Wielokrotnie pisałem (i przypominałem) na łamach Webinsider.pl o różnej maści „ofertach”, jakie otrzymują przedsiębiorcy, a które mają – w moim odczuciu – „tworząc mylne wrażenie”, że jest to pismo urzędowe, związane z Państwowym rejestrem CEIDG (Centralna Ewidencja i Informacja i Działalności Gospodarczej) nakłonić odbiorcę takiej wiadomości do wpłaty konkretnej kwoty (zazwyczaj 200-500 zł) na rachunek „nadawcy oferty”, jako opłatę za wpis do rejestru (oczywiście wpis do CEIDG, jak i wszystkie operacje związane z rejestrem są całkowicie bezpłatne).

O ile zazwyczaj tego typu wiadomości są wysyłane w formie listu tradycyjnego (papierowego), to od kilku dni docierają do mnie informacje, że otrzymujecie również wiadomości przesyłane pocztą elektroniczną (e-mail), w których pojawia się wezwanie do zapłaty, i te wiadomości niby są wysyłane z oficjalnego adresu CEIDG…

Rządowa domena i fałszywe wiadomości e-mail

Jak już wspomniałem, wiadomości pozornie pochodzą z adresu e-mail znajdującego się w rządowej domenie związanej z rejestrem CEIDG (ceidg.gov.pl), co potencjalnie ma je uwiarygodnić:

Od: Ministerstwo Rozwoju [email protected]
Temat: Wezwanie do zapłaty

Oczywiście każdy, kto choćby raz konfigurował wysyłanie wiadomości czy to z serwera VPS, czy z WordPressa wie, że w polu „od” można wstawić właściwie dowolny adres e-mail, w tym domeny z którą nie mamy nic wspólnego.

Oczywiście w większości przypadków tego typu wiadomości są automatycznie oznaczane jako SPAM, gdyż chyba większość dostawców poczty e-mail ma w swoich systemach pocztowych wdrożone mechanizmy antySPAMowe, które mają również za zadanie zweryfikować, czy serwer wysyłający daną wiadomość faktycznie uprawniony jest do wysyłania wiadomości w ramach danej domeny.

Weryfikacja ta odbywa się m.in. na podstawie m.in. rekordów SPF (Sender Policy Framework – infrastruktura zasad nadawcy), które zawierzają informacje o dozwolonych serwerach pocztowych,  które mogą wysyłać wiadomości w ramach danej domeny – w przypadku, gdy serwer wysyłający nie znajduje się na liście dozwolonych serwerów pocztowych, taka wiadomość jest odrzucana, lub przynajmniej oznaczana jako SPAM/oszustwo.

Tak wygląda np. rekord TXT z informacją SPF dla Webinsider.pl:

TXT: webinsider.pl descriptive text "v=spf1 mx include:zoho.com include:mailgun.org include:sparkpostmail.com ~all"

I tak w ramach domeny Webinsider.pl wiadomości e-mail mogą być wysyłane z 3 serwerów pocztowych, należących do dostawców usług e-mail, z których korzystam, a w których udowodniłem swoje prawo do wysyłania wiadomości z tej domeny (pozostałe wiadomości będą albo odrzucane, albo oznaczane jako SPAM).

W przypadku domeny ceidg.gov.pl niestety brak jest tego typu rekordów:

TXT: ceidg.gov.pl has no TXT record

Co oznacza, że właściwie każdy może podać jako adres nadawcy adres w domenie ceidg.gov.pl, a systemy pocztowe nie mają jak automatycznie zweryfikować, czy dany serwer może wysyłać wiadomości w ramach tej domeny – brak listy dozwolonych serwerów oznacza, że dozwolone są wszystkie serwery.

Inne strony rządowe/urzędowe

Postanowiłem na szybko sprawdzić jak to wygląda w przypadku stron/domen należących do wybranych instytucji państwowych, i tutaj pozytywne zaskoczenie – odpowiednie rekordy są skonfigurowane:

TXT: mf.gov.pl descriptive text "v=spf1 ip4:145.237.237.0/26 ip4:145.237.192.0/29 -all"
TXT: uke.gov.pl descriptive text "v=spf1 mx ip4:193.227.131.70 -all"
TXT: premier.gov.pl descriptive text "v=spf1 mx a:mx1.premier.gov.pl mx:mx1.premier.gov.pl ip4:46.28.9.84 -all"
TXT: prezydent.pl descriptive text "v=spf1 ip4:195.205.14.0/24 mx ptr -all"
TXT: ms.gov.pl descriptive text "v=spf1 ip4:91.224.144.0/24 a mx ptr -all"
TXT: pz.gov.pl descriptive text "v=spf1 mx a -all"

Czarną owcą okazała się za to domena obywatel.gov.pl, gdzie nie znalazłem odpowiedniego rekordu…

Jak się bronić?

To, że w polu nadawcy znajdziemy adres w jakiejś domenie nie znaczy, że faktycznie został on wysłany przez osoby do tego upoważnione, i niestety, ale w przypadku braku odpowiednich rekordów w konfiguracji domeny (po stronie serwera DNS), gdy nie zadziałają automatyczne mechanizmy filtrujące rozpoznanie oszustwa jest możliwe, ale wymaga już trochę większej wiedzy technicznej, gdyż niezbędne będzie zajrzenie do źródła wiadomości i sprawdzenie faktycznych adresów serwerów, które wiadomość wysłały.

Tak np. wygląda fragment źródła wiadomości, która została wysłana za pośrednictwem usługi Mailgun (ze strony Webinsider.pl, po API/HTTP) na moją skrzynkę pocztową w Zoho:

Received: from mail2.static.mailgun.info (mail2.static.mailgun.info [104.130.122.2]) by mx.zohomail.com with SMTPS id 1484210040204301.52071790652894; Thu, 12 Jan 2017 00:34:00 -0800 (PST)
Received: by luna.mailgun.net with HTTP; Thu, 12 Jan 2017 08:26:13 +0000

Mamy tu serwery biorące udział w całej operacji, i na ich podstawie jestem w stanie prześledzić ścieżkę jaką podążała wiadomość, co dodatkowo (bo mam też wdrożone odpowiednie rekordy i ustawienia dla poczty e-mail w domenie) pozwala mi w razie wątpliwości zweryfikować autentyczność wiadomości.

(!) Zgłoś błąd na stronie | Lub postaw nam kawę :-)
LUTy dla D-Cinelike (DJI Mini 3 Pro, DJI Avata, OSMO Pocket) od MiniFly
Wdrożenie Omnibusa w sklepie na WooCommerce
Jak (legalnie) latać dronem w Kategorii Otwartej
Przejdź do strony głównej
Lub napisz komentarz
Patryk
Ostatnie artykuły: Patryk (zobacz wszystkie)