vitorpinho.com Aquele papo de tecnologia

Na Batalha Do Spam

N

Várias pessoas receberam, incluindo eu na minha conta de serviço e também na pessoal, uma mensagem de correio alegadamente do Banco de Fomento Angola:

email-spam.png

Óbvio que dei logo conta que era uma mensagem de spam pelo seu anexo ter extensão .html, mas o mais curioso foi: como é que conseguiu passar o anti-spam e entregar na minha inbox?

Já recebi várias mensagens de alegados extratos de vários bancos, mas nenhum deles com um endereço de banco, apenas o nome é igual. Decidi então investigar porque que este passou no teste antispam com um X-Spam-Score de 0.3 (é necessário um valor de 5 para ser considerado spam).

Informação da mensagem

Olhando para os dados do cabeçalho, uma informação salta a vista: o endereço do remetente e destinatário foram mascarados para serem enviados de um remetente válido, mas com outro endereço diferente. É como se eu vestisse uma camisola da Sonangol e entrasse na empresa como se lá trabalhasse.

Na informação do conteúdo do email, o remetente e destinatário vêm como:

From: "Banco de Fomento Angola" <no-reply@bfa.co.ao>
To: "mim" <cris.guerrero@kingsgroup.com.ph>

Mas na informação verificada pelos motores de antispam, vem a seguinte informação:

X-Spam-source: IP='173.203.187.102', Host='smtp102.iad3a.emailsrvr.com', Country='US',
  FromHeader='ao', MailFrom='ph'
...
...
X-Original-Delivered-to: ***@vpfotos.com
X-Mail-from: cris.guerrero@kingsgroup.com.ph

O email originou do domínio kingsgroup.com.ph, mascarado como domínio bfa.co.ao e entregue a minha caixa de correio, mascarado com o domínio original do remetente. Esta informação é reforçada mais abaixo no cabeçalho:

Received-SPF: pass
    (kingsgroup.com.ph: Sender is authorized to use 'cris.guerrero@kingsgroup.com.ph' in 'mfrom' identity (mechanism 'include:emailsrvr.com' matched))
    receiver=mx4.messagingengine.com;
    identity=mailfrom;
    envelope-from="cris.guerrero@kingsgroup.com.ph";
    helo=smtp102.iad3a.emailsrvr.com;
    client-ip=173.203.187.102
...
...
Received: by apps.rackspace.com
    (Authenticated sender: cris.guerrero@kingsgroup.com.ph, from: no-reply@bfa.co.ao)
    with HTTP; Wed, 3 Jun 2020 22:23:50 +0800 (PST)

O remetente sombra

Entretanto, se o endereço no-reply@bfa.co.ao faz parte do cabeçalho, deveria ser verificado certo? Sim, e foi verificado:

X-Received-Authentication-Results: (Received Authentication-Results header removed by mx3.messagingengine.com)
    mx4.messagingengine.com;
    arc=none (no signatures found);
    bimi=skipped (DMARC none);
    dkim=none (no signatures found);
    dmarc=none policy.published-domain-policy=none
      policy.applied-disposition=none policy.evaluated-disposition=none
      (p=none,d=none,d.eval=none) policy.policy-from=p
      header.from=bfa.co.ao;
    iprev=pass smtp.remote-ip=173.203.187.102 (smtp102.iad3a.emailsrvr.com);
    spf=pass smtp.mailfrom=cris.guerrero@kingsgroup.com.ph
      smtp.helo=smtp102.iad3a.emailsrvr.com;
    x-aligned-from=fail;
    x-ptr=pass smtp.helo=smtp102.iad3a.emailsrvr.com
      policy.ptr=smtp102.iad3a.emailsrvr.com;
    x-return-mx=fail header.domain=bfa.co.ao policy.is_org=yes
      policy.mx_error=NXDOMAIN policy.a_error=NXDOMAIN
      policy.aaaa_error=NXDOMAIN;
    x-return-mx=pass smtp.domain=kingsgroup.com.ph policy.is_org=yes
      (MX Records found: mx1.emailsrvr.com,mx2.emailsrvr.com);
    x-tls=pass smtp.version=TLSv1.2 smtp.cipher=ECDHE-RSA-AES128-GCM-SHA256
      smtp.bits=128/128;
    x-vs=clean score=0 state=0

Como podes ver, o domínio bfa.co.ao não existe. O domínio válido é bfa.ao. Daí, não existe nenhuma política SPF ou DMARC que impeça esta mensagem de chegar a minha inbox, já que a política do endereço remetente validou a mensagem.

A resolução é simples

Para empresas com este problema, uma maneira de se dar volta a isto é de adquirir os domínios semelhantes que possam ser usado nestes esquemas (ex: bfa.net, bfa.co.ao, bfacom.ao, bfa.it.ao) e se criar as políticas SPF, DKIM e DMARC nos mesmos de modo a não permitir envio de mensagens não autorizadas. Também podem implementar o BIMI para melhor assegurar a sua marca e manter os seus clientes seguros.

Adicionar Comentário

comments powered by Disqus

Vitor Pinho

avatar

Administrador de sistemas e informático a mais de 19 anos, desde o tempo do MS-DOS e Windows NT e autodidata em tudo que é relaccionado a IT.