Docs

Epostspoofing / Hva er det?

Artikkelen vil fortelle deg litt om hva spoofing av epost er, og hvordan du eventuelt kan gå frem for å beskytte deg mot dette.

Epostspoofing er sendte epost med en falsk avsender. Dette er enkelt for spammere og andre å utføre grunnet kjerneprotokollene epost er basert på ikke har mekanismer for autentisering. Det kan forekomme lokalt, eller i et miljø eksternt via f.eks malware/trojaner. Spam og phishing-epost er typiske eksempeler hvor slik epostspoofing er brukt for å skjule opphav av eposten.

Det tekniske

Når en epost sendes via SMTP-protokollen sendes typisk to typer adresseinformasjon.

  • MAIL FROM: Generelt sett presentert for mottaker som "Return-path" i headeren, men er normalt ikke synlig for mottaker, og som standard utføres det ingen sjekker på om systemet som sender eposten har lov til å sende for den adressen.
  • RCPT TO: Spesifiserer hvilken epostadresse eposten leveres til, normalt ikke synlig for mottaker men kan være synlig i headeren som en del av "Received:" headeren.

Når mottakerserver signaliserer at disse verdiene er godtatt, sender avsenderserver "DATA"-kommandoen og typisk flere andre header-variabler som inkluderer:

  • From: Ola Nordmann ola@eksempel.no: Adressen som er synlig for mottaker, og igjen utføres det ingen sjekk om dette stemmer eller om avsendersystem har tillatelse til å sende for denne epostadressen
  • Reply-to: Ola Ondsinnet ola@ondsinnet.com: "Svar-til"-adresse. Adressen det svares til. Denne verdien er heller ikke sjekket

Resultatet av dette er at mottaker ser eposten som mottatt fra Ola Nordmann ola@eksempel.no, men skulle mottaker svare på eposten vil svaret gå til enten adressen i From-headeren, eventuelt Reply-to-adressen om denne er spesifisert.

Brukt av spam og trojaner/malware

Malware som Klez og Sober er eksempler som søker etter epostadresser på en infisert maskin, og bruker disse både som mål for epost, men også som en falsk avsender, slik at eposten har en større sannsynlighet for å bli åpnet av mottakeren. For eksempel:

  1. Kari mottar en infisert epost som hun åpner, som igjen kjører den ondsinnede koden.
  2. Trojaneren søker gjennom Karis adressebok og finner adressene til Per og Espen.
  3. Fra Karis maskin sendes det en infisert epost til Per, men som tilsynelatende kommer fra Espen.

I dette eksempelet, selv om maskinen til Per skulle oppdage at eposten inneholder infisert kode, ser han avsenderen som Espen, selv om eposten opprinnelig kom fra Karis maskin og intetanende vet ikke Kari at hennes maskin er infisert.

Hvordan kan jeg beskytte meg?

Det er flere måter å beskytte sitt domene slik at eventuell infisert epost ikke kommer frem til mottaker. SSL/TLS kan benyttes for å styrke autentisering, men hjelper ofte ikke, eller er ikke godt nok.

Følgende tiltak kan utføres for å beskytte seg og sitt domene:

Trenger du fortsatt hjelp? Kontakt oss!
Sist oppdatert 28th Jan 2016