Redakcja WebInsider.pl zaprasza na WordCamp 2018 Poznań. Poznajmy się w Poznaniu!

Wielokrotnie pisałem (i przypominałem) na łamach WebInsider.pl o różnej maści „ofertach”, jakie otrzymują przedsiębiorcy, a które mają – w moim odczuciu – „tworząc mylne wrażenie”, że jest to pismo urzędowe, związane z Państwowym rejestrem CEIDG (Centralna Ewidencja i Informacja i Działalności Gospodarczej) nakłonić odbiorcę takiej wiadomości do wpłaty konkretnej kwoty (zazwyczaj 200-500 zł) na rachunek „nadawcy oferty”, jako opłatę za wpis do rejestru (oczywiście wpis do CEIDG, jak i wszystkie operacje związane z rejestrem są całkowicie bezpłatne).

O ile zazwyczaj tego typu wiadomości są wysyłane w formie listu tradycyjnego (papierowego), to od kilku dni docierają do mnie informacje, że otrzymujecie również wiadomości przesyłane pocztą elektroniczną (e-mail), w których pojawia się wezwanie do zapłaty, i te wiadomości niby są wysyłane z oficjalnego adresu CEIDG…

Rządowa domena i fałszywe wiadomości e-mail

Jak już wspomniałem, wiadomości pozornie pochodzą z adresu e-mail znajdującego się w rządowej domenie związanej z rejestrem CEIDG (ceidg.gov.pl), co potencjalnie ma je uwiarygodnić:

Od: Ministerstwo Rozwoju [email protected]
Temat: Wezwanie do zapłaty

Oczywiście każdy, kto choćby raz konfigurował wysyłanie wiadomości czy to z serwera VPS, czy z WordPressa wie, że w polu „od” można wstawić właściwie dowolny adres e-mail, w tym domeny z którą nie mamy nic wspólnego.

Oczywiście w większości przypadków tego typu wiadomości są automatycznie oznaczane jako SPAM, gdyż chyba większość dostawców poczty e-mail ma w swoich systemach pocztowych wdrożone mechanizmy antySPAMowe, które mają również za zadanie zweryfikować, czy serwer wysyłający daną wiadomość faktycznie uprawniony jest do wysyłania wiadomości w ramach danej domeny.

Weryfikacja ta odbywa się m.in. na podstawie m.in. rekordów SPF (Sender Policy Framework – infrastruktura zasad nadawcy), które zawierzają informacje o dozwolonych serwerach pocztowych,  które mogą wysyłać wiadomości w ramach danej domeny – w przypadku, gdy serwer wysyłający nie znajduje się na liście dozwolonych serwerów pocztowych, taka wiadomość jest odrzucana, lub przynajmniej oznaczana jako SPAM/oszustwo.

Tak wygląda np. rekord TXT z informacją SPF dla WebInsider.pl:

TXT: webinsider.pl descriptive text "v=spf1 mx include:zoho.com include:mailgun.org include:sparkpostmail.com ~all"

I tak w ramach domeny WebInsider.pl wiadomości e-mail mogą być wysyłane z 3 serwerów pocztowych, należących do dostawców usług e-mail, z których korzystam, a w których udowodniłem swoje prawo do wysyłania wiadomości z tej domeny (pozostałe wiadomości będą albo odrzucane, albo oznaczane jako SPAM).

W przypadku domeny ceidg.gov.pl niestety brak jest tego typu rekordów:

TXT: ceidg.gov.pl has no TXT record

Co oznacza, że właściwie każdy może podać jako adres nadawcy adres w domenie ceidg.gov.pl, a systemy pocztowe nie mają jak automatycznie zweryfikować, czy dany serwer może wysyłać wiadomości w ramach tej domeny – brak listy dozwolonych serwerów oznacza, że dozwolone są wszystkie serwery.

Inne strony rządowe/urzędowe

Postanowiłem na szybko sprawdzić jak to wygląda w przypadku stron/domen należących do wybranych instytucji państwowych, i tutaj pozytywne zaskoczenie – odpowiednie rekordy są skonfigurowane:

TXT: mf.gov.pl descriptive text "v=spf1 ip4:145.237.237.0/26 ip4:145.237.192.0/29 -all"
TXT: uke.gov.pl descriptive text "v=spf1 mx ip4:193.227.131.70 -all"
TXT: premier.gov.pl descriptive text "v=spf1 mx a:mx1.premier.gov.pl mx:mx1.premier.gov.pl ip4:46.28.9.84 -all"
TXT: prezydent.pl descriptive text "v=spf1 ip4:195.205.14.0/24 mx ptr -all"
TXT: ms.gov.pl descriptive text "v=spf1 ip4:91.224.144.0/24 a mx ptr -all"
TXT: pz.gov.pl descriptive text "v=spf1 mx a -all"

Czarną owcą okazała się za to domena obywatel.gov.pl, gdzie nie znalazłem odpowiedniego rekordu…

Jak się bronić?

To, że w polu nadawcy znajdziemy adres w jakiejś domenie nie znaczy, że faktycznie został on wysłany przez osoby do tego upoważnione, i niestety, ale w przypadku braku odpowiednich rekordów w konfiguracji domeny (po stronie serwera DNS), gdy nie zadziałają automatyczne mechanizmy filtrujące rozpoznanie oszustwa jest możliwe, ale wymaga już trochę większej wiedzy technicznej, gdyż niezbędne będzie zajrzenie do źródła wiadomości i sprawdzenie faktycznych adresów serwerów, które wiadomość wysłały.

Tak np. wygląda fragment źródła wiadomości, która została wysłana za pośrednictwem usługi Mailgun (ze strony WebInsider.pl, po API/HTTP) na moją skrzynkę pocztową w Zoho:

Received: from mail2.static.mailgun.info (mail2.static.mailgun.info [104.130.122.2]) by mx.zohomail.com with SMTPS id 1484210040204301.52071790652894; Thu, 12 Jan 2017 00:34:00 -0800 (PST)
Received: by luna.mailgun.net with HTTP; Thu, 12 Jan 2017 08:26:13 +0000

Mamy tu serwery biorące udział w całej operacji, i na ich podstawie jestem w stanie prześledzić ścieżkę jaką podążała wiadomość, co dodatkowo (bo mam też wdrożone odpowiednie rekordy i ustawienia dla poczty e-mail w domenie) pozwala mi w razie wątpliwości zweryfikować autentyczność wiadomości.

Zgłoś błąd na stronie
Spodobał Ci się artykuł? Zapisz się do naszego Newslettera - ZERO SPAMu, same konkrety, oraz dostęp do dodatkowych materiałów przeznaczonych dla subskrybentów!
Na podany adres e-mail otrzymasz od nas wiadomość e-mail, w której znajdziesz link do potwierdzenia subskrypcji naszego Newslettera. Dzięki temu mamy pewność, że nikt nie dodał Twojego adresu przez przypadek. Jeśli wiadomość nie przyjdzie w ciągu najbliższej godziny (zazwyczaj jest to maksymalnie kilka minut) sprawdź folder SPAM.
Młody Szymon pomógł tacie zapisać się do Newslettera WebInsider.pl i... teraz idzie popływać
WebInsider poleca księgowość wFirma
WebInsider korzysta z VPSa w HitMe.pl
WebInsider poleca VPSy DigitalOcean
WebInsider poleca serwis Vindicat
Napisz komentarz
wipl_napisz-komentarz_01Jeśli informacje zawarte na tej stronie okazały się pomocne, możesz nam podziękować zostawiając poniżej swój komentarz.

W tej formie możesz również zadać dodatkowe pytania dotyczące wpisu, na które - w miarę możliwości - spróbujemy Ci odpowiedzieć.
Linki partnerskie
Niektóre z linków na tej stronie to tzw. "linki partnerskie", co oznacza, że jeśli klikniesz na link i dokonasz wymaganej akcji (np. zakup/rejestracja) możemy otrzymać za to prowizję. Pamiętaj, że polecamy tylko te produkty i usługi, z których sami korzystamy, i uważamy, że są tego na prawdę warte... :-)
Znaki towarowe i nazwy marek
W niektórych wpisach (oraz innych miejscach na stronie) mogą być przedstawione/użyte znaki towarowe i/lub nazwy marek, które stanowią własność intelektualną tych podmiotów, a zostały użyte wyłącznie w celach informacyjnych.
Księgowość internetowa wFirma 80% taniej dla czytelników WebInsider.pl