随着澳大利亚部分私营部门、各级政府和一所大学因SPF记录中广泛的IP范围而犯错,现在可能正是检查你记录的时候了。你已经为你的组织做了正确的事情,并确保DMARC和SPF(发件人政策框架)记录的设置,以努力减少电子邮件诈骗,但如果SPF在所述的IP范围内过于宽松,所有这些良好的工作可能会被终结。bluehost美国虚拟主机商分享检查SPF记录 宽泛的IP范围会破坏电子邮件的安全性
Can I Phish首席执行官Sebastian Salla指出了这种情况,他扫描了180万条澳大利亚域名记录,以寻找电子邮件的安全漏洞。
Salla正在寻找SPF记录中的错误,它处理单个IP地址,但也处理IP范围。如果一个组织输入了一个广泛的IP范围,并将他们的电子邮件基础设施放在一个云提供商那里,而云提供商会重复使用IP地址,除非一个组织为一个独立IP地址支付额外费用,那么就有可能接管一个由其他人的SPF记录所覆盖的地址。推荐阅读:《简述域名中SPF记录和MX记录》
发现有6万个IP指向亚马逊网络服务(AWS)的各个地区后,Salla就开始行动了,并且能够在AWS上启动EC2实例,该AWS提供了一个IP地址,而另一个组织表示它已经控制了该IP地址。这种情况发生了264次。
被发现的组织包括澳大利亚议会大厦、悉尼大学、Mirvac、另一个大型房地产投资集团和一个州政府组织。
“受影响的264个组织中的每一个及其下游客户都明显更容易受到商业电子邮件泄露和钓鱼网站相关攻击的影响。任何拥有信用卡的人都可以注册一个AWS账户,在EC2实例中循环,直到他们得到一个理想的IP,要求AWS取消任何SMTP限制,并开始发送SPF认证的电子邮件,就好像他们归属于这些组织中”Salla写道。
“当我们考虑到其中一些组织所处的位置时,我们可以更好地理解这种影响。想象一下,一个议会工作人员收到一封似乎来自部长的电子邮件,或者一个学生收到一封冒充大学招生人员的电子邮件,等等…… 这些情况下的收件人没有技术机制来鉴定真假”。
“由于AWS定价的方式,如果你保留了一个IP地址,然后不使用它,你会受到惩罚,并产生一个小时的费用(这是由于有有限的IP的性质,AWS不希望客户过多地保留IP)。”他说。
“所以我怀疑,一个专注于每个org的成本优化的业务部门,很可能释放出未使用的IP,这意味着像我这样的人可以进来并拿走它们–如果这种活动没有在业务部门之间进行沟通,最终会导致IP接管攻击。
“最终的解决方法是只列出邮件服务器正在积极使用的IP地址–在有必要进行冗余/灾难恢复的情况下,AWS内部有内置的功能可以实现这一点,例如使用负载均衡器或只使用单个IP的NAT网关。”
另见:钓鱼攻击在你的智能手机上更难发现。这就是为什么黑客们使用更频繁的原因。
ACSC发言人说:”组织可以通过在其域名系统配置中实施发件人政策框架和基于域的消息验证、报告和一致性(DMARC)记录,来减少其域名被用来支持虚假电子邮件的可能性。
“DMARC是各种控制措施中的一种,如果一起使用,是一种非常有效的反制措施,可以防止攻击者试图完全冒充发送电子邮件域名的网络钓鱼攻击。
“最终要由每个机构根据该机构对其面临的网络威胁的评估来执行澳大利亚网络安全中心的建议。”推荐阅读:《了解电子邮件传递背后的流程》
议会服务部方面表示,它已经处理了这个问题。
它说:”议会服务部解决了供应商的SPF配置不正确的问题,这对网络没有影响。
悉尼大学像往常一样,说它认真对待安全问题,但不会对其网络状况的细节发表评论。
一位发言人说:”我们不断地审查和改进我们的系统,以管理这些威胁,并可以确认博客中提出的问题由来已久。“
上个月初,Salla发现当地网站开发公司Precedence创建的一些网站,其中包括昆士兰州议会和联邦成员的客户,在其客户群中使用的SPF记录中使用了一个/16地址范围,涵盖了超过一百万个IP地址。
Salla说,这个范围几乎囊括了所有在悉尼ap-southeast-2地区启动的EC2实例。
Salla写道:”我启动的第一个EC2实例有一个授权的IP地址,我能够从这个特定的市议会给自己发送一封经过SPF认证的电子邮件,它直接进入我的收件箱–通过所有的SPF和DMARC检查。”推荐相关阅读:《拥有自定义域名的三个免费电子邮件供应商》
