Пользователи Яндекс.Почты стали жертвами спуфинга

Вчера некоторые пользователи Я.Почты в соцсетях пожаловались (и еще) на «странные» входящие письма о невозможности доставки до адресата («mail delivery system»), которому никто, собственно, и не писал. Судя по схожим описаниям, пользователи Я.Почты стали жертвами спуфинга (подстановка чужих адресов в поле «отправитель»). В числе тех, кто отметился по этой теме, оказался и Андрей Себрант.

Пресс-служба Яндекса в комментарии Роем.ру опровергла массовый характер проблемы и возможность попадания почтовых ящиков Яндекса в черные списки:

Почтовый протокол устроен таким образом, что в поле from можно вставить любой почтовый адрес. Это не зависит от того, откуда и каким образом отправляется письмо — с любого массового почтового сервиса или с собственного почтового сервера, из веб-интерфейса или из почтовой программы. То, что злоумышленник подставляет чужой адрес в поле from, не означает, что ему известен пароль или имя владельца. Это невозможно запретить, как невозможно запретить, например, указывать на визитке чужой номер телефона.

Если почтовый сервер получателя решит не принимать такое письмо по какой-либо причине, то на e-mail, который злоумышленниками был указан в поле from, упадет сообщение о том, что письмо не доставлено. Так как письма фактически отправляются не с Яндекс.Почты, то речи о спаме, взломах и уж тем более о попадании адресов в чёрные списки быть не может. В чёрные списки в таких случаях попадают сервера отправителей подобных сообщений.

Подобные вещи происходят в любом почтовом сервисе. Мы внимательно всё проверили и не нашли доказательств того, что вчерашняя проблема носила массовый характер. Кроме того, мы регулярно следим за упоминанием наших сервисов в социальных сетях и не заметили всплеска сообщений на эту тему.

Руководитель отдела контентных аналитиков «Лаборатории Касперского» Дарья Гудкова ситуацию с Яндексом прокомментировать отказалась за отсутствием «достаточной информации», однако рассказала о способе защиты от спуфинга:

Подделать такие заголовки в письме, как поле отправителя, совсем не сложно. Дело в том, что электронное письмо имеет две части: «конверт» и «содержимое». В реальности письмо всегда доставляется по адресу, указанному на «конверте». Тем временем, заголовки, которые мы видим (в частности, отправитель) относятся к содержимому, поэтому указать там можно любые данные. Единственное, что нельзя подделать — это шифрованную цифровую DKIM-подпись, которая обеспечивает верификацию домена, с которого пришло письмо. Многие почтовые системы, в частности Яндекс, используют эту технологию для защиты от спуфинга.

Руководитель Почты Mail.Ru Сергей Мартынов в комментарии Роем.ру так же подчеркнул, что решение проблемы спуфинга — это технология электронно-цифровой подписи отправляемых писем — DKIM:

Проблема в том, что пока не все отправители используют подпись DKIM в своих письмах, поэтому пока почтовые сервисы вынуждены принимать письма без подписи. В «идеальном мире» все отправители использовали бы ЭЦП, и проблема спуфинга просто не существовала бы.

Надо отметить, что рынок электронной почты постепенно идет к этой цели. За последние 1.5 года в рунете доля писем, использующих DKIM, повысилась с 5−10% до 50−60%. Существенную роль в этом сыграла инициатива Почты Mail.Ru по созданию проекта postmaster.mail.ru/ - мы предлагаем отправителям внедрить DKIM, предоставляя им взамен уникальную статистику по их информационным письмам.

Напомним, в конце октября 2012 года Яндекс представил «новую почту Trinity».

Комментарий представителя компании

  • Контекст комментария

    Роман Иванов Яндекс, а также ljsear.ch по выходным

    Люда, выше правильно написали, что защитить тебя от того, чтобы спамеры подделывали твой адрес, не может ни одна email-служба в мире. Email-служба может только лишь не доставлять тебе NDR на те письма, которые ты не отправляла, и Яндекс.Почта работает над подобными мерами.

Добавить 18 комментариев

  • Ответить
    Альтер Эго

    +1 Хотел написать Забанных, потом подумал, что незачем важного человека от важных дел отвлекать.

  • Ответить

    Я вот вчера пароль поменяла, а сегодня опять http://gyazo.com/3b54a5c6138247efd5bccc60315ef6b7 Стоит ли говорить, что таких писем я никогда никому не посылала? Я наверняка перестану пользоваться яндекс.почтой. Мне очень неприятно, что кто-то думает, что я шлю ему спам.

  • Ответить
    Альтер Эго

    >Я вот вчера пароль поменяла, а сегодня опять >http://gyazo.com/3b54a5c6138247efd5bccc60315ef6b7 >Стоит ли говорить, что таких писем я никогда никому не посылала? >Я наверняка перестану пользоваться яндекс.почтой. Мне очень неприятно, что кто-то думает, что я шлю ему спам. Вообще-то в комментариях в тексте новости все правильно сказано. Лучший способ решить такую проблему — перестать пользоваться почтой, вот только любой, а не только яндекс-. А смена пароля тут не при чём. Мне вот недавно стали массово приходить такие письма на корейском и китайском, видимо кто-то использовал название рабочего ящика, чтобы проспамить по азиатскому региону. Только ящик этот корпоративный и не совсем даже ящик — там только редирект, отправлять оттуда письма невозможно в принципе.

  • Ответить

    в Edge от микрософта (точнее в Forefront for Exchange) есть простой способ защиты от спуфинга, никаких DKIM не надо: к адресу во From добавляется хэш, и NDR’ы принимаются только на хэшированные адреса. Почему это нельзя использовать в других почтовых серверах?

  • Ответить

    И, это самое, конечно, наверное, все эти руководители почт яндекса, мейла и девушка от касперского, может и умные люди, но не могли бы они объяснить, каким образом DKIM сервера получателя NDR’ов спасёт их от NDR’ов? Я беру и регаю любой домен mydomain.tld и шлю с него NDR’ы со спам-вложениями всем подряд на *@yandex.ru, не прописывая у себя никаких DKIM’ов. Как их спасёт их собственный DKIM от моих NDR’ов? Как Яндекс от этого спасёт своих пользователей? Ответ: да никак. Люди походу не понимают, что несут.

  • Ответить
    Роман Иванов Яндекс, а также ljsear.ch по выходным

    Люда, выше правильно написали, что защитить тебя от того, чтобы спамеры подделывали твой адрес, не может ни одна email-служба в мире. Email-служба может только лишь не доставлять тебе NDR на те письма, которые ты не отправляла, и Яндекс.Почта работает над подобными мерами.

  • Ответить

    Ну в общем такие NDR’ы получаются так (два способа): Первый: Спамер от вашего имени (подставляя ваш адрес в заголовок From: в теле сообщения или сразу в SMTP-диалоге в MAIL FROM: или чаще в Return-Path) засылает спам на несуществующий адрес на левый, но настоящий сервер. Сервер видит, что получателя у него такого нет, антиспам у него не срабатывает, и он отсылает NDR вместе с оригинальным письмом (т.е. в т. ч. и со всеми вложениями) тому, кто указан в качестве отправителя (т.е. вам). Т.к. левый сервер — нормальный, не open-relay, не числится в списках, и отправляет NDR от своего имени — он проходит практически любой антиспам легко, таким образом вы завалены спамом. Если левый сервер пропускает исходное письмо через свой антиспам (а может его и вообще там нет), то никакой DKIM вообще вас не спасёт (раз нет антиспама, то скорее всего нет и поддержки проверки DKIM). Второй: Спамер просто формирует NDR сразу и отправляет его вам. Используется реже первого, т.к. более лучше обнаруживается и режется. А способы бороться есть, и они достаточно простые. Хоть тот же BATV. Почему (судя по всему) не использует Яндекс.Почта — хз.

  • Ответить
    Альтер Эго

    >Ну в общем такие NDR’ы получаются так (два способа): Есть и третий способ: он похож на первый, только письма шлются на существующие адреса, и целью является не спам в NDR, а собственно рассылка спама по этим существующим адресам. Просто спамеры, вместо того, чтобы указывать свои собственные ящики, вставляют туда чужие. В этом случае NDR — это побочный эффект кривых баз адресов у спамеров. И этот вариант наиболее вероятен, если учесть, что люди жалуются на _много_ приходящих к ним NDR — т.е. спам от имени одного ящика рассылается по множеству адресов. Зачем спамеру это делать, если его цель — NDR? Их и читают меньше, и вряд ли надо заслать _много_ писем со спамом _одному_ пользователю. Кроме того, именно этот, третий вариант беспокоит людей выше — потому что им не хочется, чтобы от их имени другие получали спам. И от него же спасает DKIM, если он есть у настоящего отправителя и проверяется серверами получателей.

  • Ответить

    > Кроме того, именно этот, третий вариант беспокоит людей выше — потому что им не хочется, чтобы от их имени другие получали спам. И от него же спасает DKIM, если он есть у настоящего отправителя и проверяется серверами получателей. DKIM поддерживается далеко не всем спектром ПО. Что уж точно поддерживается — это SPF. И SPF’а порой вполне достаточно.

  • Ответить

    к адресу во From добавляется хэш Не во From, в Mail From:. Такой механизм опять же был бы хорош, если бы все его использовали, а так он много что ломает, например механизм белых списков с подтверждением отправленного письма, который некоторые почтовики используют, механизм фильтров по отправителю, а главное, ставит на уши многие спам-фильтры, нервно реагирующие на несовпадения From и Mail From. не могли бы они объяснить, каким образом DKIM сервера получателя NDR’ов спасёт их от NDR’ов Если бы DKIM был повсеместным, никто бы не стал принимать письмо от яндекса не подписанное яндексом, соответственно генерировать на него NDR. Ну в общем такие NDR’ы получаются так (два способа): Зачем это спамеру? Правильную ситуацию уже расписали. NDR это побочный эффект от рассылки спама с фейкового адреса в сочетании с плохо настроенными почтовыми серверами получателей. Правильно настроенные сервера не будут принимать письмо на несуществующий адрес, выдадут ошибку сразу в сессию. ИМХО самый правильный способ борьбы с NDR — бить по головам администраторов таких серверов. Я беру и регаю любой домен mydomain.tld и шлю с него NDR’ы со спам-вложениями всем подряд на *@yandex.ru, не прописывая у себя никаких DKIM’ов. Как их спасёт их собственный DKIM от моих NDR’ов? Как Яндекс от этого спасёт своих пользователей? Очень быстро и эффективно — заблеклистит почтовый сервер. SPF’а порой вполне достаточно. Назовите хоть одну крупную почтовую службу, у которой в SPF -all. Не говоря о том, что реджектить письма только по SPF сейчас крайне неразумно.

  • Ответить
    Альтер Эго

    2 Владон >DKIM поддерживается далеко не всем спектром ПО. Что уж точно поддерживается — это SPF. И SPF’а порой вполне достаточно. Т.е. по остальным пунктам Вы согласны? :)

  • Ответить
    Альтер Эго

    >Правильно настроенные сервера не будут принимать письмо на несуществующий адрес, выдадут ошибку сразу в сессию. ИМХО самый правильный способ борьбы с NDR — бить по головам администраторов таких серверов. Кроме NDR мне пришло немало писем вида «я сейчас в отпуске», «ящик изменился, пишите туда-то» и прочих автоответов. Так как спам-рассылку стараются вести по существующим ящикам, число таких ответов сравнимо с числом NDR.

  • Ответить
    jet

    Я думаю людей волнует не столько NDR сколько то, что спам шлется от их адреса, так ведь и в блэклисты попасть можно. А почему у почтовиков в SPF ~all, а не -all?

  • Ответить

    jet, по адресу отправителя банить будут только конечные пользователи, а они знакомый адрес банить не будут. У gmail’а SPF вообще? all. SPF изначально был идеей, достойной хиппи. Он мог бы заработать только если бы все сразу его внедрили, причем с полным альтруизмом. Проблема в том, что внедрение строгой SPF самому отправителю ничего хорошего не дает. Например, при -all перестанут доходить письма от твоих же пользователей через редиректы, криво организованные списки рассылок, или просто у юзеров, у которых провайдер требует слать почту через собственный SMTP или заворачивает ее туда транспарентно.

  • Ответить

    @3APA3A ну так и DKIM — идея, достойная только хиппи :-) чем оно отличается-то? вместо IP-адреса — цифровая подпись, а более ничем. Точно так же отправлять только через свой почтовый сервер (не клиент подписывает сообщение, а сервер же?), точно так же обламываются редиректы, точно так же обламываются юзеры, «у которых провайдер требует слать почту через собственный SMTP» (где, кстати, еще остались такие динозавры?). для ~all и? all вообще просто добавляются штрафные очки при оценке спам/неспам. Короче, DKIM точно так же будет работать только если все его внедрят. А этого не будет, т.к. гораздо более простой в реализации SPF не внедряют, куда уж там DKIM. Для огромного числа MS Exchange решений с DKIM вообще нет (хотя непонятно, почему, MS ведь в Hotmail его поддерживает).

  • Ответить

    Опыт SPF показал, что спамеры его внедряют быстрее. Т.е. технология была исходно негодной (что неудивительно, т.к. одной из задач было — дать возможность что-то про себя написать в прямой DNS-зоне, а надо то — в обратной. Хотя от спамеров и это наверное бы не помогла). DKIM — от спуфинга крупных почт наверное поможет, а в остальном — ну тоже ж непонятно, не начнут ли левые домены честно себя подписывать?