O ile zazwyczaj tego typu wiadomości są wysyłane w formie listu tradycyjnego (papierowego), to od kilku dni docierają do mnie informacje, że otrzymujecie również wiadomości przesyłane pocztą elektroniczną (e-mail), w których pojawia się wezwanie do zapłaty, i te wiadomości niby są wysyłane z oficjalnego adresu CEIDG…
Spis treści w artykule
Rządowa domena i fałszywe wiadomości e-mail
Jak już wspomniałem, wiadomości pozornie pochodzą z adresu e-mail znajdującego się w rządowej domenie związanej z rejestrem CEIDG (ceidg.gov.pl), co potencjalnie ma je uwiarygodnić:
Od: Ministerstwo Rozwoju [email protected]
Temat: Wezwanie do zapłaty
Oczywiście każdy, kto choćby raz konfigurował wysyłanie wiadomości czy to z serwera VPS, czy z WordPressa wie, że w polu „od” można wstawić właściwie dowolny adres e-mail, w tym domeny z którą nie mamy nic wspólnego.
Oczywiście w większości przypadków tego typu wiadomości są automatycznie oznaczane jako SPAM, gdyż chyba większość dostawców poczty e-mail ma w swoich systemach pocztowych wdrożone mechanizmy antySPAMowe, które mają również za zadanie zweryfikować, czy serwer wysyłający daną wiadomość faktycznie uprawniony jest do wysyłania wiadomości w ramach danej domeny.
Weryfikacja ta odbywa się m.in. na podstawie m.in. rekordów SPF (Sender Policy Framework – infrastruktura zasad nadawcy), które zawierzają informacje o dozwolonych serwerach pocztowych, które mogą wysyłać wiadomości w ramach danej domeny – w przypadku, gdy serwer wysyłający nie znajduje się na liście dozwolonych serwerów pocztowych, taka wiadomość jest odrzucana, lub przynajmniej oznaczana jako SPAM/oszustwo.
Tak wygląda np. rekord TXT z informacją SPF dla Webinsider.pl:
TXT: webinsider.pl descriptive text "v=spf1 mx include:zoho.com include:mailgun.org include:sparkpostmail.com ~all"
I tak w ramach domeny Webinsider.pl wiadomości e-mail mogą być wysyłane z 3 serwerów pocztowych, należących do dostawców usług e-mail, z których korzystam, a w których udowodniłem swoje prawo do wysyłania wiadomości z tej domeny (pozostałe wiadomości będą albo odrzucane, albo oznaczane jako SPAM).
W przypadku domeny ceidg.gov.pl niestety brak jest tego typu rekordów:
TXT: ceidg.gov.pl has no TXT record
Co oznacza, że właściwie każdy może podać jako adres nadawcy adres w domenie ceidg.gov.pl, a systemy pocztowe nie mają jak automatycznie zweryfikować, czy dany serwer może wysyłać wiadomości w ramach tej domeny – brak listy dozwolonych serwerów oznacza, że dozwolone są wszystkie serwery.
Inne strony rządowe/urzędowe
Postanowiłem na szybko sprawdzić jak to wygląda w przypadku stron/domen należących do wybranych instytucji państwowych, i tutaj pozytywne zaskoczenie – odpowiednie rekordy są skonfigurowane:
TXT: mf.gov.pl descriptive text "v=spf1 ip4:145.237.237.0/26 ip4:145.237.192.0/29 -all"
TXT: uke.gov.pl descriptive text "v=spf1 mx ip4:193.227.131.70 -all"
TXT: premier.gov.pl descriptive text "v=spf1 mx a:mx1.premier.gov.pl mx:mx1.premier.gov.pl ip4:46.28.9.84 -all"
TXT: prezydent.pl descriptive text "v=spf1 ip4:195.205.14.0/24 mx ptr -all"
TXT: ms.gov.pl descriptive text "v=spf1 ip4:91.224.144.0/24 a mx ptr -all"
TXT: pz.gov.pl descriptive text "v=spf1 mx a -all"
Czarną owcą okazała się za to domena obywatel.gov.pl, gdzie nie znalazłem odpowiedniego rekordu…
Jak się bronić?
To, że w polu nadawcy znajdziemy adres w jakiejś domenie nie znaczy, że faktycznie został on wysłany przez osoby do tego upoważnione, i niestety, ale w przypadku braku odpowiednich rekordów w konfiguracji domeny (po stronie serwera DNS), gdy nie zadziałają automatyczne mechanizmy filtrujące rozpoznanie oszustwa jest możliwe, ale wymaga już trochę większej wiedzy technicznej, gdyż niezbędne będzie zajrzenie do źródła wiadomości i sprawdzenie faktycznych adresów serwerów, które wiadomość wysłały.
Tak np. wygląda fragment źródła wiadomości, która została wysłana za pośrednictwem usługi Mailgun (ze strony Webinsider.pl, po API/HTTP) na moją skrzynkę pocztową w Zoho:
Received: from mail2.static.mailgun.info (mail2.static.mailgun.info [104.130.122.2]) by mx.zohomail.com with SMTPS id 1484210040204301.52071790652894; Thu, 12 Jan 2017 00:34:00 -0800 (PST)
Received: by luna.mailgun.net with HTTP; Thu, 12 Jan 2017 08:26:13 +0000
Mamy tu serwery biorące udział w całej operacji, i na ich podstawie jestem w stanie prześledzić ścieżkę jaką podążała wiadomość, co dodatkowo (bo mam też wdrożone odpowiednie rekordy i ustawienia dla poczty e-mail w domenie) pozwala mi w razie wątpliwości zweryfikować autentyczność wiadomości.
- Home Assistant 2024.11, czyli „sekcje” domyślnym widokiem z opcją migracji, WebRTC oraz wirtualna kamera - 1970-01-01
- Black Friday w ZUS, czyli jest jeszcze kilka dni, by złożyć wniosek RWS i skorzystać z wakacji składkowych płacąc ZUS za grudzień 2024 - 1970-01-01
- Wakacje składkowe ZUS a zawieszenie działalności gospodarczej, czyli uważaj, bo być może nie będziesz mógł skorzystać (w 2024) - 1970-01-01
Dobra, a co jeśli firma ustaliła wpisy SPF, ale ja jako zły pracownik (albo nie pasuje mi dostęp do poczty przez pop3 tylko z jednego kompa), chcę wysyłać pocztę np z @gmail.com (wcześniej sobie robię przekierowanie poczty na @gmail.com i tam „weryfikuję” się do nadawania poczty w imieniu skrzynki firmowej.
Mógłbym zacząć od pytania, czy jeśli ktoś nie chce nosić kluczy do mieszkania, to oznacza to, że inni automatycznie nie powinni z tego powodu (móc) zamykać mieszkania? ;-)
A tak serio, to w większości przypadków (w Gmailu też tak jest), gdy jakiś system pocztowy umożliwia wysyłanie i odbieranie poczty z
innychzewnętrznych adresów, to podczas konfiguracji musimy podać oprócz adresu e-mail również parametry niezbędne do połączenia się z daną skrzynką, m.in. login, hasło i adresy serwerów POP3/IMAP oraz SMTP, które wykorzystywane są następnie podczas wysyłania/odbierania poczty. W tym momencie poczta nie jest wysyłana „ze serwerów Google”, ale Gmail pełni rolę „programu pocztowego”, a sama wysyłka odbywa się za pomocą podanych serwerów SMTP, a tym samym nie ma tu konfliktu z SPF/DKIM.