MS 365: podvržené emaily

[jjrsk]

A opet tu mame jirsaka a opet vubec netusi o cem zvani. Jirsaku, email klidne podepsany byt muze, klient klidne muze tvrdit ze je vse OK, protoze jedine co tak overi, ze podpis je od nejake CA a presto to nic nevypovida o tom, kdo ho odeslal. A ucetni vazne nebude overovat, jestli CA ktere ten podpis vydala je ta spravna.

Emailem se da komunikovat duveryhodne, ale pouze v uzavrenem a od internetu zcela oddelene systemu. Pouziva to demail.

[Reklama]

[Filip Jirsák]

A opet tu mame jirsaka a opet vubec netusi o cem zvani. Jirsaku, email klidne podepsany byt muze, klient klidne muze tvrdit ze je vse OK, protoze jedine co tak overi, ze podpis je od nejake CA a presto to nic nevypovida o tom, kdo ho odeslal. A ucetni vazne nebude overovat, jestli CA ktere ten podpis vydala je ta spravna.

OK, dělám si u vás čárku, že ani elektronickým podpisům nerozumíte.

[Jaro60]

Už som nejakú dobu na dôchodku ale pravidlá určovalo vedenie.
Faktúra sa platila až po prijme tovaru, príjemku potvrdil skladník a jeho nadriadený odoslal účtovníčka. Ta to skontrolovala a keď sedel tovar aj suma tak uhradila.
To isté sa týkalo služieb. Niekto predsa musí rozhodnúť o objednávke a dohodnúť cenu. Účtovníčka bola o objednávke upozornená a keď prišla faktúra tak preverila či to bolo uskutočnené. To sa týkalo aj pred faktúr.

Elektronický podpis sme používali na vnútropodnikové komunikáciu, gpg a Kleopatra. Komunikácia prebiehala len šifrovane.

S bývalými kolegami som stále v kontakte a tie pravidlá stále platí. Účtovníčka výzvu mailom ignoruje okrem šifrovanych. Tých ľudí pozná ale aj tak preverí oprávnenosť poziadavky

[FKoudelka]

Zdravím,

v poslední době se u více zákazníků stalo, že někomu přišel podvržený email, kdy odesílatel byl změněn na skutečný email ředitele. V emailu byla faktura s žádostí o urychlené zaplacení.

Všude se používají 365.

Lze se proti tomuto nějak účinně bránit nastavením serveru? Nastavit blokování takovýchto emailů? Aby se znovu nestalo, že paní účetní pošle nenávratně 35 tisíc euro kamsi do Londýna. Děkuji.

Dá se to nastavit. V v DNS je záznam na SPF, kde definujete , které servery smí posílat maily z vaší domény. Ostatní SMTP servery podvrh poznají, pokud to kontrolují, ale váš přijímací server také. Takže falešného ředitele vyf**kuje. A s ním i 90% phishingu . K tomu DKIM a DMARC a hrajme. Náš server, protože  přijímá poštu jen zvenku samozřejmě odhalí domain spoofing i tak, ale SPF je lepší. Servery z 365 do něj zahrnete pomocí tzv. include.

[FKoudelka]

A opet tu mame jirsaka a opet vubec netusi o cem zvani. Jirsaku, email klidne podepsany byt muze, klient klidne muze tvrdit ze je vse OK, protoze jedine co tak overi, ze podpis je od nejake CA a presto to nic nevypovida o tom, kdo ho odeslal. A ucetni vazne nebude overovat, jestli CA ktere ten podpis vydala je ta spravna.

Emailem se da komunikovat duveryhodne, ale pouze v uzavrenem a od internetu zcela oddelene systemu. Pouziva to demail.

Nerad to říkám, ale kolega  Jirsák má pravdu.
Motají se tady do sebe dvě věci:
1) podpis odesílajícího serveru a jeho kontrola přijímacím serverem.
2) ověřený podpis dokumentu , v tomto případě mailu či přílohy a to teda opravdu vypovídá o jeho pravosti.
Debatu o věrohodnosti dotyčné CA ponechám na jiné.
Taky vyloučím možný případ, že by falešný ředitel poslal pravou fakturu.

[Reklama]

[FKoudelka]

A opet tu mame jirsaka a opet vubec netusi o cem zvani. Jirsaku, email klidne podepsany byt muze, klient klidne muze tvrdit ze je vse OK, protoze jedine co tak overi, ze podpis je od nejake CA a presto to nic nevypovida o tom, kdo ho odeslal. A ucetni vazne nebude overovat, jestli CA ktere ten podpis vydala je ta spravna.

To za ni ověří třeba Acrobat Reader.

[robac]

Dá se to nastavit. V v DNS je záznam na SPF, kde definujete , které servery smí posílat maily z vaší domény. Ostatní SMTP servery podvrh poznají, pokud to kontrolují, ale váš přijímací server také. Takže falešného ředitele vyf**kuje. A s ním i 90% phishingu . K tomu DKIM a DMARC a hrajme. Náš server, protože  přijímá poštu jen zvenku samozřejmě odhalí domain spoofing i tak, ale SPF je lepší. Servery z 365 do něj zahrnete pomocí tzv. include.

Mate pravdu, ale nebyl by to Microsoft, aby to nedo****l. Takže ve výchozím nastavení fail na SPF neznamená, že email nebude příjemci doručen, jako by se nic nedělo Stalo se nám to ve firmě cca. 5 měsíců zpět.
Nechce se mi to teď hledat, tak první, co jsem našel:
https://techcommunity.microsoft.com/t5/microsoft-365/office-365-mail-spf-fail-but-still-delivered/m-p/1491495

[Max Devaine]

Pokud byl podvržený odesílatel, tak zřejmě zákazník nemá správně nastavený celý řetězec ochran (SPF, DKIM, ADSP, DMARC).
Další technikou bývá podvržení jména, kdy toto podvržení třeba MS Outlook zobrazoval důvěryhodně (Webmail jeden čas také). Bavíme se o tom, že ve jménu odesílatele je emailová adresa a skutečný mail from je spammerská adresa. Při přeposlání tohoto emailu programem MS Outlook se ztratí skutečná adresa odesílatele a následující adresát už vidí jen tu podvrženou, což celou věc ještě zhoršuje.

Každopádně částečným řešením je mít nasazené všechny ochrany (SPF, DKIM, ADSP, DMARC) na odfiltrování základních problémů. Zbytek, jak už bylo řečeno, se musí řešit procesně. Neexistuje, aby někdo někam poslal peníze bez toho, aniž by to zodpovědná osoba ve firmě schválila. A je úplně jedno, zda to pdf, nebo cokoli jiného, bude mít důvěrný podpis.
Zdar Max