Ir para o conteúdo principal

Na batalha do spam

·464 palavras·3 minutos
Exposição Spam Correio DMARC SPF DKIM
Vitor Pinho
Autor
Vitor Pinho
O informático de casa
Índice

Várias pessoas receberam, incluindo eu na minha conta de serviço e também na pessoal, uma mensagem de correio alegadamente do Banco de Fomento Angola:

email-spam.png

Óbvio que dei logo conta que era uma mensagem de spam pelo seu anexo ter extensão .html, mas o mais curioso foi: como é que conseguiu passar o anti-spam e entregar na minha inbox?

Já recebi várias mensagens de alegados extratos de vários bancos, mas nenhum deles com um endereço de banco, apenas o nome é igual. Decidi então investigar porque que este passou no teste antispam com um X-Spam-Score de 0.3 (é necessário um valor de 5 para ser considerado spam).

Informação da mensagem
#

Olhando para os dados do cabeçalho, uma informação salta a vista: o endereço do remetente e destinatário foram mascarados para serem enviados de um remetente válido, mas com outro endereço diferente. É como se eu vestisse uma camisola da Sonangol e entrasse na empresa como se lá trabalhasse.

Na informação do conteúdo do email, o remetente e destinatário vêm como:

From: "Banco de Fomento Angola" <no-reply@bfa.co.ao>
To: "mim" <cris.guerrero@kingsgroup.com.ph>

Mas na informação verificada pelos motores de antispam, vem a seguinte informação:

X-Spam-source: IP='173.203.187.102', Host='smtp102.iad3a.emailsrvr.com', Country='US',
  FromHeader='ao', MailFrom='ph'
...
...
X-Original-Delivered-to: ***@vpfotos.com
X-Mail-from: cris.guerrero@kingsgroup.com.ph

O email originou do domínio kingsgroup.com.ph, mascarado como domínio bfa.co.ao e entregue a minha caixa de correio, mascarado com o domínio original do remetente. Esta informação é reforçada mais abaixo no cabeçalho:

Received-SPF: pass
    (kingsgroup.com.ph: Sender is authorized to use 'cris.guerrero@kingsgroup.com.ph' in 'mfrom' identity (mechanism 'include:emailsrvr.com' matched))
    receiver=mx4.messagingengine.com;
    identity=mailfrom;
    envelope-from="cris.guerrero@kingsgroup.com.ph";
    helo=smtp102.iad3a.emailsrvr.com;
    client-ip=173.203.187.102
...
...
Received: by apps.rackspace.com
    (Authenticated sender: cris.guerrero@kingsgroup.com.ph, from: no-reply@bfa.co.ao)
    with HTTP; Wed, 3 Jun 2020 22:23:50 +0800 (PST)

O remetente sombra
#

Entretanto, se o endereço no-reply@bfa.co.ao faz parte do cabeçalho, deveria ser verificado certo? Sim, e foi verificado:

X-Received-Authentication-Results: (Received Authentication-Results header removed by mx3.messagingengine.com)
    mx4.messagingengine.com;
    arc=none (no signatures found);
    bimi=skipped (DMARC none);
    dkim=none (no signatures found);
    dmarc=none policy.published-domain-policy=none
      policy.applied-disposition=none policy.evaluated-disposition=none
      (p=none,d=none,d.eval=none) policy.policy-from=p
      header.from=bfa.co.ao;
    iprev=pass smtp.remote-ip=173.203.187.102 (smtp102.iad3a.emailsrvr.com);
    spf=pass smtp.mailfrom=cris.guerrero@kingsgroup.com.ph
      smtp.helo=smtp102.iad3a.emailsrvr.com;
    x-aligned-from=fail;
    x-ptr=pass smtp.helo=smtp102.iad3a.emailsrvr.com
      policy.ptr=smtp102.iad3a.emailsrvr.com;
    x-return-mx=fail header.domain=bfa.co.ao policy.is_org=yes
      policy.mx_error=NXDOMAIN policy.a_error=NXDOMAIN
      policy.aaaa_error=NXDOMAIN;
    x-return-mx=pass smtp.domain=kingsgroup.com.ph policy.is_org=yes
      (MX Records found: mx1.emailsrvr.com,mx2.emailsrvr.com);
    x-tls=pass smtp.version=TLSv1.2 smtp.cipher=ECDHE-RSA-AES128-GCM-SHA256
      smtp.bits=128/128;
    x-vs=clean score=0 state=0

Como podes ver, o domínio bfa.co.ao não existe. O domínio válido é bfa.ao. Daí, não existe nenhuma política SPF ou DMARC que impeça esta mensagem de chegar a minha inbox, já que a política do endereço remetente validou a mensagem.

A resolução é simples
#

Para empresas com este problema, uma maneira de se dar volta a isto é de adquirir os domínios semelhantes que possam ser usado nestes esquemas (ex: bfa.net, bfa.co.ao, bfacom.ao, bfa.it.ao) e se criar as políticas SPF, DKIM e DMARC nos mesmos de modo a não permitir envio de mensagens não autorizadas. Também podem implementar o BIMI para melhor assegurar a sua marca e manter os seus clientes seguros.

Relacionados

Começa com um, acaba com outro
·1204 palavras·6 minutos
Exposição Base De Dados Correio Segurança Spam
Há muito que clamo pela automatização de serviços públicos, porque tratar-se algo neste país envolve muita burocracia, muito papel e muitas… outras coisas.
Um gigante rendido
·1896 palavras·9 minutos
Exposição Antivirus Phishing Ransomware Spam Usb
No início de junho, vários jornais reportaram sobre o ataque cibernético que deixou a empresa Sonangol paralisada, o que me pôs estupefacto e com aquelas perguntas básicas: mas o que aconteceu de tão grave que precisaram desligar os sistemas como nos filmes?
E tudo um sopro levou
·737 palavras·4 minutos
Exposição DNS Litespeed Firewall Load Balancer Windows Server
No final do mês passado, a Imogestin procedeu à abertura de inscrições online para habitações na centralidade do Zango 5.