Подмена адреса отправителя email

5 способов отсылки полностью анонимных электронных писем

Иногда возникают ситуации, когда нужно отослать анонимное электронное письмо

Иногда возникают ситуации, когда нужно отослать анонимное электронное письмо. Например, с красивым признанием в любви или передать информацию без возможности выявления источника. Существует множество легитимных причин для использования анонимной электронной почты. И здесь можно воспользоваться либо одним из бесплатных сервисов, либо временным аккаунтом в связке с VPN.

Рассмотрим пять способов.

1. Временная электронная почта и VPN

Сервисы наподобие Gmail – один из вариантов для работы с анонимной электронной почтой, поскольку при регистрации не нужно указывать персональные данные. Затем созданный адрес можно использовать на постоянной основе, если возникает необходимость отослать анонимное письмо.

Более того, при отсылке письма с Gmail в качестве адреса отправителя (откуда пришло письмо) в заголовке письма указывается сервера компании Google, а не ваш личный IP-адрес, что повышает уровень анонимности.

Если получатель письма захочет по заголовку отследить отправителя, то увидит только IP-адрес сервера Google, который необязательно будет находиться рядом с вами.

Однако следы все равно остаются, поскольку ваш фактический IP-адрес хранится на почтовых серверах. Таким образом, если правительство или другие органы, обладающие соответствующими полномочиями, сделают запрос, Google выдаст ваш настоящий IP-адрес.

Следующий шаг для повышения анонимности – использование виртуальной частной сети или VPN. Мы рекомендуем платные сервисы с хорошей репутацией.

Если отсылать электронную почту через VPN, то:

1. Адрес почтового сервера не будет совпадать с вашим местонахождением.

2. Если правительство сделает запрос, Google сможет выдать только адрес VPN.

Именно из-за второго пункта особенно важно использовать надежный сервис с хорошей репутацией, где не хранятся детали вашего подключения. В случае с бесплатным VPN вероятность хранения и передачи логов значительно повышается.

Примечание: не путайте анонимный временной адрес и одноразовую электронную почту.

2. Клиент электронной почты в связке с VPN

Второй метод для отсылки анонимных писем – использование клиента, установленного на компьютере. Анонимность достигается в три шага:

Регистрация временного адреса в сервисах наподобие Gmail, Yahoo Mail, GMX и т. п.

Установка Thunderbird или другого бесплатного клиента.

Подключение к VPN.

Вначале нам нужно подключиться к VPN и убедиться, что весь трафик с компьютера идет через удаленный IP-адрес. Затем отсылаем письмо при помощи клиента, используя временной адрес. Таким образом, в заголовке вместо вашего IP-адреса будет указан адрес сервиса VPN.

AnonEmail – сервис, позволяющий отправлять анонимные письма через цепочку случайных узлов. Соответственно, отследить IP-адрес отправителя становится практически невозможно.

AnonEmail легко использовать. Нужно указать получателя, тему письма, сообщение и нажать на кнопку «Send Anonymously». По сравнению с другими схожими сервисами AnonEMail не сохраняет (или делает вид, что не сохраняет) ваш IP-адрес. Во время тестирования мне не удалось отследить свой IP-адрес, однако отправлять что-то важное или незаконное все равно не рекомендуется.

В качестве дополнительной меры безопасности перед отсылкой письма AnonEmail ждет некоторое время, чтобы по времени отправки нельзя было отследить потенциальные географические зоны и часовые пояса вашего местонахождения.

4. Cyber Atlantis

Cyber Atlantis – еще один бесплатный сервис для отправки анонимных писем с сокрытием IP-адреса отправителя и поддержкой PGP-шифрования.

Таким образом, уровень безопасности становится еще выше, поскольку только владелец публичного ключа сможет расшифровать содержимое письма (при помощи секретного ключа). Однако при использовании схемы с публичным ключом могут возникнуть непредвиденные последствия. Например, если ключ шифрования есть только у ограниченного круга лиц, получатель письма может попытаться выяснить отправителя.

Если требуется полностью безопасная, анонимная и двухстороння почтовая служба, ProtonMail – ваш выбор. Этот сервис, используемый миллионами людей, предоставляет услуги по безопасности электронной почты уже довольно давно.

Некоторые ключевые функции:

Оконечное шифрование: шифруются все хранящиеся сообщения, а не только отправляемые с серверов ProtonMail. Без доступа к соответствующему аккаунту в сервисе ProtonMail, никто не сможет прочитать ваши сообщения.

Полная защита пользовательских данных: во время шифрования используется ключ, хранящийся только на вашем компьютере. Таким образом, даже системные администраторы ProtonMail не могут получить доступ к вашим сообщениям. Недостаток схемы: администратор не сможет восстановить доступ к учетной записи. Достоинство: доступ также не может быть предоставлен по запросу правительства и других структур.

Криптография с открытым исходным кодом: поскольку в ProtonMail используются библиотеки шифрования с открытым исходным кодом, можно быть уверенным в отсутствии «бэкдоров» для доступа к письмам как со стороны администраторов, так и со стороны хакеров.

Если вы регулярно отправляете анонимные письма, обратите внимание на сервис ProtonMail и используйте этот адрес в качестве основного.

Какой сервис лучше

Ответ на этот вопрос зависит от ваших потребностей. Если вы хотите поддерживать анонимность и безопасность на регулярной основе, обратите внимание на ProtonMail, поскольку даже администраторы сервиса не могут получить доступ к вашим письмам.

Если необходимость возникает не так часто, пользуйтесь одним из бесплатных веб-сервисов.

Подписывайтесь на каналы «SecurityLab» в Telegram и Яндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Подделка письма электронной почты почти от любого человека менее чем за 5 минут и способы защиты

Что такое аутентификация электронной почты?

На протяжении большей части последних 40 лет пользователям приходилось совершать прыжок веры каждый раз, когда они открывали электронную почту. Считаете ли вы, что письмо действительно приходит от того, кто указан в графе отправителя? Большинство легко ответит «да» и на самом деле очень удивится, узнав как легко подделать электронную почту почти от любого отправителя.

При создании Интернета изначально не было разработано никакой возможности проверить личность отправителя. Во время разработки основных протоколов электронной почты, затраты на вычислительную мощность, реализацию и простоту использования были уравновешены с риском мошенничества. Тяжело было предположить, что 84% всей электронной почты в будущем будут иметь вредоносную нагрузку и являться фишингом или спамом.

Результатом является то, что заголовки писем, включая поля «From: » и «Reply-to: », очень легко подделать. В некоторых случаях это так же просто, как набрать «john@company.com» в поле «From: ». Объединив это с неподозрительным содержанием, убедительной графикой и форматированием, вполне возможно обмануть людей, подумавших, что сообщение в их почтовом ящике действительно пришло от банка, ФНС, руководителя или президента США.

Приняв во внимание повсеместное распространение электронной почты, вы осознаете основу нашего нынешнего кризиса информационной безопасности. Слабость в электронной почте привела к массе фишинговых атак, направленных на то, чтобы заставить людей нажимать на вредоносные ссылки, загружать и открывать вредоносные файлы, отправлять форму W-2 (аналог 2-НДФЛ в США) или переводить средства на счета преступников.

Совсем недавно Coupa, компания из Кремниевой долины, была в центре внимания после отправки данных о заработной плате всех 625 сотрудников мошеннику. В прошлом году одна из крупнейших компаний Европы Leoni AG потеряла 45 миллионов долларов, когда сотрудник ошибочно перечислил деньги на учетную запись мошенника по причине фальшивой электронной почты. По оценкам ФБР, фишинговые атаки типа «компрометация деловой переписки» (BEC — Business Email Compromise), обходятся компаниям США в 3 миллиарда долларов в год.

На databreaches.net был составлен список фактов фишинга формы W-2. Работа над списком в этом году указывает на то, что количество случаев с 2016 года растет и на данный момент он состоит из 204 отчетов. По списку можно понять, что известны случаи кражи данных тысяч сотрудников и такой вид мошенничества является очень распространенным.

Как злоумышленник может подделать незащищенную электронную почту от почти любого человека менее чем за 5 минут

На самом деле, поддельный адрес в поле «от» — это основа и начальная стадия большинства атак. Почему стоит беспокоиться о фальсификации электронной почты с условного «company.com», когда возможно просто зарегистрировать похожий поддельный домен (например, c0mpany.com) и использовать его? Или создать учетную запись Gmail (randomaddress1347356@gmail.com), присвоить ей дружеское имя, которое выглядит как имя генерального директора компании? Потому что, на самом деле, подделать отправку письма с адреса реального человека даже проще, чем регистрировать поддельный домен или создать учетную запись Gmail.

Три простых способа

В интернете без труда можно найдите сайты, которые позволяют отправлять фейковые письма. Их десятки, вот лишь пара примеров: spoofbox.com и anonymailer.net. Многие из них бесплатны, некоторые стоят денег, позиционируются эти сервисы как законные, а основной целью использования предполагается розыгрыш друзей.

Алгоритм использования прост. Требуется лишь ввести адрес электронной почты получателя в поле «Кому:», поместить любой желаемый адрес электронной почты в поле «От:» и после создания сообщения подтвердить отправку. По условия пользовательского соглашения ответственность за ущерб полностью лежит на клиентах сервиса.

Следующий способ — это отправка с помощью командной строки UNIX. Если у вас есть компьютер с настроенной почтовой службой, достаточно ввести эту команду:

В итоге получается сообщение, в котором в поле «От» будет содержаться «any@anydomain.com». Введя строку темы и остальную часть сообщения, после нажатия Ctrl+D сообщение отправится получателю. Работостпособность этой идеи зависит от того, как настроена ваша система. Тем не менее, она работает во многих случаях.

Используя PHP, вы можете создать электронное письмо с помощью нескольких строчек очень простого кода:

Фактически, это строки кода, используемые в качестве примера в онлайн-руководстве для функции отправки почты mail() с дополнительными шапками/header.

Эти инструменты спуфинга сильно упрощены. Чтобы сделать сообщения более реалистичными, потребуется немного больше работы и, конечно, навыки социальной инженерии. Но основная техническая составляющая очень проста. Единственное, что действительно предотвращает спуфинг — аутентификация электронной почты с помощью совместного использования SPF-записи, DKIM-подписи и DMARC. Далее мы расскажем, как работают и чем отличаются эти технологии. Они не являются чем-то новым, однако, к счастью для мошенников, большинство доменов в Интернете еще не защищены. Например, только около 4% доменов .gov используют аутентификацию. Что касательно других 96%? Злоумышленники могут отправлять электронные письма под видом исходящих с почтовых ящиков этих доменов в любой момент.

Согласно источнику, одно из четырех писем с доменов .gov является мошенническим. Домены justice.gov, House.gov, Senate.gov, Whitehouse.gov, а также democrats.org, dnc.org, gop.com, rnc.org. и DonaldJTrump.com — все они могут быть легко использованы для спуфинга почтовыми мошенниками.

Способы защиты от спуфинга

Описанная выше простота использования уязвимости электронной почты без аутентификации и широкое использование этих методов как начальная стадия для крупнейших кибер-атак, акцентирует внимание IT-сообщества на необходимости использования технологий проверки подлинности почты. Внедряя аутентификацию электронной почты, вы можете гарантировать, что любой пользователь — сотрудник, клиент или партнер, получающий электронное письмо, сможет определить отправлено ли электронное письмо легитимным представителем компании. Кроме того, вы можете получить прозрачность и контроль того, кто отправляет электронную почту от вашего имени.

Важность этого резко возросла благодаря быстрому росту облачных сервисов (SaaS), более 10 000 из которых отправляют электронную почту от имени своих клиентов по теме продаж, маркетинга, поддержки клиентов, HR, бухгалтерского учета, юридических и прочих услуг. Благодаря принудительной аутентификации, вы можете заблокировать всех, кто пытается отправить письмо от вашего имени, — спамеров, фишеров и даже «серых» отправителей, которые могут быть легитимными, но не указаны вами в списке разрешенных.

Стандарты аутентефикации электронной почты позволяют почтовому серверу проверять, что электронное письмо с вашим доменом в поле «От:» было разрешено отправлять от вашего имени. До попадания сообщения в папку «Входящие» получателя, почтовый сервер может проверить:

• Используя SPF-запись, имеет ли отправляющий сервер право использовать доменное имя (или имена), указанное в заголовках сообщения?
• Если к сообщению прикреплена криптографическая DKIM-подпись, с помощью открытой версии ключа в записи DNS домена можно расшифровать заголовки входящих сообщений и узнать, действительно ли сообщение исходит от заявленного отправителя.
• Благодаря настройке DMARC владельцы доменов могут создавать правила обработки писем, которые поступили с доменов, не прошедших авторизацию и проверять совпадают ли заголовки друг с другом (например, поля From: и Reply-to:). Правила включают инструкции о том, что должен сделать принимающий сервер с сообщениями, не прошедшими проверку подлинности, например, не пропускать их, помещать в папку со спамом или помечать их как потенциально опасные. Проверка подлинности по электронной почте дает владельцу домена глобальный контроль над тем, что происходит с сообщениями, отправленными от их имени кем угодно и кому угодно. Например, если вы представляете домен-отправитель почты и публикуете DMARC-запись с запросом информации, то вы будете получать от всех доменов-получателей, которые тоже поддерживают DMARC, статистику обо всех почтовых письмах, которые приходят с обратным адресом от вашего домена. Статистика приходит в XML и содержит IP-адрес каждого отправителя, который подписывается вашим доменом, количество сообщений с каждого IP-адреса, результат обработки этих сообщений в соответствии с правилами DMARC, результаты SPF и результаты DKIM

Почему необходимо совместное использование этих технологий?

В упрощенном смысле SPF позволяет создавать белый список для IP-адресов. Если почтовый сервер с IP-адресом, который отсутствует в вашем списке, пытается отправить электронное письмо с использованием вашего домена, тест проверки подлинности SPF не будет пройден. Однако, большая проблема с SPF заключается в том, что используется домен, указанный в поле Return-Path для проверки подлинности, а не поле From, который люди действительно читают.

Хуже того, злоумышленники, занимающиеся фишингом, могут настроить SPF-запись для своих собственных доменов. Затем они могут отправлять электронные письма, которые, как будет казаться, поступают от компании или бренда, которым доверяют, но домен этой компании будет отображаться в поле «От», а домен мошенника в Return-Path. Такие письма пройдут проверку подлинности SPF. Дополнительное использование DMARC, решает эту проблему, позволяя владельцу домена требовать «выравнивания», что означает, что обратные и исходящие адреса должны быть одинаковыми.

SPF-записи представляют собой текст, но синтаксис довольно сложный. Легко можно сделать опечатки, которые трудно обнаружить. При этом, они сделают SPF-запись бесполезной. Анализ SPF-записей всех 62 спонсоров конференции RSA 2017 года показал, что только 58 опубликовали SPF, при этом у 17 спонсоров конференции по кибербезопасности были ошибки в записи. Компании, которые не имеют большого опыта в IT-области, часто находят SPF еще более сложным.

Также и DKIM не особенно эффективен против мошенничества без использования DMARC. Чтобы остановить фишинг, самым важным адресом является домен в поле «От». Однако, проверка только DKIM-подписи нечего не говорит по поводу домена в этом поле. Используемый для подписи сообщения домен может полностью отличаться от домена, указанного в поле «От». Другими словами, хакеры могут создавать сообщения, которые подписываются через DKIM, используя контролируемый ими домен, но в поле «От» будет находится email вашего банка. Большинство людей не собираются копаться в заголовках всех входящих сообщений, чтобы убедиться, что данные DKIM-подписи являются легитимными. Также стоит учитывать большое количество законных почтовых служб, которые могут делать рассылки от имени отправителя и проблему сохранения секретности закрытого ключа, используемого для подписи сообщений.

Эти два ранних стандарта, хотя и важны, содержат важные пробелы. DMARC основывается на них и дополняет. DMARC значительно увеличивает доверие к электронной почте, которую вы отправляете, независимо от того, поступают ли письма от ваших собственных почтовых серверов или облачных сервисов, которым вы разрешаете отправлять электронную почту.

Основными вкладами DMARC являются:

1. настройка политики, которая сообщает получающим серверам электронной почты, что делать с электронными сообщениями, которые не аутентифицируются (ничего, карантин или отказ),
2. предоставление механизма отчетности.

Наличие политики и механизма обратной связи — вот что заставляет всё это работать.

Проверить, что DMARC настроен можно с помощью сервисов
→ mxtoolbox.com
→ mail-tester.com и прочих.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Как вычислить мошенника — определяем подмену адреса электронной почты 13

Здравствуйте, уважаемые друзья. Сегодня поговорим о том, как вычислить мошенника и не попасть в неприятную ситуацию. Мы все пользуемся электронной почтой, через которую к нам вместе с полезными письмами приходит спам, а иногда и письма от мошенников, которые используют подмену адреса электронной почты.

Почтовые сервисы стоят на страже, но, к сожалению, не могут полностью оградить нас от действий мошенников. Это всё-таки программа, она может заподозрить мошенничество и предупредит вас, а вы уже должны принять окончательное решение.

Мошенники действуют под видом авторитетных сервисов, организаций и людей. Выдавая ложный адрес отправителя за фирменный. Поэтому важно уметь самостоятельно отличать мошеннические письма.

Я всё покажу на примере свеженького письма мошенников под видом регистратора доменных имен Ru-Center. Прислали его на днях, адрес отправителя содержал фирменный домен, а в письме содержалась инструкция по повторному подтверждению прав на домен с загрузкой файла на сайт. И предупреждение, что домен будет отключён в случае невыполнения требований.

В таких ситуация нужно действовать правильно.

Как определить, что письмо мошенническое

1. Обращайте внимание на сообщения почтовых сервисов. В большинстве случаев они предупредят вас о подозрительных действиях с письмом.
2. Проверяйте подмену адреса электронной почты. Сделать это можно по служебным заголовкам. Все современные почтовики предоставляют эту возможность.
3. Поищите информацию в поисковике. Можете ввести в строку поиска истинный адрес отправителя или что-то из письма, и наверняка найдёте информацию о мошенничестве.
4. Обратитесь в службу поддержку с официального сайта. Важно: по ссылкам в письме не переходите. Перейдите на официальный сайт через поисковик.

Как определить подмену адреса электронной почты

Покажу пример на почте mail.ru, куда и пришло письмо от мошенников.

Как видно на скриншоте, адрес отправителя содержит фирменный домен @nic.ru, в письме указан домен, который я регистрировал.

Но, тут, же предупреждение от почтовика и предложение загрузить на сайт исполняемый файл. Это должно вас насторожить. Вы должны выяснить истинный адрес отправителя.

Для этого в открытом письме нажмите кнопку «Ещё» в панели инструментов, в выпадающем меню выберите пункт «Служебные заголовки».

Откроется новое окно, которое будет содержать служебную информацию. Подробную расшифровку можно найти в интернете. В нашем же случае важно обратить внимание на поля Received в них содержится истинный адрес отправителя.

Вы можете совсем не разбираться в этой технической информации, это совсем неглавное. Мошенники действуют под видом кого-то, используют фирменный домен. Так вот, в истинном адресе мошенника, в строках Received упоминания фирменного домена не будет.

На примере всё хорошо видно.

Наглядный видеопример

Заключение

Друзья, всегда обращайте внимание на сообщения от почтовых сервисов, проверяйте истинный адрес отправителя, не загружайте файлы из таких подозрительных писем и не выполняйте указания из письма. Будьте внимательны.

Разные штуки с sendmail-ом // Misc things with sendmail

Иногда бывает нужно сделать с sendmail-ом разные штуки. Ниже описана пара примеров. Предполагается sendmail с дефолтными настройками и установленным пакетом для компиляции конфиг-файлов .mc в .cf.

• Подмена адреса получателя

Ну, чтобы пришло письмо для одного адреса, а sendmail его внезапно переслал на другой. Это просто, все знают. Описываем алиас в /etc/aliases и обновляем таблицу алиасов командой newaliases или перезапуском почтовика service sendmail restart.

Если алиас без доменной части, как в первой строчке, то на someone@somewhere.com перенаправятся все письма для ololo или ololo@ololo.ru. Если сейчас запустить newaliases, то он ругнётся на вторую строчку:

Что справедливо, ибо этот сервер – не domain.com. Надо добавить domain.com в /etc/mail/local-host-names и перезапустить sendmail, чтобы письма пришедшие на olo@domain.com пересылались на someone@somewhere.com:

• Подмена адреса отправителя

Ну, чтобы в письмах от кого-то, идущих через наш сервер, подменялся адрес отправителя. Для этого включаем фичу genericstable в sendmail.mc, добавляем домен для подмены или файл с доменами вот так:

Далее пишем в файл /etc/mail/generics-domains список доменов, в почте от адресов из которых, будет изменён адрес отправителя:

Далее пишем в файл /etc/mail/genericstable, собственно, таблицу подмены адресов отправителей. Скомпилированная таблица /etc/mail/genericstable.db будет создана при перезапуске sendmail, ну или можно создать ручками с помощью команды makemap:

Перекомпилируем конфиг, перезапускаем sendmail, и теперь почта от локального root будет отсылаться от имени someone@somewhere.com. В проходящей через сервер почте от test@domain1.com и test@domain2.com будет изменён адрес отправителя на someone1@somewhere.com и someone2@somewhere.com соответственно.

• Смарт-релэй

Иногда требуется всю исходящую почту переслать для дальнейшей обработки на какой-то другой почтовый сервер. Например, если это корпоративный почтовый сервер, который только и имеет выход во внешние интернеты. Для этого надо только раскомментировать строчку, задающую SMART_HOST в sendmail.mc или напрямую дописать адрес смарт-релэя после команды DS в sendmail.cf. После этого, естественно, перекомпилировать конфиг и перезапустить sendmail.

Если надо таким способом обрабатывать почту не для всех, а только для некоторых доменов, надо использовать фичу mailertable. В дефолтном конфиге она должна быть включена. В /etc/mail/mailertable задаём для каких доменов куда шлём почту. Детальный формат файла mailertable смотреть здесь.

Перекомпилируем конфиг, mailertable, перезапускаем sendmail, шлём письмо на olo@testdomain.ru и видим в логе волшебное:

Письма на другие домены будут уходить старым способом — на MX-ы доменов.

• Пересылка на сервер требующий SMTP-авторизации

Многие сервера требуют авторизацию при отправке, чтобы не допустить рассылку спама через себя. Например, на сервере могут храниться почтовые ящики пользователей домена, чтобы они забирали свою почту по POP3/IMAP. SMTP-сервер может требовать у пользователя при отправке авторизоваться своим POP3-паролем, иначе скажет «Relay access denied». Этот способ действительно сильно уменьшает спам.

Предположим, у нас настроен смарт-релэй somewhere.ru. Также предположим, что он принимает входящую почту на порту 587 и поддерживает следующие способы авторизации: DIGEST-MD5, CRAM-MD5, PLAIN, LOGIN. Добавляем эти строки в sendmail.mc, перекомпилируем конфиг, перезапускаем sendmail.

Почтовый сервер требует авторизации, поэтому при попытке переслать через него почту куда-то наружу мы получим эпичный отказ: