Courrier indésirable "via" mon domaine, mais un enregistrement SPF existe
Je viens de recevoir un e-mail du nom d'une personne aléatoire "via" [email protected], bien que [email protected] ne soit qu'un groupe de distribution au sein de G Suite.
Nous avons ajouté un enregistrement SPF à jour de Google, et je ne sais pas trop comment ou comment une autre personne peut envoyer un e-mail via mon domaine.
Voici quelques références de la source du message, sans donner aucune information spécifique à mon domaine ou aux destinataires:
Date: Mon, 01 Apr 2019 23:41:44 -0500
Subject: Mass Shootings orchestrated to pass gun control for the Federal
Reserve Shareholders planned U.S. Holocaust- How can your industry help?
From: 'Random Person' via Info <[email protected]>
<snipped>
Message-ID: <[email protected]>
Thread-Topic: Mass Shootings orchestrated to pass gun control for the Federal
Reserve Shareholders planned U.S. Holocaust- How can your industry help?
Thread-Index: AWY0NTc5UrmPA22gl2edULFwYvLC7TIwMTU5
References: <[email protected]>
Mime-version: 1.0
Content-type: multipart/alternative;
boundary="B_3637013229_1574776269"
Tous nos utilisateurs ont activé 2FA, bien que je ne pense pas que ce soit pertinent ici. Il s'agit clairement d'un usurpé par courrier électronique car [email protected] n'est pas un compte enregistré dans le domaine (vient de le vérifier).
Avez-vous des idées sur la façon dont cela a pu se produire et comment l'éviter?
En outre, ce message ne semble pas contenir d'informations précieuses, à part le fait qu'il utilisait potentiellement Yahoo pour envoyer des e-mails au "nom" de mon domaine, dont je ne sais pas trop comment cela a fonctionné.
Avoir un enregistrement SPF dans vos enregistrements DNS aide le destinataire à savoir quel serveur de messagerie est légitime pour votre domaine. Le destinataire recherche le domaine d'envoi pour les adresses IP de serveur valides, puis décide quoi faire avec l'e-mail.
Si l'adresse IP d'envoi figure sur la liste, l'e-mail est probablement OK.
Si l'adresse IP d'envoi ne figure pas sur la liste, elle doit être traitée avec méfiance.
Cette logique de vérification nécessite que le serveur de messagerie de réception soit configuré pour rechercher les enregistrements SPF. Si vous ne vérifiez pas les enregistrements SPF, le processus de vérification SPF complet n'est pas terminé.
Si vos en-têtes de courrier électronique n'incluent pas les champs SPF, votre serveur de messagerie n'est pas configuré pour vérifier le SPF et il ne protège pas votre entreprise de cette manière.
Vous devez rechercher la documentation de votre service de messagerie pour savoir comment activer la vérification SPF.
Le simple fait d'avoir un enregistrement SPF ne signifie pas que personne ne peut utiliser votre adresse e-mail en tant que destinataire revendiqué pour les messages usurpés.
Tout d'abord, SPF ne se soucie que de l'enveloppe SMTP et non du champ From dans l'en-tête du courrier. Ce n'est pas un problème d'envoyer un mail où les deux sont différents. Votre question ne contient aucune information sur l'enveloppe SMTP (généralement représentée par Return-Path dans l'en-tête du courrier), mais il est en fait courant que les deux soient différents lors de l'usurpation de courrier. Pour vous soucier de From, vous devez également configurer DMARC.
Et même si SPF et DMARC sont configurés, le destinataire du courrier devra en fait vérifier cela. Alors que beaucoup vérifient SPF, la plupart ne vérifient pas DMARC.
Pour plus d'informations, voir également Pourquoi configurer DMARC pour SPF s'il est déjà configuré pour DKIM? .
En fait, l'enregistrement SPF indique uniquement de quel (s) serveur (s) les courriers légitimes utilisant votre domaine peuvent provenir - et nous parlons ici des informations d'enveloppe (SMTP/RFC2821), pas de la ligne De à l'intérieur des courriers (RFC2822).
Dans votre programme de messagerie, vous ne verrez normalement que le contenu du courrier (RFC2822), donc un courrier utilisant votre domaine dans la ligne De peut avoir été envoyé en utilisant un expéditeur d'enveloppe différent et vous ne pourrez le voir que si vous regardez aux en-têtes où une ligne comme "X-Apparemment-De" révélerait l'expéditeur utilisé pour livrer le courrier.
De plus, si l'un des serveurs spécifiés dans votre SPF est compromis, les e-mails utilisant votre domaine peuvent être envoyés via lui de manière tout à fait légitime.
La première ligne d'en-têtes doit toujours êtreReceived: from sender.hostname (203.0.113.0) by your.hostname
Chaque MTA qui reçoit le message, y compris votre MTA, est censé lui ajouter cet en-tête.
Tous les messages reçus par un MTA en auront au moins un. La seule façon de n'en avoir aucun est de ne pas le recevoir via SMTP. Est-il possible que quelqu'un ait ajouté ce message directement dans votre boîte aux lettres locale/copie maildir, en contournant le serveur smtp?