شرکت باگدشت با ارزیابی امنیتی و ارایه مشاوره امنیتی نسبت به اگاهی رسانی ایمن سازی موضوع اسپوفینگ ایمیل‌های سازمانی به سازمان‌های دارای همکاری اقدام نمود و در این مقاله بصورت عمومی لزوم ایمن سازی سرورهای ایمیل سازمانی را ارایه نموده است.

۱. مقدمه:

اسپوفینگ یا حمله جعل ، عبارت است از اینکه هر شخص، شرکت، وب‌سایت و یا سرور ایمیلی با جعل عنوان یا تغییر هویت، قصد کلاه‌برداری از کاربر و یا انتشار اخبار ناموثق را داشته باشد. اسپوفینگ درواقع موقعیتی است که در آن، مهاجم خود را با عنوان شخص دیگری معرفی کرده و یا با جعل اطلاعات، موفق به دسترسی به اطلاعات و یا اعلام اخبار غیرواقعی از سوی افراد شناخته شده می‌شود که البته این دسترسی از نظر قانونی غیر مجاز است. برای کسب اطلاعات بیشتر همراه باگدشت باشید.

۲. جعل ایمیل :

مجموعه تکنیک‌ها و روش‌هایی که با استفاده از آنها می‌توان یک ایمیل را جعل کرده تا بتوان کاربر را به مسیر مورد نظر جهت به سرقت بردن اطلاعات هدایت کرد. در این روش، با استفاده از ایجاد تغییر در نام نویسنده ایمیل و محتوای موجود در آن سعی دارند تا کاربر را فریب داده و وی را مجاب به ارسال اطلاعات شخصی و یا اجرای اقدامات مورد نظر مهاجم نمایند. در واقع استفاده از آدرس ایمیل جعلی و یکسان با آدرس ایمیل واقعی در قسمت from ایمیل ارسال شده باعث می‌شود که کاربر هیچ شکی در خصوص جعلی بودن ایمیل نکند. درون ایمیل نیز انواع لینک‌های جعلی و هرزنامه‌ها قرار داده شده تا به سرعت اطلاعات کاربر کپی برداری و ارسال گردد.

در نگاه اول Email Spoofing یا جعل ایمیل مشکل بزرگی به نظر نمی‌رسد ولی با بررسی اجمالی آمار کلاه‌برداری از این طریق متوجه به اهمیت این موضوع می‌شویم. در سال ۲۰۱۷ نزدیک به ۳۰.۰۰۰ ایمیل جعلی فرستاده شد. در سال ۲۰۱۵ هکرها با فرستادن ایمیل جعلی به کارمندان Sony Pictures حساب کاربری کارمندان این شرکت را در تمام شبکه‌های اجتماعی را در اختیار گرفتند. هکرها با ساختن ایمیل جعلی و قرار دادن یک لینک از کارمندان درخواست وارد کردن رمزعبور و حساب کاربری شرکت را کردند. در نهایت هکرها توانستند ۱۰۰ ترابایت از اطلاعات این شرکت را سرقت کنند. اطلاعات سرقت شده شامل جدیدترین محصولات سونی بود و بیش از ۱۰۰ میلیون دلار به شرکت Sony Pictures خسارت وارد کرد.

۱.۲. روش‌های جعل ایمیل:

این نوع از حملات به روش‌های مختلفی رخ می‌دهند. به‌عنوان مثال، مهاجم می‌تواند از آدرس IP جعلی برای رسیدن به اهداف خود کمک بگیرد. همچنین، یک مهاجم ممکن است ایمیل‌های جعلی ارسال کند یا وب‌سایت‌های جعلی به‌منظور جذب کاربران و به دست آوردن نام ورود به سیستم، کلمه عبور، اطلاعات حساب کاربران و.. راه‌اندازی کند. پس اسپوفینگ روشی است برای هکرهای کلاه سیاه تا عملیات کلاه‌برداری خود را مخفی کرده و آن را طبیعی جلوه دهند.

هدف نهایی جعل ایمیل ، بازکردن ایمیل ارسال شده توسط مهاجم و انجام عملیات مدنظر مهاجم توسط دریافت کننده ایمیل است. اثر این حملات متفاوت است که می‌توان از یک مزاحمت ساده برای قربانی تا ایجاد لینک به صفحه جعلی برای سرقت اطلاعات بانکی کاربر و یا انتشار اخبار و ادعای کذب برای ایجاد اختشاش در سازمان نام برد.

۳. دلایل جعل ایمیل :

اگرچه هدف اصلی اجرای این حملات در سال‌های گذشته حملات فیشینگ بوده است ولی در حال حاضر علی الخصوص با اجرای امور بصورت برخط و دورکاری و ارتباط فیزیکی کمتر کارکنان سازمان با یکدیگر، راه نفوذ دیگری برای جلب اعتماد در سازمان‌ها توسط مهاجمین شناسایی شده است که شامل:

  • هویت فرستنده ایمیل مخفی شود: از این طریق به راحتی هویت فرستنده ایمیل مخفی می‌شود.
  • اجتناب از فهرست هرزنامه: در این حالت هدف فرستنده ایمیل، ارسال ایمیل در ابعاد وسیع است و یا به اصطلاح Spamming را اجرا می‌کند. پس برای اینکه ایمیل‌های فرستاده شده مسدود نشود، فرستنده باید مرتبا آدرس ایمیل را عوض بکند.
  • جعل هویت فرستنده ایمیل: در این حالت گیرنده ایمیل به آدرس ایمیل دریافتی اطمینان دارد. بنابراین مهاجم آدرس ایمیل را جعل می‌کند.
  • جعل ایمیل سازمانی مانند بانک‌‌ها: مهاجم با جعل آدرس ایمیل بانک کاربر قربانی به صفحه دلخواه هدایت می‌کند و کاربر قربانی اطلاعات بانکی خود را در اختیار مهاجم قرار می‌دهد.
  • از بین بردن شهرت شرکت: برای مثال، فردی از روی خصومت شخصی از جانب مدیرعامل شرکت به افراد یا سازمان‌های دیگر، ایمیل نامربوط یا حتی توهین آمیز ارسال کند.
  • استفاده غیر مجاز از هویت حقیقی افراد: برای مثال از طرف ایمیل قربانی درخواست اطلاعات بانکی ارسال کند.
شکل ۱:نمونه ایمیل سرور آسیب پذیر که می‌توان از هر آدرس ایمیل سازمان به هر شخص دلخواه ایمیل ارسال نمود

در شکل یک نمونه ایمیل جعل شده آورده شده است که دارای مشخصات زیر است:

  1. Multiple SPF record
    v =spf1 a mx ip4:x.x.x.0/24 ip4:x.x.x.0/24 mx:mx1.x.ir mx:mx2.x.ir –all
    v=spf1 a mx ip4: x.x.x.x/32 mx:mx1.x.ir -all
  2. No DMARC record
  3. No DKIM record

۴. محافظت در برابر جعل ایمیل :

اگر پروتکل ایمیل SMTP (Simple Mail Transfer Protocol) فاقد فرایند احرازهویت باشد، مهاجم به راحتی آدرس فرستنده اصلی را جعل می‌کند. بنابراین، بسیار از شرکت‌های ارائه دهنده سرویس‌های ایمیل قسمت Spam ایجاد کرده‌اند. این بخش ایمیل‌های که فرایند‌های استاندارد حفاظت از ایمیل را رعایت نمی‌کنند در این قسمت ذخیره می‌کند. فرایند‌های احرازهویت ایمیل شامل:

۱.۴. SPF

روش SPF به شما اجازه می‌دهد اطلاعات فرستنده یا فرستنده‌های اصلی ایمیل را روی دامنه خود تعریف کنید و تمام میل سرورها از روی آن اطلاعات می‌توانند هویت واقعی فرستنده ایمیل را شناسایی کنند. بنابراین ایمیل‌های ارسال شده توسط میل سرورها بررسی می‌شوند اگر اطلاعات فرستنده با موارد مطرح شده در SPF مطابقت داشت ایمیل دریافت می‌گردد در غیر این صورت ایمیل به نام ایمیل جعلی یا اسپم شناسایی خواهد شد. هر رکورد SPF دارای نسخه است و در حال حاضر این عدد v=spf1 است. سوییچ‌های متغیر SPF با نام directives شناخته می‌شوند و مشخص می‌کنند در صورتیکه فرستنده ایمیل موارد تعریف شده شما نباشد چه واکنشی صورت پذیرد که در ادامه آورده شده است.

توضیحنتیجهپارامتر
این پارامتر بصورت پیش‌فرض اجرا شده و تمامی ایمیل‌ها را ارسال میکندPass+
این پارامتر یک کانال غیرمجاز برای عدم ارسال ایمیل تعریف می‌کندFail
این پارامتر یک کانال غیرمجاز برای عدم ارسال ایمیل تعریف می‌کند ولی گیرنده این موضوع را برای تست استفاده می‌نمایدSoftFail
این پارامتر در خصوص ایمیل‌هایی که معتبر بودن آن‌ها توضیحی عنوان نشده است گیرنده آن ایمیل را دریافت می‌کندNeutral?

به منظور تکمیل واکنش directives پارامتر دیگری به عنوان مثال v=spf1 mx –all تعریف می‌شود که به عنوان مکانیزم که حالات مختلف هریک از مفاهیم بالا را ارایه می‌دهد.

توضیحمکانیزم
همیشه اعمال شودall
رکورد A مربوط به دامین دارای آدرس IP ارسال کننده استa
رکورد MX مربوط به دامین دارای آدرس IP ارسال کننده استmx
آدرس IP ارسال کننده از نوع IPv4 است و یا subnet از نوع IPv4 دارای آدرس IP ارسال کننده استip4
آدرس IP ارسال کننده از نوع IPv6 است و یا subnet از نوع IPv6 دارای آدرس IP ارسال کننده استip6
آدرس IP ارسال کننده که توسط SPF مجاز شمرده می‌شود مربوط به دامین دیگر استredirect
درخواست دیگری برای دامین مشخص شده در این مکانیزم دارای آدرس IP ارسال کننده استinclude

۲.۴. DKIM

کلید دامنه یا Domain key یک سیستم تصدیق و احراز هویت پست‌الکترونیک می‌باشد. این متد در زمان ارسال پست‌الکترونیک مشخصاتی از قبیل نام فرستنده، نام دامین، موضوع نامه و… را به عنوان امضای الکترونیکی در هدر پست‌الکترونیک (Header) قرار می‌دهد. بنابراین زمانی که گیرنده پست‌الکترونیک را دریافت، ابتدا اطلاعات را از هدر پست‌الکترونیک خوانده و در DNS سرور خود مجددا بررسی و از اعتبار و عدم هرزنامه بودن آن اطمینان حاصل می‌نماید، چنانچه مشکلی وجود نداشت آنرا به مقصد نهایی هدایت می‌نماید.

نیاز سازمان‌ها برای شناسایی و تصدیق آدرس‌های پست‌الکترونیک باعث بوجود آمدن پروتکل پیشرفته‌تری به نام DKIM شد. این روش دامنه فرستنده به کمک Cryptographic Authentication بررسی می‌کند. سازمان مهندسی اینترنت یا Internet Engineering Task Force) IETF) پروتکل DKIM را به عنوان یک استاندارد جهانی معرفی و در حال حاضر بسیاری از سازمان‌ها از آن برای کنترل پست‌های الکترونیک خود استفاده می‌کنند. در این پارامتر نوع رمزنگاری و همچنین کلید عمومی همراه با هدر ایمیل ارسال می‌شود تا گیرنده بررسی را بر آن اساس صورت دهد.

"k=rsa; t=s; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDDmzRmJRQxLEuyYiyMg4suA2Sy
MwR5MGHpP9diNT1hRiwUd/mZp1ro7kIDTKS8ttkI6z6eTRW9e9dDOxzSxNuXmume60Cjbu08gOyhPG3
GfWdg7QkdN6kR4V75MFlw624VY35DaXBvnlTJTgRg/EW72O1DiYVThkyCgpSYS8nmEQIDAQAB"

۳.۴. DMARC

پروتکل DMARC که مخفف عبارت انگلیسی Domain-based Message Authentication, Reporting and Conformance است، به این معناست که فرایندی ایجاد خواهد شد که ارسال کننده و دریافت‌کننده با استفاده از متدهای مختلف که بر اساس SPF و DKIM می‌باشند، اقدام یا سیاست مورد نظر در مورد ایمیل دریافتی را انجام دهد و کمک خواهند کرد تا ایمیل‌های جعلی محدود شود. این موضوع توسط پارامترهای Policy دامین و ساب دامین، آدرس ایمیل دریافت کننده لاگ ایمیل‌های جعلی، آدرس ایمیل لاگ فارنزیک ایمیل‌های جعلی و غیره انجام می‌شود.

"v=DMARC1;p=none;sp=quarantine;pct=100;rua=mailto:dmarcreports@example.com;"

نمونه ایمیل سرور امن با این توضیح که هر سازمان میبایست بنابر شرایط همکاری های تجاری و قوانین امنیتی خود نسبت به ایمن سازی پارامترهای ایمیل سرور اقدام نماید:

  1. SFP
    v=spf1 mx –all
  1. DMARC
    v=DMARC1; p=reject; rua=mailto:reportcollector@bugdasht.ir; ruf=mailto:reportcollector@bugdasht .ir; sp=reject; fo=1; adkim=s; aspf=s;
  2. DKIM1;
    V=DKIM1;
    v=ras;
    p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCoxqYLxFzdRsSDVjXSERN
    HDozgCziEsyhT4dIySuh9ha5Udt5b9F5TATeJlv9icz+ucUddlo1sNcj89NjxUU72u5c1aupT7KvvoframDTT
    wfDNtNgkEWMLVV9o33O/pSLRUEPLUFOpg+c3Mc5KRaQGgtVQkw5cD7A+iIC5Giz7PQIDAQAB

منابع:

  1. RFC 6376
  2. RFC 7489
  3. RFC 7208