Email giả mạo có thể được ngăn chặn?

Tài khoản email của vợ tôi đã bị hack và kẻ tấn công đã lấy sổ địa chỉ của cô ấy. Tôi không biết liệu cuộc tấn công vào máy khách email cục bộ của cô ấy (Thunderbird chạy trên Windows 7) hay trên máy chủ (được lưu trữ tại GoDaddy). Dù bằng cách nào, dữ liệu danh sách liên lạc nằm ngoài đó và tôi không thể hoàn tác điều đó. Tôi đã thay đổi tất cả mật khẩu, bảo mật cập nhật, v.v. và tôi không nghĩ rằng đã có thêm bất kỳ sự xâm nhập nào.

Tuy nhiên, bất cứ ai đã làm điều này đã gửi một lượng lớn thư rác, sử dụng tên của vợ tôi làm "người gửi". Họ im lặng một lúc, và sau đó tôi thường thức dậy vài chục email từ vợ tôi, tất nhiên là cô ấy không thực sự gửi, và mọi người khác trong sổ địa chỉ của cô ấy cũng nhận được những điều này . Và vì sổ địa chỉ của cô ấy có rất nhiều địa chỉ đã chết, vợ tôi nhận được hàng trăm tin nhắn bị trả lại "Gửi thư không thành công", cũng như hàng trăm email bị từ chối bởi tên miền nhận là thư rác. Những người trong danh sách liên lạc của cô đang nổi giận, và nó trở thành một vấn đề thực sự.

Tôi đã hỏi GoDaddy về điều này và họ nói rằng bất kỳ người nào A đều có thể gửi email để b@bbb.comtự xưng c@ccc.com, và không có cơ sở hạ tầng email nào để xác minh rằng người A được phép gửi email từ đó ccc.com. Do đó, tôi hoàn toàn không thể làm gì về việc này và người gửi thư rác này sẽ có thể quấy rối mọi người, làm tổn hại danh tiếng của vợ tôi, đưa email của cô ấy vào danh sách đen, v.v. và không có cách nào để ngăn chặn điều đó .

Điều này có đúng không, hoặc có bất cứ điều gì tôi có thể làm để ngăn chặn những kẻ gửi thư rác này, hoặc cho thuê giảm thiểu thiệt hại?

Thực sự rất khó để giải quyết vấn đề giả mạo e-mail một cách chung chung, do cách thức đơn giản và phân tán cao mà giao thức được thiết kế.

Sự tương tự chữ cái vật lý giữ khá tốt trong ví dụ này: Tôi có thể đặt một lá thư vào bài viết, và viết trên đó rằng nó đến từ nhà bạn; Tôi không cần phải đột nhập vào nhà bạn để làm điều này, chỉ cần thả nó vào một hộp bài công khai. Và nếu bài đăng được đánh dấu là "trả lại cho người gửi" thì có thể cuối cùng bạn sẽ được "trả lại" cho bạn, mặc dù bạn đã không viết nó. Điều tương tự cũng xảy ra với e-mail: bất kỳ ai cũng có thể gửi tin nhắn vào hệ thống, với địa chỉ Đến và Từ; máy chủ bạn gửi thư từ có thể không giống với máy chủ bạn nhận thư và không có dịch vụ tập trung nào xác minh danh tính của bạn khi bạn thả thư vào hệ thống.

Có hai cách tiếp cận chung để giải quyết điều này:

Chữ ký điện tử là một cách bao gồm trong tin nhắn một loại chữ ký hoặc con dấu mà chỉ người gửi thực sự biết cách tạo (sử dụng khóa riêng mà họ không bao giờ chia sẻ). Sau đó, người nhận có thể xác minh chữ ký bằng khóa công khai chứng minh toán học ai đã tạo chữ ký (và nó khớp với văn bản nhận được).

Tuy nhiên, điều này không hữu ích cho ví dụ của bạn, vì nó không ngăn chặn các tin nhắn được gửi và yêu cầu người nhận phải biết khóa chung hoặc một vị trí được xác minh để truy xuất nó.

Các hệ thống xác minh người gửi dựa trên tên miền đã được phát triển để cố gắng ngăn chặn thư rác. Những dữ liệu này lưu trữ trong DNS (tra cứu thư mục) cho miền của địa chỉ (phần sau @) cho phép hệ thống nhận xác minh xem thư có hợp pháp không. Một hệ thống, SPF , liệt kê những hệ thống nào được phép gửi thư thay mặt cho tên miền đó; một cái khác, DKIM , lưu trữ các khóa công khai được sử dụng tương tự như cách tiếp cận chữ ký số ở trên, nhưng để xác minh hệ thống truyền, thay vì người gửi thực tế.

(Để mở rộng quá mức tương tự thư vật lý, SPF giống như nói công khai "Tôi chỉ đăng thư bằng hộp thư này" và DKIM giống như nói công khai "Tôi luôn gửi thư từ bưu điện này in nhãn giả mạo cho tôi ".)

Những điều này sẽ phù hợp hơn với trường hợp của bạn - nếu vợ bạn đang sử dụng một miền tùy chỉnh, một thiết lập SPF hoặc DKIM thích hợp sẽ khiến nhiều hệ thống âm thầm từ chối thư mà cô ấy không tự gửi (hoặc đánh dấu là thư rác, mà không quy kết nó cho cô ấy ). Tuy nhiên, nó chỉ hoạt động ở cấp tên miền, không phải địa chỉ riêng lẻ và một số hệ thống người nhận có thể không kiểm tra hồ sơ.

Gửi email tất cả các địa chỉ liên lạc trực tiếp trong sổ địa chỉ của cô ấy và nói với họ về các vấn đề thư rác email có thể sẽ giúp ích. Và bây giờ là thời điểm tốt nhất để loại bỏ mọi liên hệ đã chết khỏi danh sách.

Sử dụng PGP / GPG trong tương lai sẽ là một giải pháp gần như hoàn hảo cho người dùng và người gửi riêng để tự xác minh rằng một email thực sự được gửi từ người gửi và cũng có thể ẩn / mã hóa nội dung của tin nhắn để họ chỉ nhìn thấy người nhận dự định. Nhưng, mặc dù PGP đã có sẵn trong nhiều thập kỷ, nhưng mọi người không dễ dàng bắt đầu sử dụng và thư chỉ dành cho web (như Gmail, v.v.) khiến bạn khó có thể giữ những phần bí mật thực sự bí mật với bạn mà vẫn dễ dàng sử dụng từ bất cứ đâu ...

Xác thực email

Có những điều mà có thể được thực hiện để xác thực cho người nhận email (ít nhất là một số người, như Yahoo và Google và những người khác, rằng " đại diện cho một tỷ lệ phần trăm cao của người sử dụng thư điện tử Internet " - DMARC FAQ ) mà thông báo cho biết đó là từ tên miền của bạn thực sự là từ tên miền của bạn. Họ sử dụng DMARK, " cho phép người gửi chỉ ra rằng tin nhắn của họ được bảo vệ bởi SPF và / hoặc DKIM, và cho người nhận biết phải làm gì nếu cả hai phương thức xác thực đó không vượt qua - như rác hoặc từ chối tin nhắn " - Câu hỏi thường gặp của DMARC .

Thay đổi thành một địa chỉ email khác cũng có thể giúp ích trong thời gian ngắn, sau đó bạn và mọi người khác có thể bỏ qua / "đánh dấu là spam" một cách an toàn tất cả các tin nhắn từ những người gửi thư rác. Nhưng ngay cả khi đó không phải là mối quan tâm chính của bạn vì chúng rõ ràng là "thư rác siêu spam" và không ai bị lừa, bạn có thể muốn xem xét ngăn chặn dòng "từ:" dễ bị giả mạo, vì nếu đủ người dùng luôn "đánh dấu là thư rác "email doanh nghiệp của vợ bạn, các bộ lọc thư rác có thể sẽ bắt đầu loại bỏ tất cả các thư từ địa chỉ đó.

Xác thực email sẽ giúp các máy chủ gửi và nhận thư xác minh thư thực sự được gửi từ những người mà họ nói họ đến từ. Tôi đã tìm thấy một số thông tin trên Gmail, vì đây là một trong những công ty email "ba lớn" có lẽ là một nơi tốt để bắt đầu. Ngay cả việc chuyển đổi nhà cung cấp email sang một nhà cung cấp đã được thiết lập / xác thực, như Gmail dành cho doanh nghiệp sẽ giúp & có thể dễ dàng hơn, nhưng không cần thiết, mặc dù đánh giá theo phản hồi của bạn từ GoDaddy, họ có thể không phải là máy chủ trong mơ của bạn.

Trợ giúp của Gmail về Xác thực Email có một số lời khuyên để gửi tên miền:

Nếu bạn là một miền gửi

Tin nhắn có chữ ký DKIM sử dụng một phím để ký tin nhắn. Tin nhắn được ký bằng các phím ngắn có thể dễ dàng bị giả mạo (xem http://www.kb.cert.org/vuls/id/268267 ), do đó, một tin nhắn được ký bằng một phím ngắn không còn là dấu hiệu cho thấy tin nhắn được xác thực chính xác. Để bảo vệ tốt nhất cho người dùng của chúng tôi, Gmail sẽ bắt đầu coi các email được ký với các khóa ít hơn 1024 bit là không dấu, bắt đầu từ tháng 1 năm 2013. Chúng tôi khuyên mọi người gửi sử dụng các phím ngắn nên chuyển sang khóa RSA dài ít nhất 1024 bit. Xác thực được khuyến nghị cao cho mọi người gửi thư để đảm bảo rằng thư của bạn được phân loại chính xác. Đối với các đề xuất khác, xem Hướng dẫn người gửi hàng loạt của chúng tôi .

Bản thân việc xác thực là không đủ để đảm bảo thư của bạn có thể được gửi, vì những kẻ gửi thư rác cũng có thể xác thực thư. Gmail kết hợp báo cáo người dùng và các tín hiệu khác, với thông tin xác thực, khi phân loại tin nhắn.

Tương tự, thực tế là một tin nhắn không được xác thực không đủ để phân loại nó là thư rác, vì một số người gửi không xác thực thư của họ hoặc vì một số trường hợp xác thực bị phá vỡ (ví dụ: khi thư được gửi đến danh sách gửi thư).

Tìm hiểu thêm về cách bạn có thể tạo chính sách để giúp kiểm soát thư không được xác thực từ tên miền của mình.

Liên kết cuối cùng Kiểm soát thư không được xác thực từ tên miền của bạn đặc biệt có liên quan:

Để giúp chống spam và lạm dụng, Gmail sử dụng xác thực email để xác minh xem thư có thực sự được gửi từ địa chỉ mà nó dường như được gửi từ đó không. Là một phần của sáng kiến ​​DMARC, Google cho phép chủ sở hữu tên miền giúp xác định cách chúng tôi xử lý các thư không được xác thực mà tuyên bố sai là từ miền của bạn.

Bạn có thể làm gì

Chủ sở hữu tên miền có thể xuất bản chính sách cho Gmail và các nhà cung cấp email tham gia khác cách xử lý thư được gửi từ tên miền của bạn nhưng không được xác thực. Bằng cách xác định chính sách, bạn có thể giúp chống lừa đảo để bảo vệ người dùng và danh tiếng của bạn.

Trên trang web DMARC, tìm hiểu cách xuất bản chính sách của bạn hoặc xem hướng dẫn cho tên miền Google Apps .

Dưới đây là một số điều cần lưu ý:

• Bạn sẽ nhận được báo cáo hàng ngày từ mỗi nhà cung cấp email tham gia để bạn có thể thấy tần suất email của bạn được xác thực và tần suất email không hợp lệ được xác định.
• Bạn có thể muốn điều chỉnh chính sách của mình khi bạn học từ dữ liệu trong các báo cáo này. Ví dụ: bạn có thể điều chỉnh các chính sách có thể thực hiện được của mình từ màn hình màn hình sang chế độ cách ly sang chế độ từ chối sang cách từ chối khi bạn trở nên tin tưởng hơn rằng tất cả các tin nhắn của bạn sẽ được xác thực.
• Chính sách của bạn có thể nghiêm ngặt hoặc thoải mái. Ví dụ: eBay và PayPal xuất bản một chính sách yêu cầu tất cả thư của họ phải được xác thực để xuất hiện trong hộp thư đến của ai đó. Theo chính sách của họ, Google từ chối tất cả các tin nhắn từ eBay hoặc PayPal không được xác thực.

Tìm hiểu thêm về DMARC

DMARC.org được thành lập để cho phép người gửi email ảnh hưởng đến thư không được xác thực bằng cách xuất bản tùy chọn của họ trong một chính sách linh hoạt và có thể khám phá. Nó cũng cho phép các nhà cung cấp email tham gia cung cấp các báo cáo để người gửi có thể cải thiện và giám sát cơ sở hạ tầng xác thực của họ.

Google đang tham gia DMARC cùng với các tên miền email khác như AOL, Comcast, Hotmail và Yahoo! Thư. Ngoài ra, những người gửi như Bank of America, Facebook, Fidelity, LinkedIn và Paypal đã công bố chính sách cho Google và những người nhận khác tuân theo.

Để biết thêm thông tin, vui lòng tham khảo bài đăng này trong Blog Gmail chính thức .

Các liên kết tìm kiếm hữu ích khác:

• Thiết lập Gmail để gửi / nhận email bằng tên miền của riêng bạn
• Kiểm soát địa chỉ email của bạn

Những gì có thể được thực hiện tùy thuộc vào số lượng cơ sở hạ tầng mà bạn có quyền kiểm soát và liệu bạn có đang sử dụng tên miền của riêng mình hay chỉ đơn giản là có một địa chỉ dưới một tên miền do người khác kiểm soát.

Nếu bạn có tên miền riêng, thật dễ dàng để chuyển sang một địa chỉ email mới trong cùng một tên miền. Ngoài ra, bạn có thể thiết lập các bản ghi DNS để thông báo cho cả thế giới rằng tất cả các email từ tên miền của bạn được cho là được ký điện tử. (SPF, DKIM và DMARC là các thuật ngữ để tìm kiếm nếu đây là phương pháp bạn muốn thực hiện.)

Bạn không thể mong đợi mọi người xác minh những chữ ký này, vì vậy ngay cả khi bạn thiết lập các bản ghi DNS cho biết rằng email từ tên miền của bạn phải được ký, vẫn sẽ có những kẻ lạm dụng gửi email không dấu xác nhận là từ miền của bạn và người nhận chấp nhận những email không dấu đó.

Nếu bạn không kiểm soát tên miền, thì việc thay đổi địa chỉ email sẽ không dễ dàng và bạn có ít ảnh hưởng đến việc liệu các bản ghi DNS có được sử dụng để hạn chế khả năng giả mạo tên miền trong các email gửi đi hay không.

Vấn đề với các tin nhắn rác sử dụng một địa chỉ nguồn giả mạo gây ra các lần truy cập trở lại địa chỉ hợp pháp ít nhất là về nguyên tắc dễ giải quyết.

Bạn có thể ghi lại Message-IDtất cả các email bạn đang gửi. Tất cả các lần thoát cần bao gồm Message-IDthông điệp gốc ở đâu đó - nếu không, thư bị trả lại hoàn toàn vô dụng, bởi vì đó là thông báo cho bạn biết thư nào đã bị trả lại. Bất kỳ tin nhắn bị trả lại nào không chứa thư Message-IDbạn đã gửi trước đó đều có thể được gửi thẳng vào thư mục thư rác hoặc bị từ chối tại thời điểm nhận (có lợi ích tốt khi đẩy vấn đề tiến gần hơn một bước đến nguồn).

Địa chỉ có thể được trả lại ngoài các email khác bằng MAIL Fromđịa chỉ. Bounce luôn có một MAIL Fromđịa chỉ trống , các email khác không bao giờ có MAIL Fromđịa chỉ trống .

Vì vậy, nếu MAIL Fromtrống - và DATAkhông chứa thư Message-IDbạn gửi trước đó, thư có thể bị từ chối một cách an toàn.

Đó là nguyên tắc. Biến nó thành thực tế là một chút khó khăn hơn. Trước hết, cơ sở hạ tầng cho các email gửi đi và gửi đến có thể tách biệt, điều này gây khó khăn cho cơ sở hạ tầng cho các email đến để luôn biết về mọi Message-IDcơ sở đã đi qua cơ sở hạ tầng cho các email gửi đi.

Ngoài ra, một số nhà cung cấp nhấn mạnh vào việc gửi trả lại không phù hợp với lẽ thường. Ví dụ, tôi đã thấy các nhà cung cấp gửi các thư bị trả lại không chứa thông tin gì về email gốc đã bị trả lại. Đề nghị tốt nhất của tôi cho các thư bị trả lại vô dụng như vậy là coi chúng là thư rác, ngay cả khi chúng có nguồn gốc từ một hệ thống thư hợp pháp khác.

Hãy nhớ rằng bất cứ ai đã lấy được danh sách địa chỉ email đều có thể đặt bất kỳ địa chỉ nào làm địa chỉ nguồn và bất kỳ địa chỉ nào làm địa chỉ đích. Do đó, trừ khi bạn có thêm thông tin, bạn không thể chắc chắn rò rỉ thậm chí đã xảy ra từ hệ thống của riêng bạn. Nó có thể là bất kỳ liên hệ của bạn đã rò rỉ danh sách các địa chỉ bao gồm cả địa chỉ của bạn.

Bạn càng có thể tìm ra địa chỉ nào nằm trong danh sách bị rò rỉ và địa chỉ nào không, bạn càng có thể tìm ra địa chỉ bị rò rỉ từ đâu. Có thể bạn đã thực hiện điều này và kết luận rằng rò rỉ phải bắt nguồn từ danh sách liên lạc của bạn vì không ai trong số các địa chỉ liên hệ của bạn biết tất cả các địa chỉ được xác nhận đã bị rò rỉ.

Cách tiếp cận của tôi là sử dụng tên miền của riêng tôi và một địa chỉ email riêng dưới tên miền đó cho mỗi liên hệ tôi liên lạc. Tôi bao gồm ngày liên lạc đầu tiên với liên hệ trong địa chỉ thư, sao cho tôi có thể kasperd@mdgwh.04.dec.2015.kasperd.netviết email cho một liên hệ mới ngày hôm nay. Cách tiếp cận đó rõ ràng không dành cho tất cả mọi người, nhưng đối với tôi chắc chắn nó giúp biết chính xác ai đã rò rỉ danh sách các địa chỉ email nơi một trong số tôi đang ở. Điều đó cũng có nghĩa là tôi có thể đóng các địa chỉ riêng lẻ để chỉ người rò rỉ địa chỉ của tôi phải cập nhật thông tin liên hệ của họ cho tôi.

Có và không.

Không có gì ngăn tôi viết email với địa chỉ của bạn như một người gửi. Điều này không khác với thư giấy thông thường nơi tôi cũng có thể đặt địa chỉ đích ở mặt trước của phong bì và địa chỉ trả lại (bất kỳ!) Ở mặt sau của phong bì.

Tuy nhiên, bạn có thể thêm chữ ký điện tử để chứng minh rằng bạn là người gửi (xem câu trả lời của PGP và Xen). Và các nhà cung cấp thư cũng bắt đầu thực hiện kiểm tra an toàn để liên lạc giữa các máy chủ thư. (Xem TLS - Bảo mật lớp vận chuyển). Nhưng thư được xây dựng trên các giao thức cũ, nơi mọi người cư xử và hợp tác tốt đẹp. Nó không được thiết kế cho thế giới xấu lớn.

Bạn đang tiếp cận điều này không chính xác.

Từ nhiều năm trong ngành sửa chữa máy tính, tôi có thể nói với bạn rằng rất khó có chuyện "hack" nào xảy ra ở đây. Nhiều khả năng máy tính của vợ bạn có virus và virus đó đã truy cập vào sổ địa chỉ Thunderbird của cô ấy.

Điều này là khá phổ biến. Thông thường, vi-rút đang gửi email trực tiếp từ máy tính bị nhiễm, do đó, việc loại bỏ vi-rút sẽ ngăn chặn các email spam - chúng không "giả mạo" địa chỉ email của vợ bạn, chúng là địa chỉ email của vợ bạn.

Thay đổi địa chỉ email theo đề xuất của người dùng khác rất khó giải quyết bất cứ điều gì ... đặc biệt nếu bạn nhập nó vào Thunderbird trên cùng một máy tính.

Tải về và chạy Combofixtrên máy tính của vợ bạn.

http://www.bleepingcomputer.com/doad/combofix/

Có hướng dẫn về cách chạy nó tại: http://www.bleepingcomputer.com/combofix/how-to-use-combofix

Về cơ bản, tải xuống, chạy với tư cách quản trị viên (nhấp chuột phải -> chạy với tư cách quản trị viên), nhấp OK / Có / Tiếp tục với lời nhắc, sau đó bỏ đi trong 30 phút đến một giờ. Nó sẽ chạy trong một thời gian dài và có khả năng khởi động lại máy tính (đảm bảo bạn đăng nhập lại để nó tiếp tục hoạt động).

Bạn sẽ biết nó được thực hiện khi một notepad toàn màn hình được mở với một loạt các văn bản. Đóng nó, khởi động lại một lần nữa và bạn có thể giải quyết vấn đề của mình ... chỉ có thời gian mới trả lời.

Có hai vấn đề ở đây. Câu hỏi cụ thể của bạn về việc xác thực người gửi email và những gì người ta có thể làm khi email được gửi dưới tên của bạn.

Thật không may, việc giả mạo From:địa chỉ trong email là một vấn đề đơn giản và đó là tất cả những gì nó cần. Mặc dù có nhiều cách để thiết lập email để người gửi có thể được xác minh (chẳng hạn như ký khác biệt được đề cập trong các câu trả lời khác), nhưng chúng không được sử dụng chung. Nếu các liên lạc bị đánh cắp của vợ bạn bao gồm rất nhiều kết nối thông thường, khách hàng thường xuyên, danh sách gửi thư, v.v., thì đây không phải là khởi đầu: nếu người nhận thấy các email giả mạo gặp rắc rối, điều cuối cùng họ muốn là yêu cầu cài đặt phần mềm đặc biệt trên máy tính của họ.

Điều này đưa chúng ta đến những gì cô ấy có thể làm. Địa chỉ bị đánh cắp được sử dụng rộng rãi để che giấu bởi những kẻ gửi thư rác và hầu hết mọi người đều biết bỏ qua thư rác rõ ràng giả vờ đến từ một người quen. Nếu đó là tất cả những gì đang diễn ra, thì rõ ràng giải pháp cho vợ bạn là nhận một email mới, tốt nhất là một email dễ phân biệt với email cũ; nếu có thể, hãy kết hợp nó với cách đánh vần tên đầy đủ của cô ấy theo cách khác, ví dụ: thêm tên đệm hoặc chức danh công việc. Sau đó thông báo cho mọi người trong danh sách liên lạc của cô ấy và ngừng sử dụng email cũ mà tiếp tục theo dõi nó để nhận tin nhắn đến từ những người đã bỏ lỡ bản ghi nhớ.

Mọi thứ sẽ khó khăn hơn nếu bạn tin rằng ai đó đang nhắm mục tiêu cụ thể vào vợ bạn, cố gắng mạo danh cô ấy, làm tổn hại danh tiếng của cô ấy, v.v. Trong trường hợp đó, một email mới sẽ nhanh chóng được kẻ tấn công chấp nhận (vì vợ bạn sẽ không giữ nó bí mật). Nhưng đó là một cây cầu bạn có thể đi qua nếu nó sẽ đến đó (điều mà tôi cho là không thể).

Như Freeman đã nói ... hãy cho tất cả các phóng viên email thông thường biết rằng tất cả các email trong tương lai từ cô ấy sẽ có cụm từ mà anh ấy đề cập hoặc một cái gì đó tương tự.

Một vài trong số những người liên lạc thường xuyên nhất của tôi biết rằng nếu họ muốn tôi mở tin nhắn của họ thì họ phải nói điều gì đó trong email mà không một người gửi thư rác nào biết, ví dụ: "Vâng, Dennis đây thực sự là ______ và tên chú chó của bạn là ______" Tôi nói điều gì đó tương tự với họ. Đây có phải là một rắc rối? Có lẽ nó là một phiền toái nhỏ.

Bây giờ nếu mọi người sẽ áp dụng SPF đó sẽ là một trợ giúp rất lớn.

Nó có thể không lý tưởng, nhưng nếu tôi là bạn, tôi sẽ tắt tài khoản của mình và bắt đầu một tài khoản mới. Nói cho mọi người biết địa chỉ mới của tôi và vào danh sách đen cũ.