¿Se puede prevenir la falsificación de correos electrónicos?

La cuenta de correo electrónico de mi esposa fue hackeada y el atacante consiguió su libreta de direcciones. No sé si el ataque se produjo en su cliente de correo electrónico local (Thunderbird ejecutándose en Windows 7) o en el servidor (alojado en GoDaddy). De cualquier manera, los datos de la lista de contactos están disponibles y no puedo deshacer eso. He cambiado todas las contraseñas, he actualizado la seguridad, etc., y no creo que haya más intrusiones.

Sin embargo, quienquiera que hizo esto ha estado enviando enormes cantidades de spam, utilizando el nombre de mi esposa como el "remitente". Se quedan en silencio por un tiempo, y luego a menudo me despierto con unas pocas docenas de correos electrónicos de mi esposa, que por supuesto ella no envió, y cada otra persona en su libreta de direcciones recibe estos también . Y porque su libreta de direcciones estaba llena de muchas direcciones muertas, mi mujer recibe cientos de mensajes de devolución de "Entrega fallida de correo", así como cientos de correos electrónicos rechazados por el dominio receptor como correo no deseado. Las personas en su lista de contactos se están enojando, y se está convirtiendo en un problema real.

Le he preguntado a GoDaddy acerca de esto y dicen que cualquier persona A puede enviar un correo electrónico a [email protected] pretendiendo ser [email protected]y no hay infraestructura de correo electrónico en su lugar para verificar que la persona A está autorizada para enviar un correo electrónico desde ccc.com. En consecuencia, no hay absolutamente nada que pueda hacer al respecto, y este spammer podrá acosar a la gente, dañar la reputación de mi esposa, poner su correo electrónico en la lista negra, etc. y no hay manera de detenerlo .

¿Es esto cierto, o hay algo que pueda hacer para detener a estos spammers, o al menos mitigar el daño?

De hecho, es muy difícil resolver el problema de la falsificación del correo electrónico de una manera general, debido a la forma simple y altamente distribuida en que está diseñado el protocolo.

La analogía de las letras físicas se sostiene bastante bien en este ejemplo: puedo poner una carta en el correo y escribir en ella que viene de tu casa; No necesito haber irrumpido en tu casa para hacer esto, solo déjalo en un buzón público. Y si la publicación está marcada como "devolver al remitente", puede que termine siendo "devuelta" a usted, aunque no la haya escrito. Lo mismo ocurre con el correo electrónico: cualquiera puede enviar un mensaje al sistema, con una dirección de Para y una De; Es posible que el servidor desde el que envía el correo no sea el mismo al que recibe el correo y no hay un servicio centralizado que verifique su identidad cuando ingresa un mensaje en el sistema.

Hay dos enfoques generales para resolver esto:

Firmas digitales son una forma de incluir en un mensaje un tipo de firma o sello que solo el verdadero remitente sabe cómo generar (utilizando una clave privada que nunca comparte). El destinatario puede verificar la firma utilizando una clave pública que comprueba matemáticamente quién produjo la firma (y que coincide con el texto recibido).

Sin embargo, esto no es muy útil para su ejemplo, ya que no impide que los mensajes se envíen y requiere que los destinatarios conozcan la clave pública o una ubicación verificada para recuperarla.

Verificación del remitente basado en dominio Se han desarrollado sistemas para intentar prevenir el spam. Estos almacenan datos en el DNS (búsqueda de directorio) para el dominio de la dirección (la parte después de la @) que permite que un sistema receptor verifique si un correo es legítimo. Un sistema, SPF , enumera a qué sistemas se les permite enviar correo en nombre de ese dominio; otro, DKIM , almacena las claves públicas utilizadas de manera similar al enfoque de firma digital anterior, pero para verificar el sistema de transmisión, en lugar del remitente real.

(Para sobrepasar ligeramente la analogía de las letras físicas, SPF es como decir públicamente "Solo publico cartas usando este buzón de correo" y DKIM es como decir públicamente "Siempre envío correos desde esta oficina de correos que imprime una etiqueta a prueba de falsificaciones para mí ".)

Estos serían más relevantes para su caso: si su esposa utilizara un dominio personalizado, una configuración adecuada de SPF o DKIM causaría que muchos sistemas rechacen el correo que ella no había enviado (o lo marcó como spam, sin atribuirlo a ella). ). Sin embargo, solo funciona en el nivel de dominio, no en la dirección individual, y es posible que algunos sistemas receptores no verifiquen los registros.

Enviando un correo electrónico a todos los contactos en vivo en su libreta de direcciones & amp; informarles sobre los problemas de correo electrónico spam probablemente ayude. Y ahora es un buen momento para eliminar cualquier contacto muerto de la lista.

El uso de PGP / GPG en el futuro sería una solución casi perfecta para usuarios privados & amp; Los remitentes a verificar por sí mismos que un correo electrónico es actualmente enviados desde el remitente, y también podrían ocultar / cifrar el contenido de los mensajes para que solo los vea el destinatario. Pero, aunque PGP ha estado disponible por décadas, no es súper fácil para todos comenzar a usarlo, y el correo solo en la web (como Gmail, etc.) hace que sea difícil mantener las partes secretas realmente secretas solo para usted y aún así fácil de usar. utilizar desde cualquier lugar ...

Verificacion de Email

Hay cosas que se pueden hacer para autenticarse en los receptores de correo electrónico (al menos algunos, como Yahoo & amp; Google & amp; otros, que " Representa un alto porcentaje de usuarios de correo electrónico de Internet. "- Preguntas frecuentes de DMARC ) que un mensaje que dice que es de tu dominio realmente es de su dominio. Ellos usan DMARK que " permite a un remitente indicar que sus mensajes están protegidos por SPF y / o DKIM, y le dice a un receptor qué hacer si ninguno de esos métodos de autenticación pasa, como por ejemplo, correo no deseado o rechazar el mensaje "- Preguntas frecuentes de DMARC .

Cambiar a una dirección de correo electrónico diferente también podría ayudar en el corto plazo, entonces & amp; todos los demás podrían ignorar / "marcar como spam" de forma segura todos los mensajes posteriores de los spammers. Pero incluso si esa no es su principal preocupación, ya que son "obviamente spam de súper spam" y nadie está siendo engañado, es probable que desee evitar que la línea "from:" sea falsificada fácilmente, ya que si hay suficientes usuarios siempre "marque". como correo no deseado "el correo electrónico comercial de su esposa, los filtros de correo no deseado probablemente comenzarán a desecharse todos mensajes de esa dirección.

La autenticación de correo electrónico debería ayudar al envío & amp; Los servidores de correo de recepción para verificar los mensajes se envían realmente de quienes dicen que son. He encontrado información sobre Gmail, ya que es una de las "tres grandes" compañías de correo electrónico, probablemente sea un buen lugar para comenzar. Incluso cambiando los proveedores de correo electrónico a uno que ya está configurado / autenticado, como Gmail para empresas debería ayuda & amp; podría ser mas facil, pero no debería ser necesario, aunque a juzgar por su respuesta de GoDaddy, puede que no sean el anfitrión de sus sueños.

Ayuda de Gmail en la autenticación de correo electrónico Tiene algunos consejos para enviar dominios:

Si eres un dominio de envío

Los mensajes con firmas DKIM usan una tecla para firmar mensajes. Mensajes     firmados con teclas cortas pueden ser fácilmente falsificados (ver http://www.kb.cert.org/vuls/id/268267 ), por lo que un mensaje firmado con un     la tecla corta ya no es una indicación de que el mensaje es correcto     autenticado Para proteger mejor a nuestros usuarios, Gmail comenzará a tratar     correos electrónicos firmados con claves de menos de 1024 bits sin firmar, comenzando en     Enero de 2013. Recomendamos encarecidamente a todos los remitentes que usen claves cortas     cambie a claves RSA que tengan al menos 1024 bits de longitud. La autentificación es     Muy recomendable para cada remitente de correo para asegurar que sus mensajes     Están correctamente clasificados. Para otras recomendaciones vea nuestra Pautas de los remitentes a granel .

La autenticación por sí sola no es suficiente para garantizar que sus mensajes puedan   ser entregados, ya que los spammers también pueden autenticar el correo. Gmail combina   informes de usuario y otras señales, con información de autenticación, cuando   clasificacion de mensajes.

Del mismo modo, el hecho de que un mensaje no esté autenticado no es suficiente para   clasifíquelo como spam, ya que algunos remitentes no autentican sus   correo electrónico o porque la autenticación se interrumpe en algunos casos (por ejemplo, cuando   los mensajes son enviados a listas de correo).

Obtenga más información sobre cómo puede crear una política para ayudar controlar el correo no autenticado de su dominio.

El ultimo enlace Controlar el correo no autenticado De tu dominio es particularmente relevante:

Para ayudar a combatir el spam y el abuso, Gmail utiliza Verificacion de Email a   verifique si realmente se envió un mensaje desde la dirección que parece   ser enviado desde. Como parte de la iniciativa DMARC, Google permite dominio   propietarios para ayudar a definir cómo manejamos los mensajes no autenticados que   Falsamente afirmar ser de tu dominio.

Lo que puedes hacer

Los propietarios de dominios pueden publicar una política diciendo a Gmail y   otros proveedores de correo electrónico participantes cómo manejar mensajes que son   enviado desde su dominio pero no son autenticados. Al definir una política,   puedes ayudar a combatir suplantación de identidad para proteger a los usuarios y su reputación.

En el sitio web de DMARC, aprenda cómo publica tu política o ver el   Instrucciones para dominios de Google Apps .

Aquí hay algunas cosas a tener en cuenta:

• Recibirá un informe diario de cada proveedor de correo electrónico participante.   para que pueda ver con qué frecuencia se autentican sus correos electrónicos y con qué frecuencia   Los correos electrónicos inválidos son identificados.
• Es posible que desee ajustar su política como   Se aprende de los datos en estos informes. Por ejemplo, usted podría   ajuste sus políticas procesables de "monitor" a "cuarentena" a   "Rechazar" a medida que confía en que sus propios mensajes serán todos   ser autenticado
• Su política puede ser estricta o relajada. Por ejemplo,   eBay y PayPal publican una política que exige que todo su correo sea   Autenticado para aparecer en la bandeja de entrada de alguien. De acuerdo   Con su política, Google rechaza todos los mensajes de eBay o PayPal.   que no son autenticados

Más sobre DMARC

DMARC.org se formó para permitir a los remitentes de correo electrónico   influir en el correo no autenticado mediante la publicación de sus preferencias en una   Política descubrible y flexible. También permite el correo electrónico participante.   Los proveedores deben proporcionar informes para que los remitentes puedan mejorar y supervisar   Su infraestructura de autenticación.

Google está participando en DMARC   junto con otros dominios de correo electrónico como AOL, Comcast, Hotmail y Yahoo!   Correo. Además, remitentes como Bank of America, Facebook, Fidelity,   LinkedIn y Paypal ya han publicado políticas para Google y   otros receptores a seguir.

Para más información, por favor refiérase a esta publicación en el Gmail oficial   Blog .

Otros enlaces de aspecto útil:

• Configure Gmail para enviar / recibir correos electrónicos usando su propio nombre de dominio
• Toma el control de tu dirección de correo electrónico

Lo que se puede hacer depende de la parte de la infraestructura sobre la que tiene control y de si está usando su propio nombre de dominio o simplemente tiene una dirección bajo un dominio controlado por otra persona.

Si tiene su propio dominio, es fácil cambiar a una nueva dirección de correo electrónico bajo el mismo dominio. Además, puede configurar registros DNS para decirle al mundo que todos los correos electrónicos de su dominio deben estar firmados digitalmente. (SPF, DKIM y DMARC son los términos para buscar si este es el enfoque que desea adoptar).

No puede esperar que todos verifiquen estas firmas, por lo que incluso si configura registros DNS que indiquen que el correo electrónico de su dominio debe estar firmado, habrá abusadores que envíen correos electrónicos sin firmar que dicen provenir de su dominio y los receptores que aceptan esos correos electrónicos sin firmar.

Si no controla el dominio, cambiar la dirección de correo electrónico no es tan fácil, y tiene poca influencia sobre si los registros de DNS se usan para limitar la capacidad de falsificar el dominio en los correos electrónicos salientes.

En principio, el problema con los mensajes de spam que utilizan una dirección de origen falsificada que provoca rebotes en la dirección legítima es, por lo menos, fácil de resolver.

Puedes grabar el Message-ID De todos los correos electrónicos que está enviando. Todos los rebotes deben incluir el Message-ID del mensaje original en alguna parte - de lo contrario, el rebote es completamente inútil de todos modos, porque eso es lo que te dice qué mensaje fue rebotado. Cualquier mensaje devuelto que no contenga una Message-ID que ha enviado previamente puede enviarse directamente a la carpeta de correo no deseado o rechazarse en el momento de la recepción (lo que tiene la ventaja de que el problema se acerca un paso más a la fuente)

Los rebotes se pueden diferenciar de otros correos electrónicos por el MAIL From dirección. Los rebotes siempre tienen un vacío. MAIL From Dirección, otros correos electrónicos nunca tienen un vacío MAIL From dirección.

Así que si MAIL From está vacío - y el DATA no contiene un Message-ID previamente enviado, el correo puede ser rechazado de forma segura.

Ese es el principio. Convertirlo en práctica es un poco más difícil. En primer lugar, la infraestructura para los correos electrónicos salientes y entrantes puede ser separada, lo que hace que sea problemático para la infraestructura de los correos electrónicos entrantes saber siempre cada Message-ID que ha pasado por la infraestructura de correos salientes.

Además, algunos proveedores insisten en enviar rebotes que no se ajustan al sentido común. Por ejemplo, he visto proveedores que envían rebotes que no contienen información alguna sobre el correo electrónico original que fue enviado. Mi mejor recomendación para tales rebotes inútiles es tratarlos como spam, incluso si se originan en un sistema de correo legítimo.

Recuerde que quien haya obtenido la lista de direcciones de correo electrónico puede poner cualquiera de las direcciones como dirección de origen y cualquiera de las direcciones como dirección de destino. Por lo tanto, a menos que tenga información adicional, no puede estar seguro de que la filtración haya ocurrido incluso desde su propio sistema. Puede ser cualquiera de sus contactos que filtró la lista de direcciones, incluida la suya.

Cuanto más pueda averiguar qué direcciones están en la lista filtrada y cuáles no, mejor podrá averiguar de dónde se filtró. Es posible que ya haya hecho esto y haya llegado a la conclusión de que la fuga debe haberse originado en su lista de contactos, ya que ninguno de sus contactos sabría que todas las direcciones confirmadas se habían filtrado.

Mi enfoque al respecto es usar mi propio dominio y una dirección de correo electrónico separada bajo ese dominio para cada contacto con el que me comunique. Incluyo la fecha de la primera comunicación con el contacto en la dirección de correo, de manera que pueda parecer [email protected] Si tuviera que escribir un correo electrónico a un nuevo contacto hoy. Este enfoque, obviamente, no es para todos, pero para mí, sin duda, ayuda a saber exactamente quién ha estado filtrando una lista de direcciones de correo electrónico donde se encuentra una de las mías. También significa que puedo cerrar las direcciones individuales de manera que solo la persona que filtró mi dirección tenga que actualizar su información de contacto para mí.

Si y no.

Nada me impide escribir un correo electrónico con su dirección como remitente. Esto no es diferente del correo normal de papel, donde también puedo poner una dirección de destino en el frente del sobre y una (¡cualquier!) Dirección de retorno en la parte posterior del sobre.

Sin embargo, puede agregar una firma digital como prueba de que usted es el remitente (consulte la respuesta de PGP y Xen). Y los proveedores de correo también están comenzando a implementar controles de seguridad para la comunicación entre los servidores de correo. (Ver TLS - Seguridad de la capa de transporte). Pero el correo se basa en los viejos protocolos donde todos se comportaban y cooperaban muy bien. No fue diseñado para el gran mundo malo.

Te estás acercando a esto incorrectamente.

Por los años que pasé en la industria de reparación de computadoras, puedo decirles que es muy poco probable que haya algún "pirateo" aquí. Es mucho más probable que la computadora de su esposa tenga un virus, y ese virus haya accedido a su libreta de direcciones de Thunderbird.

Esto es bastante común. Por lo general, el virus está enviando los correos electrónicos directamente desde la computadora infectada, por lo que eliminar el virus detendrá los correos electrónicos no deseados; no están "falsificando" la dirección de correo electrónico de su esposa, son la dirección de correo electrónico de su esposa.

Cambiar las direcciones de correo electrónico como lo sugiere otro usuario es muy poco probable que solucione algo ... especialmente si lo ingresas en Thunderbird en la misma computadora.

Descargar y ejecutar Combofix en la computadora de tu esposa

http://www.bleepingcomputer.com/download/combofix/

Hay instrucciones sobre cómo ejecutarlo en: http://www.bleepingcomputer.com/combofix/how-to-use-combofix

Básicamente, descárguelo, ejecútelo como administrador (haga clic con el botón derecho - & gt; ejecute como administrador), haga clic en Aceptar / Sí / Continuar con las indicaciones, luego váyase de 30 minutos a una hora. Se ejecutará por mucho tiempo y probablemente reiniciará la computadora (asegúrese de volver a iniciar sesión para que continúe trabajando).

Sabrá que se hace cuando se abra un bloc de notas de pantalla completa con un montón de texto. Ciérrelo, reinicie una vez más, y es probable que haya resuelto su problema ... solo el tiempo lo dirá.

Hay dos problemas aquí. Su pregunta específica sobre la validación de los remitentes de correo electrónico y lo que se puede hacer cuando se envía un correo electrónico en su nombre.

Desafortunadamente, es una cuestión simple From: Dirección en un correo electrónico, y eso es todo lo que necesita. Si bien hay formas de configurar el correo electrónico para que se pueda verificar el remitente (como la firma digital mencionada en otras respuestas), no son de uso general. Si los contactos robados de su esposa incluían una gran cantidad de conexiones casuales, clientes puntuales, listas de correo, etc., esto no es un inicio: si los destinatarios encuentran una molestia en los correos electrónicos falsificados, lo último que quieren es pedirles que instalen un software especial en sus computadoras.

Lo que nos lleva a lo que ella puede hacer. Las direcciones robadas son ampliamente utilizadas como cobertura por los spammers, y la mayoría de la gente sabe ignorar el spam obvio que pretende provenir de un conocido. Si eso es todo lo que está pasando, claramente la solución es que su esposa reciba un nuevo correo electrónico, preferiblemente uno que sea fácilmente distinguible del anterior; si es posible, combínelo con la ortografía de su nombre completo de manera diferente, por ejemplo, agregue un segundo nombre o título del trabajo. Luego notifique a todos en su lista de contactos y deje de usar el correo electrónico anterior, pero continúe monitoreando los mensajes entrantes de las personas que perdieron la nota.

Las cosas son más difíciles si cree que alguien está apuntando específicamente a su esposa, tratando de hacerse pasar por ella, dañando su reputación, etc. En ese caso, el atacante adoptará rápidamente un nuevo correo electrónico (ya que su esposa no lo mantendrá en secreto secreto). Pero ese es un puente que puede cruzar si alguna vez llega a eso (lo que considero poco probable).

Puede que no sea lo ideal, pero si fuera usted, cerraría mi cuenta y comenzaría una nueva. Decirle a todos mi nueva dirección y poner en lista negra la antigua.

Como dijo Freeman ... deje que todos los corresponsales de correo electrónico habituales sepan que todos los correos electrónicos futuros de ella tendrán la frase que mencionó o algo similar.

Algunos de mis contactos más habituales saben que si quieren que abra sus mensajes, tienen que decir algo en el correo electrónico que ningún spammer sabría, por ejemplo, "Sí, Dennis es realmente ______ y ​​el nombre de su perro es ______". Di algo similar a ellos. ¿Es esto una molestia? Tal vez sea más de una molestia menor.

Ahora, si todos adoptaran SPF, sería una gran ayuda.