Гугл считает фишингом официальные письма от крупнейшего банка

Бедной БоФе даже пришлось в письмах указывать, чтобы ее добавили в список контактов.
gyazo.com/64bbae4c223ebb554c6f33bc2f3808ff.png

PS письмо 100% легитимное, попадает в спам с пометкой фишинг уже не первый месяц, в контакты не добавляю, чтобы посмотреть, чем у них дело кончится.

---
Комментарий Roem.ru: к сожалению, уровень false positive у GMail весьма высок, этой проблеме не первый год.
Иного выхода кроме как просматривать иногда папку спама (или сменить провайдера) тут нет.

Добавить 19 комментариев

  • Ответить

    Сталкивался с этим, когда сервер почтовика, через которое уходит письмо, является публичным (например серверы salesforce) или настроен таким образом, что вечно сидит в грей-листах. Имя банка здесь ни при чем, имхо.

  • Ответить

    А можна полный текст письма с заголовками? Потому что их SPF указывает куда-то на cust-spf.exacttarget.com, который у меня даже не резолвится.

  • Ответить

    > Потому что их SPF указывает куда-то на cust-spf.exacttarget.com, который у меня даже не резолвится. Ну поэтому и попадают под фильтры. Причем, я уверен, увидев в письме «online banking» ГМэйл все гайки в фильтрах заворачивает по максимуму, потому что здесь точно лучше (с их точки зрения) перебдеть, чем недобдеть.

  • Ответить

    @Crio Ну да, причем там жестко все -all, значит легитимными считаются только отправленные с cust-spf.exacttarget.com, они хотя бы -all на ~all заменили. Гугл тут вообще не причем, выполняет все по стандарту. Хотя без заголовков говорить рано.

  • Ответить

    X Delivered-To: ceo@HIDDEN.com Received: by 10.231.36.199 with SMTP id u7cs16917ibd; Fri, 5 Aug 2011 05:55:41 -0700 (PDT) Received: by 10.224.10.12 with SMTP id n12mr1812574qan.305.1312548940688; Fri, 05 Aug 2011 05:55:40 -0700 (PDT) Return-Path: Received: from mail-vx0-f199.google.com ([209.85.220.199]) by mx.google.com with ESMTPS id dt9si3426526qab.77.2011.08.05.05.55.40 (version=TLSv1/SSLv3 cipher=OTHER); Fri, 05 Aug 2011 05:55:40 -0700 (PDT) Received-SPF: pass (google.com: domain of finance+bncCK_tib_4CBDL0O_xBBoEg_MH3Q@HIDDEN.com designates 209.85.220.199 as permitted sender) client-ip=209.85.220.199; Authentication-Results: mx.google.com; spf=pass (google.com: domain of finance+bncCK_tib_4CBDL0O_xBBoEg_MH3Q@HIDDEN.com designates 209.85.220.199 as permitted sender) smtp.mail=finance+bncCK_tib_4CBDL0O_xBBoEg_MH3Q@HIDDEN.com Received: by vxi39 with SMTP id 39sf912746vxi.2 for; Fri, 05 Aug 2011 05:55:39 -0700 (PDT) Received: by 10.101.138.40 with SMTP id q40mr717387ann.22.1312548939746; Fri, 05 Aug 2011 05:55:39 -0700 (PDT) X-BeenThere: finance@HIDDEN.com Received: by 10.100.13.2 with SMTP id 2ls6201102anm.0.gmail; Fri, 05 Aug 2011 05:55:39 -0700 (PDT) Received: by 10.236.186.7 with SMTP id v7mr2912240yhm.294.1312548939486; Fri, 05 Aug 2011 05:55:39 -0700 (PDT) Received: by 10.236.186.7 with SMTP id v7mr2912239yhm.294.1312548939469; Fri, 05 Aug 2011 05:55:39 -0700 (PDT) Received: from ealerts.bankofamerica.com (mta.ealerts.bankofamerica.com [68.232.194.1]) by mx.google.com with ESMTPS id g5si645372ybd.96.2011.08.05.05.55.38 (version=TLSv1/SSLv3 cipher=OTHER); Fri, 05 Aug 2011 05:55:38 -0700 (PDT) Received-SPF: pass (google.com: domain of bounce-30_HTML-160497545−25578−73720−46886@bounce.ealerts.bankofamerica.com designates 68.232.194.1 as permitted sender) client-ip=68.232.194.1; Received: by ealerts.bankofamerica.com (PowerMTA™ v3.5r15) id h7fk4k0ie1ss for; Fri, 5 Aug 2011 06:55:32 -0600 (envelope-from) From: «Bank of America Alert» To: Subject: Bank of America Alert: Welcome to Online Banking Alerts Date: Fri, 05 Aug 2011 06:55:31 -0600 MIME-Version: 1.0 Reply-To: «Bank of America Alert» x-job: 73720_25578 Message-ID: X-Original-Sender: onlinebanking@ealerts.bankofamerica.com X-Original-Authentication-Results: mx.google.com; spf=pass (google.com: domain of bounce-30_HTML-160497545−25578−73720−46886@bounce.ealerts.bankofamerica.com designates 68.232.194.1 as permitted sender) smtp.mail=bounce-30_HTML-160497545−25578−73720−46886@bounce.ealerts.bankofamerica.com; dkim=pass (test mode) header.i=onlinebanking@ealerts.bankofamerica.com Precedence: list Mailing-list: list finance@HIDDEN.com; contact finance+owners@HIDDEN.com List-ID:

  • Ответить

    Как и предполагалось, у них неверно настроен SPF. Уж лучше бы его вообще не было, а так письма гарантировано будут попадать в спам и помечаться как фишинг. Я думаю, что ранее они пользовались для рассылки услугами стороннего сервиса, а именно http://www.exacttarget.com/, для чего и были внесены записи. От услуг сервиса отказались, а TXT запись забыли сменить. Или я возможно чего-то в этом всем не понимаю :)

  • Ответить

    Fitipaldi, но месяцами это игнорить, это жесть! У меня еще еще один слив на БоФу, но наверно без Гугла мне овтетят, что здесь такое не формат.

  • Ответить

    Опять же, я не уверен, может есть какие-то хитрости или я не совсем понимаю принципы SPF :) С другой стороны, это огромная организация с соответствующей текучкой кадров внутри. Человек который все настраивал может быть уже давно там не работает, либо работает, но его повысили/понизили, а его замена просто не увидела, что данные в этой TXT записи уже не действительны или вообще не понимает, что это :) Для компаний такого уровня это суровая действительность. На моей памяти даже сотрудники Майкрософта допускали схожие лажи.

  • Ответить

    Ну лично для меня инфа от МС это чистый информационный мусор, так что даже спам ценнее) Когда-то работал в одной компании, которая занималась аудитом безопасности, так вот могу вам сказать, что это еще цветочки. Главная проблема таких больших компаний, это то, что нету четкой процедуры «передачи власти» от сотрудника который уходит/повышается к его замене. Особенно если это не сильно важные, по мнению руководства, отделы.

  • Ответить

    В общем, заголовок Роема опять вышел в традиции МК-бульвар: не Гугл считает, а БофА рассылает письма так, что они похожи на фишинг.

  • Ответить
    Игорь Ашманов Сам себе компания

    Про Гугл полно историй с ложными тревогами, особенно в отношении автоматических писем (доставка, перевод денег, подтверждение платежа, подтверждение регистрации и т. п.). Гугл вообще отличается тем, что побольше писем загоняет в папку спам, чтобы Инбокс выглядел хорошо — трюк для лохов. Только глупый антиспам использует SPF. Потому что уже в первые полгода после введения SPF процент правильного SPF в спамерских письмах был выше, чем в письмах от честных отправителей. Фактически, наличие правильной записи SPF — признак спама, а не честного письма. Потому что спамеры в среднем гораздо более технически грамотны, чем пользователи и сисадмины банков. И дальше это соотношение только ухудшалось, я думаю. Пользователи/админы не умнеют, их всё больше и они всё глупее, а у спамеров — бизнес. Это как с метатегами в поиске. Их не только не используют при ранжировании, их вредно использовать.

  • Ответить

    Ashmanov, я вот специально проверил записи некоторых служб которыми пользовался, включая роем. У всех все правильно, никто из них в спам не попадает. И мне почему-то казалось, что функция SPF вообще не сводится к поиску или идентификации спама, а скорее для предотвращению фишинговых атак. Спамерам оно вообще никак не сдалось. Администратор домена/сайта сам заинтересован в корректной записи SPF, чтобы его письма не подделывали, включая спам от его имени.

  • Ответить
    Игорь Ашманов Сам себе компания

    Мир почты состоит из сотен тысяч почтовых серверов, покинутых админами или администрируемых постоянно меняющимися студентами. Это такая реальность. Конечно, живыемедийные бизнесы поддержат любые стандарты, только их меньшинство. А Гугл засовывает в спам не потому, что там SPF или нет. Он просто затянул движок баланса детекции/ложных тревог в строну детекции, чтоб инбокс был чистым у миллионов лохов.

  • Ответить

    Не факт вообще. Приведу пример, некий стартап постоянно слал мне свои новости, ссылки на страничку где можно отписаться не было, в профиле на сайте тоже ничего такого, я начал с чистой совестью давить на «Спам». Спустя некоторое время, письма от этого стартапа начали попадать в спам уже у всех, ибо не я один такой был. Так что да, система далеко не идеальная, и да, я часто смотрю в папку Спам, но за последние полгода случилось всего лишь два ложных срабатывания. Для администраторов разных сервисов/порталов с рассылками это конечно же головная боль, но рекомендация проста — сделать так, чтобы отписаться было проще, чем нажать «Спам».

  • Ответить
    small_matter Андрей Винокуров

    По моим наблюдениям, на чисто англоязычной переписке уровень false positive у гугла довольно низкий — ниже, чем у русских почт с хорошим антиспамом на русскоязычной переписке. А на русских письмах гугл лажает чаще.

  • Ответить

    >> Фактически, наличие правильной записи SPF — признак спама, а не честного письма. >Жжоте. Сложно сказать, как оно в 2011, уже неинтересно, а в 2004—2005-м оно было, на удивление, примерно так. Я это дело специально считал на большом потоке. Чтобы два раза не вставать: на гугл жалуются, что первое письмо от нового корреспондента он в спам сует очень уверенно.

  • Ответить
    Игорь Ашманов Сам себе компания

    Спустя некоторое время, письма от этого стартапа начали попадать в спам уже у всех, ибо не я один такой был. Вероятно, и у тех, кто специально подписался на эти новости? Я думаю, вы путаете понятия нежелательной почты и спама. Вообще рассуждения «а вот у меня в почте» — настолько же содержательные, как «Гугл ищет лучше, потому что я вот всегда всё нахожу им». Некоторые люди золотые часы находят на улице раз в полгода, а другие ломают ноги и руки раз в квартал.