it-swarm.com.de

Kann E-Mail-Spoofing verhindert werden?

Das E-Mail-Konto meiner Frau wurde gehackt und der Angreifer hat ihr Adressbuch erhalten. Ich weiß nicht, ob der Angriff auf ihren lokalen E-Mail-Client (Thunderbird unter Windows 7) oder auf den Server (bei GoDaddy gehostet) gerichtet war. In jedem Fall sind die Daten der Kontaktliste da draußen und ich kann das nicht rückgängig machen. Ich habe alle Passwörter, die aktualisierte Sicherheit usw. geändert und glaube nicht, dass es weitere Eingriffe gegeben hat.

Wer auch immer das getan hat, hat eine Menge Spam verschickt und dabei den Namen meiner Frau als "Absender" verwendet. Sie werden für eine Weile still und dann wecke ich so oft ein paar Dutzend E-Mails von meiner Frau, die sie natürlich nicht wirklich gesendet hat und jeder anderen Person in ihrem Adressbuch bekommt diese auch . Und weil ihr Adressbuch mit vielen toten Adressen gefüllt war, erhält meine Frau Hunderte von Bounceback-Nachrichten "Mail Delivery Failed" sowie Hunderte von abgelehnten E-Mails von der empfangenden Domain als Spam. Die Leute in ihrer Kontaktliste werden wütend und es wird ein echtes Problem.

Ich habe GoDaddy danach gefragt und sie sagen, dass jede Person A eine E-Mail an [email protected] senden kann, die behauptet, [email protected] zu sein, und dass keine E-Mail-Infrastruktur vorhanden ist , um zu überprüfen, ob Person A berechtigt ist, eine E-Mail von ccc.com zu senden. Folglich kann ich absolut nichts dagegen tun, und dieser Spammer wird in der Lage sein, Menschen zu belästigen, den Ruf meiner Frau zu schädigen, ihre E-Mail auf eine schwarze Liste zu setzen usw. Und es gibt keine Möglichkeit, dies zu stoppen .

Stimmt das, oder kann ich irgendetwas tun, um diese Spammer zu stoppen oder den Schaden zumindest zu mindern?

50
Joshua Frank

Es ist in der Tat sehr schwierig, das Problem des E-Mail-Spoofings auf allgemeine Weise zu lösen, da das Protokoll auf einfache und stark verteilte Weise entworfen wurde.

Die physikalische Brief-Analogie hält in diesem Beispiel ganz gut: Ich kann einen Brief in die Post stecken und darauf schreiben, dass er aus Ihrem Haus kommt; Ich muss nicht in dein Haus eingebrochen sein, um das zu tun, wirf es einfach in einen öffentlichen Briefkasten. Und wenn der Beitrag mit "Zurück zum Absender" markiert ist, wird er möglicherweise an Sie "zurückgeschickt", obwohl Sie ihn nicht geschrieben haben. Dasselbe gilt für E-Mails: Jeder kann eine Nachricht mit einer An und einer Von-Adresse an das System übermitteln. Der Server, von dem Sie E-Mails senden, ist möglicherweise nicht derselbe, an den Sie E-Mails empfangen, und es gibt keinen zentralen Dienst, der Ihre Identität überprüft, wenn Sie eine Nachricht in das System senden.

Es gibt zwei allgemeine Lösungsansätze:

Digitale Signaturen sind eine Möglichkeit, in eine Nachricht eine Art Signatur oder Siegel aufzunehmen, die nur der echte Absender erzeugen kann (unter Verwendung eines privaten Schlüssels, den er erstellt) niemals teilen). Der Empfänger kann dann die Signatur mit einem öffentlichen Schlüssel überprüfen, der mathematisch beweist, wer die Signatur erstellt hat (und dass sie mit dem empfangenen Text übereinstimmt).

Dies ist jedoch für Ihr Beispiel nicht sehr nützlich, da die Zustellung der Nachrichten dadurch nicht verhindert wird und die Empfänger den öffentlichen Schlüssel oder einen überprüften Speicherort zum Abrufen des Schlüssels benötigen.

Domänenbasierte Absenderüberprüfungssysteme wurden entwickelt, um Spam zu verhindern. Diese speichern Daten im DNS (Directory Lookup) für die Domain der Adresse (der Teil nach dem @), mit dem ein empfangendes System überprüfen kann, ob eine Mail legitim ist. Ein System, SPF, listet auf, welche Systeme E-Mails für diese Domain senden dürfen. Ein anderer, DKIM, speichert öffentliche Schlüssel, die ähnlich dem oben beschriebenen Ansatz der digitalen Signatur verwendet werden, jedoch zur Überprüfung des Übertragungssystems und nicht des tatsächlichen Absenders.

(Um die physische Brief-Analogie ein wenig zu übertreiben, sagt SPF öffentlich "Ich poste nur Briefe mit diesem Briefkasten" und DKIM sagt öffentlich "Ich sende immer Post von diesem Postamt, die ein manipulationssicheres Etikett für mich druckt ".)

Diese sind für Ihren Fall relevanter. Wenn Ihre Frau eine benutzerdefinierte Domain verwendet, wird durch eine geeignete SPF- oder DKIM-Einrichtung auf vielen Systemen unbemerkt Mail zurückgewiesen, die sie nicht selbst gesendet hat (oder als Spam markiert hat, ohne sie ihr zuzuweisen) ). Es funktioniert jedoch nur auf Domänenebene, nicht auf der Ebene der einzelnen Adressen, und einige Empfängersysteme überprüfen die Datensätze möglicherweise nicht.

46
IMSoP

Was getan werden kann, hängt davon ab, über wie viel Infrastruktur Sie die Kontrolle haben und ob Sie Ihren eigenen Domainnamen verwenden oder einfach eine Adresse unter einer Domain haben, die von jemand anderem kontrolliert wird.

Wenn Sie eine eigene Domain haben, können Sie problemlos zu einer neuen E-Mail-Adresse unter derselben Domain wechseln. Außerdem können Sie DNS-Einträge einrichten, um der Welt mitzuteilen, dass alle E-Mails von Ihrer Domain digital signiert werden sollen. (SPF, DKIM und DMARC sind die Begriffe, nach denen gesucht werden muss, wenn Sie diesen Ansatz wählen möchten.)

Sie können nicht davon ausgehen, dass alle diese Signaturen überprüfen. Selbst wenn Sie DNS-Einträge einrichten, die darauf hinweisen, dass E-Mails von Ihrer Domain signiert werden müssen, gibt es immer noch Missbraucher, die behaupten, von Ihrer Domain zu stammen, und Empfänger, die diese nicht signierten E-Mails akzeptieren.

Wenn Sie die Domäne nicht kontrollieren, ist das Ändern der E-Mail-Adresse nicht so einfach und Sie haben nur geringen Einfluss darauf, ob DNS-Einträge verwendet werden, um die Möglichkeit zu beschränken, die Domäne in ausgehenden E-Mails zu fälschen.

Das Problem mit Spam-Nachrichten unter Verwendung einer gefälschten Quelladresse, die dazu führen, dass die Bounces wieder an die legitime Adresse gesendet werden, ist zumindest im Prinzip leicht zu lösen.

Sie können den Message-ID aller von Ihnen gesendeten E-Mails aufzeichnen. Alle Bounces müssen irgendwo den Message-ID der ursprünglichen Nachricht enthalten - andernfalls ist die Bounce-Funktion sowieso völlig nutzlos, da Sie auf diese Weise erfahren, welche Nachricht zurückgeschickt wurde. Jede zurückgewiesene Nachricht, die keinen Message-ID enthält, den Sie zuvor gesendet haben, kann direkt an den Spam-Ordner gesendet oder zum Empfangszeitpunkt zurückgewiesen werden (was den Vorteil hat, das Problem einen Schritt näher an die Quelle heranzuführen).

Bounces können von anderen E-Mails durch die MAIL From-Adresse unterschieden werden. Bounces haben immer eine leere MAIL From-Adresse, andere E-Mails haben nie eine leere MAIL From-Adresse.

Wenn also MAIL From leer ist - und die DATA keinen Message-ID enthält, den Sie zuvor gesendet haben, kann die E-Mail sicher abgelehnt werden.

Das ist das Prinzip. Es ist etwas schwieriger, es in die Praxis umzusetzen. Erstens kann die Infrastruktur für ausgehende und eingehende E-Mails unterschiedlich sein, was es für die Infrastruktur für eingehende E-Mails problematisch macht, immer über jeden Message-ID Bescheid zu wissen, der die Infrastruktur für ausgehende E-Mails durchlaufen hat.

Darüber hinaus bestehen einige Anbieter darauf, Bounces zu senden, die nicht dem gesunden Menschenverstand entsprechen. Zum Beispiel habe ich Anbieter gesehen, die Bounces gesendet haben, die keinerlei Informationen über die ursprünglich zurückgesendete E-Mail enthielten. Meine beste Empfehlung für solche nutzlosen Bounces ist, sie als Spam zu behandeln, auch wenn sie von einem ansonsten legitimen Mailsystem stammen.

Denken Sie daran, dass jeder, der die Liste der E-Mail-Adressen erhalten hat, eine der Adressen als Quelladresse und eine der Adressen als Zieladresse angeben kann. Wenn Sie also keine zusätzlichen Informationen haben, können Sie nicht sicher sein, ob das Leck auch auf Ihrem eigenen System aufgetreten ist. Es kann jeder Ihrer Kontakte sein, der die Liste der Adressen einschließlich Ihrer durchgesickert ist.

Je mehr Sie herausfinden können, welche Adressen in der Liste der durchgesickerten Adressen enthalten sind und welche nicht, desto besser können Sie feststellen, woher sie stammen. Möglicherweise haben Sie dies bereits getan und sind zu dem Schluss gekommen, dass das Leck von Ihrer Kontaktliste herrühren muss, da keiner Ihrer Kontakte alle Adressen gekannt hätte, die als durchgesickert bestätigt wurden.

Mein Ansatz besteht darin, für jeden Kontakt, mit dem ich kommuniziere, meine eigene Domain und eine separate E-Mail-Adresse unter dieser Domain zu verwenden. Ich füge das Datum der ersten Kommunikation mit dem Kontakt in die E-Mail-Adresse ein, sodass es wie [email protected] aussehen kann, wenn ich heute eine E-Mail an einen neuen Kontakt schreibe. Dieser Ansatz ist natürlich nicht jedermanns Sache, aber für mich hilft es sicherlich zu wissen, wer genau eine Liste von E-Mail-Adressen durchgesickert hat, auf denen sich eine meiner Adressen befindet. Das bedeutet auch, dass ich die einzelnen Adressen so schließen kann, dass nur die Person, die meine Adresse durchgesickert hat, ihre Kontaktinformationen für mich aktualisieren muss.

10
kasperd

Ja und nein.

Nichts hindert mich daran, eine E-Mail mit Ihrer Adresse als Absender zu schreiben. Dies unterscheidet sich nicht von normaler Papierpost, bei der ich auch eine Zieladresse auf der Vorderseite des Umschlags und eine (beliebige!) Rücksendeadresse auf der Rückseite des Umschlags anbringen kann.

Sie können jedoch eine digitale Signatur hinzufügen, um zu beweisen, dass Sie der Absender sind (siehe Antwort von PGP und Xen). E-Mail-Anbieter beginnen auch damit, Sicherheitsüberprüfungen für die Kommunikation zwischen E-Mail-Servern durchzuführen. (Siehe TLS - Transport Layer Security). Aber Mail baut auf den alten Protokollen auf, in denen sich alle gut benommen und gut zusammengearbeitet haben. Es war nicht für die große böse Welt konzipiert.

8
Hennes

Sie nähern sich dies falsch.

Nach Jahren in der Computerreparaturbranche kann ich Ihnen sagen, dass es sehr unwahrscheinlich ist, dass hier ein "Hacking" stattgefunden hat. Es ist weitaus wahrscheinlicher, dass der Computer Ihrer Frau einen Virus enthält und dieser Virus auf das Thunderbird-Adressbuch zugreift.

Dies ist ziemlich häufig. Normalerweise sendet der Virus die E-Mails direkt vom infizierten Computer. Wenn Sie den Virus entfernen, werden die Spam-E-Mails gestoppt. Sie "fälschen" nicht die E-Mail-Adresse Ihrer Frau, sondern die E-Mail-Adresse Ihrer Frau.

Das Ändern von E-Mail-Adressen, wie von einem anderen Benutzer vorgeschlagen, ist sehr unwahrscheinlich. Insbesondere, wenn Sie sie auf demselben Computer in Thunderbird eingeben.

Laden Sie Combofix auf den Computer Ihrer Frau herunter und führen Sie es aus.

http://www.bleepingcomputer.com/download/combofix/

Anweisungen zum Ausführen finden Sie unter: http://www.bleepingcomputer.com/combofix/how-to-use-combofix

Laden Sie es im Wesentlichen herunter, führen Sie es als Administrator aus (Rechtsklick -> Als Administrator ausführen), klicken Sie auf OK/Ja/Weiter, um zu den Eingabeaufforderungen zu gelangen, und gehen Sie dann für 30 Minuten bis zu einer Stunde. Es wird für eine lange Zeit ausgeführt und startet den Computer wahrscheinlich neu (stellen Sie sicher, dass Sie sich erneut anmelden, damit er weiter funktioniert).

Sie werden wissen, dass dies erledigt ist, wenn ein Notizblock im Vollbildmodus mit einer Reihe von Texten geöffnet ist. Schließen Sie es, starten Sie es erneut, und Sie haben wahrscheinlich Ihr Problem gelöst ... nur die Zeit wird es zeigen.

7
SnakeDoc

Hier gibt es zwei Probleme. Ihre spezifische Frage zur Validierung von E-Mail-Absendern und was kann ich tun, wenn E-Mails in Ihrem Namen gesendet werden?.

Leider ist es eine einfache Sache, die From:-Adresse in einer E-Mail zu fälschen, und das ist alles, was es braucht. Es gibt zwar Möglichkeiten, E-Mails so einzurichten, dass der Absender überprüft werden kann (z. B. die in anderen Antworten erwähnte Difital-Signatur), sie werden jedoch nicht allgemein verwendet. Wenn die gestohlenen Kontakte Ihrer Frau viele zufällige Verbindungen, einmalige Clients, Mailinglisten usw. enthielten, ist dies ein Anfänger: Wenn die Empfänger die gefälschten E-Mails als problematisch empfinden, müssen sie als letztes aufgefordert werden, spezielle Software zu installieren auf ihren Computern.

Das bringt uns zu dem, was sie kann. Gestohlene Adressen werden häufig von Spammern als Deckung verwendet, und die meisten Leute wissen, dass sie offensichtlichen Spam ignorieren, der vorgibt, von einem Bekannten zu stammen. Wenn das alles ist, ist die Lösung eindeutig, dass Ihre Frau eine neue E-Mail erhält, vorzugsweise eine, die leicht von der alten zu unterscheiden ist. Wenn möglich, kombinieren Sie es mit einer anderen Schreibweise ihres vollständigen Namens, z. B. fügen Sie einen zweiten Vornamen oder eine Berufsbezeichnung hinzu. Benachrichtigen Sie dann alle Personen in ihrer Kontaktliste und verwenden Sie die alte E-Mail nicht mehr, sondern überwachen Sie sie weiterhin auf eingehende Nachrichten von Personen, die das Memo verpasst haben.

Schwieriger wird es, wenn Sie glauben, dass jemand Ihre Frau gezielt angreift, versucht, sich als sie auszugeben, ihren Ruf schädigt usw. In diesem Fall wird eine neue E - Mail vom Angreifer schnell angenommen (da Ihre Frau sie nicht behält) Geheimnis). Aber das ist eine Brücke, die man überqueren kann, wenn es jemals dazu kommen sollte (was ich für unwahrscheinlich halte).

2
alexis

Wie Freeman sagte ... lassen Sie alle normalen E-Mail-Korrespondenten wissen, dass alle zukünftigen E-Mails von ihr den Ausdruck haben werden, den er erwähnt hat, oder ähnliches.

Einige meiner regelmäßigsten Kontakte wissen, dass, wenn ich ihre Nachrichten öffnen soll, sie in der E-Mail etwas sagen müssen, das kein Spammer jemals erfahren würde, zum Beispiel "Ja, Dennis, das ist wirklich ______ und der Name Ihres Hundes ist ______" sag ihnen etwas ähnliches. Ist das ein Ärger? Vielleicht ist es eher ein kleiner Ärger.

Wenn nun jeder SPF einführen würde, wäre das eine große Hilfe.

1
Dennis H Wilson

Es ist vielleicht nicht ideal, aber wenn ich Sie wäre, würde ich mein Konto schließen und ein neues Konto eröffnen. Allen meine neue Adresse mitteilen und die alte auf die schwarze Liste setzen.

1
Haiiro