web-dev-qa-db-ja.com

フィッシングメールで、実際のアドレスではなく、偽のメールアドレスが使用されるのはなぜですか?

電子メールのFrom:フィールドには何でも書き込むことができると読みました。

それが本当である場合、フィッシングメールが実際の[email protected]自体を使用するのではなく、[email protected]のような一見似たアドレスで私をだまそうとするのはなぜですか?

emailphishingemail-spoofingspf
116
JFB

SMTPエンベロープとして@Amazon.comまたはメールヘッダーのFromフィールドを使用してメールを作成できますが、このドメインは送信者ポリシーフレームワーク([〜#〜] spf [〜#〜])、DomainKeys識別メール([〜#〜] dkim [〜#〜])、およびドメインベースのメッセージ認証、レポート、および適合([〜#〜] dmarc [〜#〜])。これは、なりすましメールがそのように検出され、多くのメールサーバーによって拒否されることを意味します。これとは逆に、この方法で保護されていない、または保護されているが攻撃者によって制御されている別のドメインを使用すると、より成功します。

これらのテクノロジーの機能を簡単に説明すると、次のようになります。

  • [〜#〜] spf [〜#〜]
    特定のSMTPエンベロープ(SMTP.MAILFROM)に送信者IPアドレスが許可されているかどうかを確認します。 Dig txt Amazon.comは、SPFポリシーが存在することを示しています。
  • [〜#〜] dkim [〜#〜]
    メールサーバーがメールに署名します。メールを検証するための公開鍵は、DNSを使用して取得されます。 Amazonは、メールヘッダーのDKIM-Signatureフィールドからわかるように、DKIMを使用しています。
  • [〜#〜] dmarc [〜#〜]
    メールヘッダー(RFC822.From)のFromフィールドを、DKIMのDKIM署名のドメインまたはSPFのSMTPエンベロープのドメインに揃えます。調整され成功したSPF/DKIMが存在する場合、DMARCポリシーが一致します。 Dig txt _dmarc.Amazon.comは、Amazonにquarantineのポリシーを持つDMARCレコードがあることを示しています。

SPFもDKIMも、メールヘッダーのFromフィールドのなりすましに対する独自の支援はありません。これらの少なくとも1つのDMARCとの組み合わせのみが、このようなヘッダーのなりすましから保護します。

178
Steffen Ullrich

Steffen Ullrichの答え を補足するために、次のことに注意してください。

  • 歴史的に、あなたが望むものを偽装することは確かに可能でした、誰もチェックしていませんでした、誰もが誰もを信頼していました。
  • ただし、スパム、フィッシング、その他の詐欺の増加に伴い、SPF、DKIM、DMARCが導入されました。これらにより、サーバーは、送信者が特定のドメインの送信者とメールを送信する権利を持っているかどうかを確認できます。
  • これらを機能させるには、送信者と受信者の両方がこれらのメソッドを実装する必要があります。
  • ほとんどの大規模な電子メールプロバイダーは、3つの方法のうち少なくとも1つを(受信者として)確実に実装します。多くの組織では、なりすまそうとする危険がある多くの組織が、3つの方法のうち少なくとも1つを実装します。よく(送信者として)。
  • ただし、どちらのチェックも行わない電子メールシステムと、適切な設定のないドメインの両方が依然として存在します。

したがって、SPF、DKIM、DMARCのないドメインを見つけた場合、そのドメインに代わって電子メールを送信し、完全に拒否されないようにすることができます。多くの電子メールプロバイダーは、そのような電子メールを他の電子メールプロバイダーよりも「信頼する」ことが少なく、スパムとして処理されるという大きな変更があります。

同様に、SPF、DKIM、DMARCで保護されたドメインからでも、それをチェックしない電子メールシステムに電子メールを送信できます。

しかし、間違いなくAppleまたはAmazonとしてGoogleまたはMicrosoftが管理するメールボックスに送信すると、機能しません。そのため、他のドメイン名を使用します。

21
jcaron
  • フィッシング詐欺師は、そのアドレスに送信する応答を取得することを望んでいる可能性があります。
  • さまざまなフレームワーク が存在することを回避しようとしていますpreventスプーフィングされた「from」フィールドが認識されないようにします人間のユーザーによる本物として。

を使用してこのツール を確認できましたAmazon.comdoesにはSPFが設定されています。もちろん、SPFのDNSをチェックするのは電子メールクライアントですが、ほとんどの人のクライアントがそれを行います。

16
ShapeOfMatter

理論と実践の違いに注意する価値があるかもしれません。電子メールの基本であるSMTP(Simple Mail Transfer Protocol)は、なりすましを実際に防ぐわけではありません。私はそれがこの引用が由来するところだと思います。

しかし、SMTPは現在のように電子メールの一部ですが、パイプラインにあるのは彼だけではありません。これは完全にバニラで実装されていると確信していますが、大多数の人々は、この種の動作を停止するために多くの追加機能を備えた数少ない「ビッグ」スタックの1つを使用します。

スパムの目的は可能な限り多くの(そして悲しいことに騙されやすい)人々に到達することなので、実際のアドレスの信頼性を得るために大多数のケースを除外するコストは良くありません。これは、「[email protected]」が間違っているように思えるほど懐疑的な人が早期に排除したい標的である可能性があるため、詐欺師が詐欺師の一部の努力を伴う場合に特に当てはまります。

3
ANone