Jak je těžké (najít) EHLO hostname pro útočníka

Jak je těžké (najít) EHLO hostname pro útočníka
« kdy: 18. 07. 2023, 10:09:48 »
Dejme tomu, že někdo má (odesílací)SMTP server za NATem (s zelenou na portu25), kde je víc uživatelů. A útočník bude chtít odeslat falešný mail jménem/adresou toho, kdo má regulerní SMTP server tam, tudíž SPF projde.  Jedna z "ochran" (o tom prosím nediskutovat,je to v uvozovkách) ostatních příchozích SMTP serverů je, že samozřejmě kontrolují EHLO nazevodesilatele.com, jestli se resolvuje na danou IP odesilatele (v tomto případě IP sdílenou více uživateli, z nichž jeden je regulerní vlastník mailové domény/odesilatel a druhý útočník) . Tím pádem odesilatel má i logicky pro příchozí poštu jiný MX smtp server. A vlastně není jak zjistit z jaké konkrétní domény (smí) odesíla(t) maily. (z IP ano, přece SPF)

Může útočník nějak zjistit/uhádnout, jakým FQDN se regulerní odesílatel hlásí při odesílání pošty?
Moje doměnka je, že není takový způsob. (ledaže by si útočník nechal poslat poštu, ale to vylučuji, nebo by od někoho jiného získal hlavičky mailu) S vyjímkou různých služeb "DNS inteligence", "Passive DNS" - které "shromažďují (i historická" DNS data, jde o veřejné listy, kam útočník může nahlídnout a může zkoušet resolvovat až se/možná trefí/. Jak v praxi tohle je průchozí cesta nebo jde jen o teoretickou možnost?


  (za předpokladu, že ví jakou doménu chce fejknout a taky že regulerni odesilatel nemá triviálně uhádnuté FQDN jako  {smpt-out,mail,posta,mail}.domena.cz). odesílajícho serveru zdůrazňuji. MX je jiný.
Útočník nemá přístup k infrastruktuře ISP, nemůže odposlouchávat na portu. PTR záznam IP adresy taky nic neřeší, protože ta je třeba 82-2-2-4.cust.....provi...cz

Neřeším, že další ochrany pravděpodobně (ale třeba taky ne) takového útočníka nejspíš utnou.
« Poslední změna: 18. 07. 2023, 10:34:27 od Petr Krčmář »


dzavy

Re:Jak je těžké (najít) EHLO hostname pro útočníka
« Odpověď #1 kdy: 18. 07. 2023, 11:31:51 »
PTR záznam, tj. "82-2-2-4.cust.....provi...cz" přece stačí jako EHLO, pokud se překládá zpětně na stejnou IP adresu tak to splní všechny validace.

RDa

  • *****
  • 2 726
    • Zobrazit profil
    • E-mail
Re:Jak je těžké (najít) EHLO hostname pro útočníka
« Odpověď #2 kdy: 18. 07. 2023, 13:28:48 »
Pockat.. ty se nas ptas, zda nekdo za natem, ma moznost zjistit reverzni dns zaznam na exit node?
Na to staci prece whatsmyip.com nebo jina sluzba, ne?

Re:Jak je těžké (najít) EHLO hostname pro útočníka
« Odpověď #3 kdy: 18. 07. 2023, 13:53:21 »
Mám pocit, že trochu motáte dohromady funkce SMTP serveru "submit", "relay" a "deliver".
Na 1 IP můžete mít jeden SMTP server, který může pro každý odeslaný mail požadovat autentizaci (submit port 587/STARTTLS). Takže zloduch ve vaší síti sice může něco odeslat, ale bude dohledatelný. Port 25/465 zevnitř vůbec nemusí být dostupný, nebo jen z vybraných adres, takže odtamtud to máte pod kontrolou. Z venku, divokého internetu, nikoliv, ale když máte zakázáno dělat relay, tak váš server nikdo nezneužije.

Re:Jak je těžké (najít) EHLO hostname pro útočníka
« Odpověď #4 kdy: 18. 07. 2023, 17:42:56 »
Může útočník nějak zjistit/uhádnout, jakým FQDN se regulerní odesílatel hlásí při odesílání pošty?
Kdyby útočník napadl nějakou domácí síť, bude ta mít třeba jeden člověk účet u GMailu a druhý na Seznamu, takže pro odesílání pošty vůbec nebudou využívat tu IP adresu, za kterou je schovaná domácí síť. jejich e-maily se budou odesílat ze serveru GMailu resp. Seznamu.

Ale pokud jste se chtěl zeptat, zda útočník může uhádnout, jaké jméno by mohlo být v HELO – ano, může. Pokud je to NAT za jednou IP adresou, zjistí si tuto IP adresu (např. se připojí na svůj server, který mu tu IP adresu prozradí, nebo se připojí na libovolnou službu, která prozrazuje veřejnou IP adresu klienta. Tuto IP adresu pak přeloží pomocí reverzního DNS (PTR záznamu) na odpovídající A záznam. Pokud má ISP nastavené vše dokonale, bude IP adresa mít reverzní záznam, k tomu reverznímu záznamu bude existovat dopředný záznam a ten povede (i) na původní IP adresu.

Problém pro útočníka může nastat, pokud ten NAT bude používat více IP adres a při prvotním zjišťování veřejné IP adresy se použije jedna IP adresa, při navázání SMTP spojení se použije jiná.

Ale útočníci rozesílající nevyžádanou poštu nejedou na spolehlivost nýbrž na množství. Prostě se to zkusí, a když to cílový server odmítne, nic se neděje – protože zároveň se o rozeslání spamu snaží stivky jiných zařízení, a některá z nich uspějí.

PTR záznam IP adresy taky nic neřeší, protože ta je třeba 82-2-2-4.cust.....provi...cz
No a proč by takový název nemohl použít v HELO?