چرا احراز هویت کامل در Mail Server ها مهم است؟

امروز یک ایمیل بر روی یکی از آدرس های barnamenevis.org دریافت کردم با مضمون زیر:

info@barnamenevis.org was hacked

و نکته جالب این بود که Gmail این ایمیل را در فولدر Spam قرار داده بود. عنوان ایمیل توجه ام را جلب کرد. متن ایمیل را مطالعه کردم. فرستنده با طول و تفصیل شرح داده بود که من چند ماهی هست که Mail Server شما رو هک کردم، بعد از طریق اون هک تونستم کل سرور شما رو هک کنم، و حتی از طریق ارتباط هایی که شما با سرورتان داشته اید تمام PC و دستگاه های دیگه شما رو هک کردم، خلاصه خیلی هک تون کردم. اگر هم می خواهید اطلاعات محرمانه تون رو جایی منتشر نکنم 500 دلار به فلان کیف پول بیت کوین واریز کنید.

به عنوان گواهی اثبات ادعا هم گفته بود آدرس فرستنده ایمیل رو چک کنید، خوب آدرس فرستنده رو چک کردم، چنین صحنه ای رو دیدم:

به نظر میامد فرستنده ایمیل، این ایمیل را با استفاده اکانت و سرور خودم به خودم فرستاده است. وقتی ایمیل را خواندم در حال استفاده از اپ جی میل بر روی گوشی بودم و جزئیات زیادی از لحاظ فنی نمایش داده نمی شد. هم کنجکاو شدم، هم به چند موضوع شک کردم.

  1. میل سرور برنامه نویس کاملا Authenticate شده است. چرا این ایمیل خاص در فولدر اسپم قرار گرفته؟
  2. چرا مدعی هک، هیچ دلیل دیگری برای اثبات ادعایش ارائه نکرده است؟

خوب موقعی که ایمیل را خواندم دسترسی به PC نداشتم، بنابراین همچنان کنجکاو ماندم تا به منزل برسم. به محض رسیدن سیستم را روشن کردم و رفتم سروقت ایمیل.

نسخه وب جی میل یک گزینه دارد به نام مشاهده پیام اصلی که متن کامل ایمیل با جزئیات فنی را نمایش می دهد:

وقتی به جزئیات ایمیل با انتخاب گزینه فوق دقت کردم مشخص شد که چرا این ایمیل از طرف جی میل به عنوان یک پیام نامعتبر شناخته شده است:

spf=softfail (google.com: domain of transitioning info@barnamenevis.org does not designate 86.104.107.197 as permitted sender) smtp.mailfrom=info@barnamenevis.org Received-SPF: softfail (google.com: domain of transitioning info@barnamenevis.org does not designate 86.104.107.197 as permitted sender)

خوب دیگه واضح تر از این؟ آی پی آدرس فوق آی پی سرور ما نیست.

اما چه عاملی باعث شد امکان چنین تشخیصی برای گوگل فراهم شود؟

وجود رکورد SPF در تنظیمات DNS سایت ما. در رکوردهای DNS سایت Barnamenevis.org یک رکورد از نوع TXT تعریف شده است با این محتوا:

v=spf1 a mx ip4:5.63.8.157 ~all

وجود این رکورد به این معناست که سرور Barnamenevis فقط آدرس آی پی ذکر شده در رکورد فوق را به عنوان آدرس آی پی خودش معتبر می داند و اعلام می کند.

اما فرد به اصطلاح هکر چگونه توانسته بود این ایمیل را بفرستد؟ با شبیه سازی.

کاری که انجام داده بود این بوده که در زمان ارسال این ایمیل، Host Name سرور فرستنده ایمیل در تنظیمات Mail Server خودش را موقتا به barnamenevis.org تغییر داده است و این ایمیل را ارسال کرده است. اما سرورهای دریافت کننده، هنگام احراز هویت ایمیل، ابتدا از دامین واقعی Barnamenevis.org رکوردها و اطلاعات لازم را دریافت می کنند و با ایمیل دریافتی تطبیق می دهند و این گونه مشخص می شود آیا ایمیل دریافتی یک ایمیل معتبر و احراز هویت شده هست یا نه.

جمع بندی فنی: اگر وب مستر سایتی هستید دقت کنید در رکوردهای Mail Server سایت شما رکوردهای MX، رکوردهای SPF، و ترجیحا رکوردهای Domain Key وجود داشته باشد، وگرنه ممکن است علاوه بر احراز هویت نشدن ایمیل های ارسالی تان، خراب کاری فرستنده های اسپم به نام شما تمام شود.

جمع بندی رفتاری: اگر کسی در عالم وب شما را تهدید به هک و ... کرد نترسید. خیلی از این تهدیدها الکی و جهت ترساندن و اخاذی از شما هستند. اگر تهدید به نظرتان جدی می آید سعی کنید شواهد را بررسی کنید. اگر هم خودتان اطلاعات فنی/امنیتی لازم را ندارید از دوستان، همکاران، یا افراد مطلع در زمینه امنیت کمک بگیرید.

تگ ها:

هک 1 امنیت 1 Hack 1 Security 2 Mail Server 1 Authentication 1 احراز هویت 1

 

بهنام

سه شنبه 15 آبان 1397 ساعت 10:28

واقعا جالب بود ایولا

مهدی کرامتی

چهار شنبه 21 آذر 1397 ساعت 12:33

قابلی نداشت. تلاش ما همیشه در جهت افزایش دانش جامعه برنامه نویس در کشور بوده است. خوشحال می شویم بشنویم این تلاش مسمر ثمر بوده است.

محمد قربانی

چهار شنبه 15 اسفند 1397 ساعت 13:38

جالب بود و دقیقا همین سناریو دو سال پیش برای من اتفاق افتاده بود . هر چند اطلاعات خاصی برای انتشار نداشتم ولی در جواب تهدید ها فقط لایک کردمش . بدیش هم این بود که نمی تونستم به طرف بگم که خودتی .

محمدحسین فخرآوری

پنجشنبه 25 مهر 1398 ساعت 07:41

قبلا برای استادای دانشگامون میزدیم. :)