes hatékonyan hozzáférni, ellenőrizni és az ebből származó információk alapján döntéseket hozni, felügyelni a tevékenység folyamatát.

További információk