We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Webmail czyli e-mail spoofing w praktyce


victor
08-01-2011, 15:14
Cytat Napisał poczciwy
@victor
Aha, czyli wszystko jest ok, a ja się głupio czepiam. Od dzisiaj zacznę bojkotować o2.pl, bo w swojej poczcie blokuje użytkownikowi "swobodę podpisu listu".
nie blokuje Za pomocą serwerów o2 możesz podać dowolnego nadawce, dowolnego odbiorcę - oczywiście trzeba autoryzować się kontem założonym u nich i użyć takiej nazwy w RCPT FROM

Taka niewiedza jest groźna, bo później odbiorca święcie wierzy w podpis nadawcy. Dziwne że w 2011 r. po ponad 30 latach nadal tak jest. Jak otrzymujesz pocztę papierową to też wierzysz że nadawca użył właściwych danych w adresie zwrotnym?

Jedynym serwerem pocztowym na swiecie skanującym nagłówki From: jest gmail (łąmiąc standardy). Nie myl z komendą protokołu smtp RCPT FROM: Poczytaj lepiej rfc 5321

poczciwy
06-01-2011, 18:44
@victor
Aha, czyli wszystko jest ok, a ja się głupio czepiam. Od dzisiaj zacznę bojkotować o2.pl, bo w swojej poczcie blokuje użytkownikowi "swobodę podpisu listu".

@no4b
Może źle się wyraziłem.
Zakładam sobie mejla z adresem jan.nowak@domena.pl. Loguję się na swoje konto (przez webmail) i wysyłam mejla, który ma ustawiony adres nadawcy jan.nowak@domena.pl. Wszystkie elementy adresu nadawcy mogę edytować oprócz e-maila (tak jak to jest możliwe w webmailach popularnych serwisów pocztowych jak chociażby gmail).
I teraz jestem ciekaw czy takie zablokowanie możliwości zmiany adresu nadawcy jest możliwe w ustawieniach mta?
Źródło 1 mówi o mta. Źródło 2 - o konfiguracji webmaila.
[Co do podpisywania kluczy to możnaby to jakoś rozwiązać urzędowo + edukacja. Przecież kiedyś nie było pitów, a teraz ludzie jakoś potrafią je wypełnić. Ale w sumie masz rację - to się nie uda]

@wszyscy
Tak wiem, że można sobie postawić serwer mejlowy i wysyłać mejle z dowolnym nagłówkiem. Zastanawiam się tylko, czy webmail największej firmy hostingowej w Europie powinien pozwalać na robienie takich rzeczy. Zwłaszcza, że:
- gmail (innych serwisów nie sprawdzałem) domyślnie nie odrzuca mejli posiadających nagłówek "Received-SPF: fail"
- nie wszystkie serwery (firmowe i rządowe) mają poprawnie skonfigurowane pole SPF, a to oznacza nagłówek "Received-SPF: neutral"
- wygląda na to, że poczta ovh nawet nie sprawdza pola spf.

Może się mylę, ale tą możliwość zmiany adresu e-mail nadawcy widzę jako przydatną tylko spamerom i oszustom.

victor
06-01-2011, 15:06
moim zdaniem w tradycyjnej poczcie też nie powinno być swobody podpisywania kopert. Kazdy obywatel powinien dostawać swój przydział kopert i być solidnie legitymowany przy każdej wysyłce jakiejkolwiek poczty Temat jest tak stary jak internet. Gratuluje że w 2011 jeszcze nie wiesz o tym że istnieje swoboda podpisu listów, ponieważ poczta i poczta "e" jest rozproszonym systemem.

no4b
04-01-2011, 13:46
Stałe przypisanie do pola From jest pogwałceniem RFC. W każdej usłudze pocztowej możesz założyć sobie maila z adresem jak.nowak@ jeśli tylko taki jest wolny. Wprowadzenie podpisywania cyfrowego jest BARDZO dużym problemem, bo 99% użytkowników pęknie mózg jak tylko wspomnisz o tym. Do tego dolicz sobie ile osób posiada podpis cyfrowy... Self-signed nie jest rozwiązaniem, bo jego wiarygodność jest żadna.

poczciwy
04-01-2011, 13:14
Tylko jaki zwykły użytkownik wysyła mejle z kilkoma nadawcami w polu od? Zdaję sobię sprawę z wiarygodności pola od, ale zauważ, że jesteśmy w mniejszości. Większość ludzi jest przekonanych, że nadawca jest zawsze prawdziwy.
Przy okazji: widziałeś kiedyś mejla, wysłanego przez dużą firmę albo jakiś urząd, podpisanego cyfrowo? Nie sądzę, żeby wprowadzenie zwyczaju podpisywania wiadomości było dużym problemem, a to na pewno zwiększyłoby wiarygodność i może przy okazji uświadomiło ludzi czym jest pole od.

Wracając do tematu: mnie jednak trochę niepokoi możliwość wpisywania dowolnego nadawcy w mejlach z ovh. Konta darmowe można było zamówić pod dowolnym nazwiskiem, weryfkacja odbywała się tylko telefonicznie. To stwarza szerokie pole działania dla oszustów. A poza tym jest to "zagrożenie dla realizacji przez organy i instytucje państwowe zadań z zakresu obronności, bezpieczeństwa państwa oraz ochrony porządku publicznego"

Według mnie użytkownik poczty powienien mieć na stałe przypisany swój login do pola from. Dobrze rozumiem, że w qmailu wystarczy odpowiednie ustawienie zmiennych lokalnych qmail-inject? Tylko czy wtedy nie pojawi się problem z wysyłaniem z aliasów?

no4b
04-01-2011, 09:53
W zasadzie RFC dopuszcza w polu From cokolwiek, nawet kilku nadawców. To trochę tak jak z pocztą tradycyjną. Nikt nie sprawdza czy na kopercie nadawca to naprawdę osoba wysyłająca. Niektóre serwery poczty pozwalają na coś takiego, inne nie. Moim zdaniem to bardziej kwestia ideologiczna niż techniczna.

poczciwy
03-01-2011, 21:47
No tak, nie wspomniałem, że chodzi o serwer wirtualny starter z tej promocji co to domena ma zablokowaną strefę dns.

Jednakże jak dobrze rozumiem pole SPF zapobiega wysyłaniu mejli podszywających się pod inną domenę. A co z mejlami w których nadawca podszywa się pod inne konto mejlowe na tej samej domenie?

no4b
03-01-2011, 21:29
Sensownie skonfigurowny serwer pocztowy zleje taką wiadomość i odeśle zwrotkę typu SPF Fail. Jeśli jakaś domena nie ma ustawionego SPF, to jej administratora należy zwolnić.

poczciwy
03-01-2011, 21:28
To jest mój pierwszy post, więc na początek dzień dobry wszystkim

W skrócie:
tożsamości to zło.

W wersji dla opornych:
wchodzimy na stronę webmail.ovh.pl i logujemy się na swoje konto e-mail używając ulubionego interfejsu. Wybieramy zakładkę "Tożsamości", w pole E-mail wpisujemy jakiś ciekawy adres, np. "kancelaria@prezydent.pl" i klikamy zapisz. I teraz możemy dać upust swojej kreatywności - tworzymy nową wiadomość, z listy nadawców wybieramy kancelarię prezydenta i bawimy się na całego.
Oczywiście w nagłówkach wiadomości będzie widoczna nazwa serwera ovh, ale czy zwykły użytkownik czyta nagłówki wiadomości?


Chyba powinna być zablokowana możliwość zmiany tożsamości??? Nie tylko dla innych domen ale również w obrębie własnej domeny.

Ta metoda działa w Roundcube, Iloha i Horde - inne interfejsy albo nie pozwalają na zmianę tożsamości albo nie potrafiłem w nich znaleźć tej funkcji.

pozdrawiam i liczę na szybkie rozwiązanie problemu