Peut-on empêcher l'usurpation de courrier électronique?

Le compte de messagerie de ma femme a été piraté et l'agresseur a obtenu son carnet d'adresses. Je ne sais pas si l'attaque a eu lieu sur son client de messagerie local (Thunderbird sous Windows 7) ou sur le serveur (hébergé sur GoDaddy). Quoi qu'il en soit, les données de la liste de contacts sont disponibles et je ne peux pas les annuler. J'ai changé tous les mots de passe, mis à jour la sécurité, etc., et je ne pense pas qu'il y ait eu d'autres intrusions.

Cependant, celui qui a fait cela a envoyé d'énormes quantités de spam, en utilisant le nom de ma femme comme "expéditeur". Ils se taisent pendant un moment, puis je me réveille si souvent quelques dizaines de courriels de ma femme, qu’elle n’a bien sûr pas envoyés, et que toutes les autres personnes de son carnet d’adresses les reçoivent également . Et parce que son carnet d'adresses était rempli de nombreuses adresses mortes, ma femme a reçu des centaines de messages de rebond "Échec de la livraison du courrier", ainsi que des centaines de courriers électroniques rejetés comme spam par le domaine de destination. Les personnes de sa liste de contacts se fâchent et cela devient un réel problème.

J'ai demandé à GoDaddy à ce sujet, et ils ont dit que toute personne A peut envoyer un courrier électronique à sa b@bbb.comprétention c@ccc.com, et qu'il n'y a pas d'infrastructure de messagerie en place pour vérifier que cette personne est autorisée à envoyer un courrier électronique ccc.com. En conséquence, je ne peux absolument rien faire à ce sujet, et ce polluposteur sera capable de harceler des personnes, de nuire à la réputation de ma femme, de mettre son courrier électronique sur la liste noire, etc., et il n'y a aucun moyen de l'arrêter .

Est-ce vrai ou est-ce que je peux faire quelque chose pour arrêter ces spammeurs ou au moins atténuer les dégâts?

Il est en effet très difficile de résoudre le problème de l'usurpation de courrier électronique de manière générale, en raison de la manière simple et hautement distribuée dont le protocole est conçu.

L'analogie avec la lettre physique tient assez bien dans cet exemple: je peux mettre une lettre à la poste et y écrire qu'elle vient de chez vous; Je n'ai pas besoin d'avoir pénétré par effraction chez vous pour le faire, il suffit de le déposer dans une boîte aux lettres publique. Et si le message est marqué "retour à l'expéditeur", il se peut qu'il vous soit "rendu", même si vous ne l'avez pas écrit. La même chose se produit avec le courrier électronique: n'importe qui peut transmettre un message dans le système, avec une adresse de destination et une adresse de départ; le serveur à partir duquel vous envoyez des messages peut ne pas être le même que celui que vous recevez, et aucun service centralisé ne vérifie votre identité lorsque vous déposez un message dans le système.

Il existe deux approches générales pour résoudre ce problème:

Les signatures numériques permettent d'inclure dans un message une sorte de signature ou de sceau que seul l'expéditeur réel sait comment générer (à l'aide d'une clé privée qu'ils ne partagent jamais). Le destinataire peut ensuite vérifier la signature en utilisant une clé publique qui prouve mathématiquement qui a produit la signature (et qu'elle correspond au texte reçu).

Toutefois, cela n’est pas très utile pour votre exemple, car cela n’empêche pas la remise des messages et oblige les destinataires à connaître la clé publique ou un emplacement vérifié pour la récupérer.

Des systèmes de vérification de l'expéditeur basés sur le domaine ont été développés pour tenter d'empêcher le spam. Ceux-ci stockent des données dans le DNS (recherche dans l'annuaire) pour le domaine de l'adresse (la partie après le @) qui permettent à un système destinataire de vérifier si un courrier est légitime. Un système, SPF , répertorie les systèmes autorisés à envoyer du courrier au nom de ce domaine; un autre, DKIM , stocke les clés publiques utilisées, similaires à l’approche de la signature numérique ci-dessus, mais permettant de vérifier le système émetteur, plutôt que l’expéditeur réel.

(Pour étendre un peu plus l'analogie physique avec les lettres, SPF revient à dire publiquement "je poste uniquement des lettres en utilisant cette boîte postale" et DKIM, c'est comme à dire publiquement "j'envoie toujours un courrier de ce bureau de poste qui imprime pour moi une étiquette inviolable ".)

Celles-ci seraient plus pertinentes pour votre cas - si votre femme utilisait un domaine personnalisé, une configuration SPF ou DKIM appropriée obligerait de nombreux systèmes à rejeter en silence les messages qu'elle ne s'était pas envoyés (ou à les marquer comme spam, sans les lui attribuer). ) Toutefois, cela fonctionne uniquement au niveau du domaine, pas de l'adresse individuelle, et certains systèmes destinataires peuvent ne pas vérifier les enregistrements.

Envoyer un courrier électronique à tous les contacts en direct de son carnet d'adresses et leur parler des problèmes de spam par courrier électronique serait probablement utile. Et le moment est propice pour supprimer tous les contacts morts de la liste.

Utiliser PGP / GPG à l’avenir serait une solution presque parfaite pour les utilisateurs privés et les expéditeurs de vérifier eux-mêmes qu’un email est réellement envoyé par l’expéditeur, et pourrait également masquer / chiffrer le contenu des messages afin qu’ils ne soient vus que par le destinataire prévu. Cependant, bien que PGP soit disponible depuis des décennies, il n’est pas universellement facile à utiliser, et le courrier Web (comme Gmail, par exemple) rend difficile de garder les parties secrètes vraiment secrètes pour vous et toujours faciles à utiliser. utiliser de n'importe où ...

Authentification par email

Certaines choses peuvent être faites pour s'authentifier auprès des destinataires d'e-mails (certains au moins, comme Yahoo & Google et d'autres, représentent " un pourcentage élevé d'utilisateurs d'e-mails sur Internet " - FAQ DMARC ): un message indiquant qu'il provient de votre domaine est vraiment de votre domaine. Ils utilisent DMARK, qui " permet à un expéditeur d'indiquer que ses messages sont protégés par SPF et / ou DKIM, et indique au destinataire quoi faire si aucune de ces méthodes d'authentification ne passe - telle que le courrier indésirable ou le rejet du message " - FAQ DMARC .

Changer d’adresse électronique différente pourrait également vous aider à court terme. Dans ce cas, tout le monde pourrait ignorer / "marquer comme spam" en toute sécurité, tous les autres messages des spammeurs. Mais même si ce n’est pas votre principale préoccupation, étant donné qu’il s’agit «de spams manifestement super-spammés» et que personne n’est dupe, vous voulez probablement essayer d’empêcher que la ligne "from:" soit facilement falsifiée, car si suffisamment d’utilisateurs restent "mark en tant que spam ", le courrier électronique professionnel de votre femme, les filtres anti-spam commenceront probablement à rejeter tous les messages de cette adresse.

L'authentification par courrier électronique devrait aider les serveurs de messagerie d'envoi et de réception à vérifier que les messages sont réellement envoyés de la part de ceux qu'ils prétendent être. J'ai trouvé des informations sur Gmail, car c'est l'une des "trois plus grandes" sociétés de messagerie. C'est probablement un bon point de départ. Même les fournisseurs de messagerie de commutation à celui qui est déjà mis en place / authentifié, comme Gmail for Business devrait aider et peut - être plus facile, mais ne devrait pas être nécessaire, même si à en juger par votre réponse de GoDaddy , ils pourraient ne pas être votre hôte de rêve.

L'aide de Gmail sur l'authentification de la messagerie électronique contient des conseils pour l'envoi de domaines:

Si vous êtes un domaine d'envoi

Les messages portant des signatures DKIM utilisent une clé pour signer les messages. Les messages signés avec des clés courtes peuvent être facilement falsifiés (voir http://www.kb.cert.org/vuls/id/268267 ), ainsi un message signé avec une clé courte n'est plus une indication que le message est correctement authentifié. Pour protéger au mieux nos utilisateurs, Gmail commencera à traiter les e-mails signés avec des clés inférieures à 1024 bits comme non signés à compter de janvier 2013. Nous recommandons vivement à tous les expéditeurs utilisant des clés courtes de passer aux clés RSA d'une longueur minimale de 1024 bits. L'authentification est fortement recommandée pour chaque expéditeur de courrier afin de s'assurer que vos messages sont correctement classés. Pour d'autres recommandations, consultez nos directives pour les expéditeurs en masse .

L’authentification en elle-même ne suffit pas pour garantir que vos messages puissent être remis, car les spammeurs peuvent également authentifier le courrier. Gmail combine les rapports des utilisateurs et d’autres signaux avec des informations d’authentification lors du classement des messages.

De même, le fait qu'un message ne soit pas authentifié ne suffit pas à le classer comme spam, car certains expéditeurs n'authentifient pas leur courrier ou parce que l'authentification échoue dans certains cas (par exemple, lorsque les messages sont envoyés à des listes de diffusion).

En savoir plus sur la création d'une stratégie permettant de contrôler le courrier non authentifié provenant de votre domaine.

Le dernier lien Contrôler le courrier non authentifié de votre domaine est particulièrement pertinent:

Pour lutter contre le spam et les abus, Gmail utilise l'authentification par courrier électronique pour vérifier si un message a bien été envoyé à partir de l'adresse à laquelle il semble avoir été envoyé. Dans le cadre de l'initiative DMARC, Google permet aux propriétaires de domaine de nous aider à définir la manière dont nous traitons les messages non authentifiés prétendant faussement provenir de votre domaine.

Ce que tu peux faire

Les propriétaires de domaine peuvent publier une stratégie indiquant à Gmail et aux autres fournisseurs de messagerie participants comment gérer les messages envoyés depuis votre domaine mais non authentifiés. En définissant une stratégie, vous pouvez aider à lutter contre le phishing afin de protéger les utilisateurs et votre réputation.

Sur le site Web DMARC, découvrez comment publier votre stratégie ou consultez les instructions relatives aux domaines Google Apps .

Voici quelques points à garder à l'esprit:

• Vous recevrez un rapport quotidien de chaque fournisseur de messagerie participant afin que vous puissiez voir à quelle fréquence vos courriels sont authentifiés et à quelle fréquence les courriels non valides sont identifiés.
• Vous voudrez peut-être ajuster votre stratégie à mesure que vous apprendrez des données de ces rapports. Par exemple, vous pouvez ajuster vos stratégies pouvant donner lieu à une action de «surveillance» à «mise en quarantaine» à «rejeter» au fur et à mesure que vous devenez plus confiant que vos propres messages seront tous authentifiés.
• Votre politique peut être stricte ou assouplie. Par exemple, eBay et PayPal publient une politique exigeant que tous leurs messages soient authentifiés pour pouvoir apparaître dans la boîte de réception de quelqu'un. Conformément à leur politique, Google rejette tous les messages d'eBay ou de PayPal qui ne sont pas authentifiés.

En savoir plus sur DMARC

DMARC.org a été créé pour permettre aux expéditeurs de courrier électronique d'influencer le courrier non authentifié en publiant leurs préférences dans une stratégie détectable et flexible. Il permet également aux fournisseurs de messagerie participants de fournir des rapports afin que les expéditeurs puissent améliorer et surveiller leur infrastructure d'authentification.

Google participe à DMARC avec d'autres domaines de messagerie tels qu'AOL, Comcast, Hotmail et Yahoo! Courrier. En outre, des expéditeurs tels que Bank of America, Facebook, Fidelity, LinkedIn et Paypal ont déjà publié des règles à suivre par Google et les autres destinataires.

Pour plus d'informations, consultez cet article sur le blog officiel de Gmail .

Autres liens utiles:

• Configurer Gmail pour envoyer / recevoir des courriers électroniques en utilisant votre propre nom de domaine
• Prenez le contrôle de votre adresse e-mail

Ce qui peut être fait dépend de la quantité d’infrastructure sur laquelle vous avez le contrôle et de savoir si vous utilisez votre propre nom de domaine ou si vous avez simplement une adresse sous un domaine contrôlé par une autre personne.

Si vous avez votre propre domaine, il est facile de passer à une nouvelle adresse électronique sous le même domaine. De plus, vous pouvez configurer des enregistrements DNS pour indiquer au monde que tous les courriels de votre domaine sont censés être signés numériquement. (SPF, DKIM et DMARC sont les termes à rechercher si telle est l'approche que vous souhaitez adopter.)

Vous ne pouvez pas vous attendre à ce que tout le monde vérifie ces signatures. Ainsi, même si vous configurez des enregistrements DNS indiquant que les courriers électroniques de votre domaine doivent être signés, des abuseurs continueront d'envoyer des courriers électroniques non signés prétendant provenir de votre domaine et des destinataires acceptant ces courriers non signés.

Si vous ne contrôlez pas le domaine, la modification de l'adresse de messagerie n'est pas aussi facile et vous avez peu d'influence sur l'utilisation des enregistrements DNS pour limiter la possibilité d'usurper le domaine dans les messages sortants.

Le problème des messages de spam utilisant une adresse source usurpée provoquant le retour de rebonds à l'adresse légitime est au moins en principe facile à résoudre.

Vous pouvez enregistrer Message-IDtous les courriels que vous envoyez. Tous les rebonds doivent inclure le Message-IDmessage original quelque part - sinon, le rebond est totalement inutile de toute façon, car c'est ce qui vous indique quel message a été renvoyé. Tout message renvoyé qui ne contient pas le message que Message-IDvous avez précédemment envoyé peut être envoyé directement dans le dossier de courrier indésirable ou être rejeté à la réception (ce qui présente l’avantage de repousser le problème un peu plus près de la source).

Les rebonds peuvent être distingués des autres courriels par l' MAIL Fromadresse. Les rebonds ont toujours une MAIL Fromadresse vide , les autres courriels n'ont jamais d' MAIL Fromadresse vide .

Donc, si MAIL Fromest vide - et DATAne contient pas un Message-IDmessage que vous avez déjà envoyé, le courrier peut être rejeté en toute sécurité.

C'est le principe. La mettre en pratique est un peu plus difficile. Tout d’abord, l’infrastructure pour les courriels entrants et sortants peut être séparée, ce qui pose un problème pour l’infrastructure pour les courriels entrants de toujours savoir tout Message-IDce qui est passé par l’infrastructure pour les courriels sortants.

De plus, certains fournisseurs insistent pour envoyer des rebonds non conformes au sens commun. Par exemple, j’ai vu des fournisseurs envoyer des rebonds ne contenant aucune information sur le courrier électronique original qui avait été renvoyé. Ma meilleure recommandation pour de tels rebonds inutiles est de les traiter comme du spam, même s'ils proviennent d'un système de messagerie par ailleurs légitime.

N'oubliez pas que quiconque a obtenu la liste des adresses électroniques peut mettre n'importe quelle adresse en tant qu'adresse source et toute adresse en tant qu'adresse de destination. Par conséquent, à moins que vous ne disposiez d'informations supplémentaires, vous ne pouvez être sûr que la fuite se produise même à partir de votre propre système. Cela peut être n'importe lequel de vos contacts qui a divulgué la liste d'adresses, y compris la vôtre.

Plus vous pourrez déterminer quelles adresses figurent sur la liste divulguée et quelles adresses ne le sont pas, mieux vous pourrez déterminer d'où il provient. Peut-être avez-vous déjà fait cela et conclu que la fuite devait provenir de votre liste de contacts, car aucun de vos contacts n'aurait connu toutes les adresses confirmées.

Mon approche consiste à utiliser mon propre domaine et une adresse électronique distincte sous ce domaine pour chaque contact avec lequel je communique. J'inclus la date de la première communication avec le contact dans l'adresse de messagerie, de sorte que cela puisse ressembler kasperd@mdgwh.04.dec.2015.kasperd.netsi je devais écrire un courrier électronique à un nouveau contact aujourd'hui. Cette approche ne convient évidemment pas à tout le monde, mais pour moi, cela aide certainement à savoir exactement qui a divulgué une liste d'adresses électroniques sur laquelle se trouve l'une des miennes. Cela signifie également que je peux fermer les adresses individuelles de telle sorte que seule la personne qui a divulgué mon adresse doit mettre à jour ses coordonnées pour moi.

Oui et non.

Rien ne m'empêche d'écrire un email avec votre adresse d'expéditeur. Ce n'est pas différent du courrier papier ordinaire où je peux aussi mettre une adresse de destination sur le devant de l'enveloppe et une adresse de retour (n'importe laquelle!) Au dos de l'enveloppe.

Cependant, vous pouvez ajouter une signature numérique pour prouver que vous êtes l'expéditeur (voir la réponse de PGP et Xen). Les fournisseurs de messagerie commencent également à mettre en place des contrôles de sécurité pour la communication entre les serveurs de messagerie. (Voir TLS - Sécurité de la couche de transport). Mais le courrier est construit sur les anciens protocoles où tout le monde se comportait et coopérait bien. Il n'a pas été conçu pour le grand méchant monde.

Vous abordez ceci de manière incorrecte.

Après des années passées dans l'industrie de la réparation d'ordinateurs, je peux vous affirmer qu'il est très peu probable qu'un "piratage" ait lieu ici. Il est beaucoup plus probable que l'ordinateur de votre femme soit infecté par un virus, qui a accédé à son carnet d'adresses Thunderbird.

C'est assez commun. Habituellement, le virus envoie les courriels directement à partir de l'ordinateur infecté. Par conséquent, leur suppression arrêtera les courriers indésirables. Ils ne "spoofent" pas l'adresse électronique de votre femme, mais l'adresse électronique de votre femme.

Il est très peu probable que le changement d'adresses e-mail suggéré par un autre utilisateur résolve quoi que ce soit ... surtout si vous le saisissez dans Thunderbird sur le même ordinateur.

Téléchargez et lancez Combofixsur l'ordinateur de votre femme.

http://www.bleepingcomputer.com/download/combofix/

Vous trouverez des instructions sur son exécution à l' adresse suivante : http://www.bleepingcomputer.com/combofix/how-to-use-combofix

Essentiellement, téléchargez-le, exécutez-le en tant qu'administrateur (cliquez avec le bouton droit de la souris sur -> exécuter en tant qu'administrateur), cliquez sur OK / Oui / Continuer aux invites, puis repartez pour une durée de 30 minutes à une heure. Il fonctionnera longtemps et redémarrera probablement l'ordinateur (assurez-vous de vous reconnecter pour qu'il continue de fonctionner).

Vous saurez que c'est fait quand un bloc-notes plein écran est ouvert avec un tas de texte. Fermez-le, redémarrez une fois de plus, et vous aurez probablement résolu votre problème ... seul le temps nous le dira.

Il y a deux problèmes ici. Votre question spécifique sur la validation des expéditeurs de courrier électronique et sur ce que l’on peut faire quand un courrier électronique est envoyé à votre nom.

Malheureusement, il est simple de spoofer l' From:adresse dans un email, et c'est tout. Bien qu'il existe des moyens de configurer le courrier électronique afin que l'expéditeur puisse être vérifié (comme la signature numérique mentionnée dans d'autres réponses), ils ne sont pas utilisés couramment. Si les contacts volés de votre femme incluaient de nombreuses connexions occasionnelles, des clients uniques, des listes de diffusion, etc., il s'agit d'un non-débutant: si les destinataires trouvent les faux e-mails embêtants, la dernière chose qu'ils souhaitent est de leur demander d'installer un logiciel spécial. sur leurs ordinateurs.

Ce qui nous amène à ce qu'elle peut faire. Les adresses volées sont largement utilisées comme couverture par les spammeurs, et la plupart des gens savent ignorer les spams évidents qui prétendent provenir d'une connaissance. Si c'est tout ce qui se passe, la solution est clairement que votre femme reçoive un nouveau courrier électronique, de préférence distinct de l'ancien. si possible, combinez-le avec l'orthographe de son nom complet différemment, par exemple, ajoutez un deuxième prénom ou le titre du poste. Ensuite, informez toutes les personnes figurant sur sa liste de contacts et arrêtez d'utiliser l'ancien email, mais continuez à surveiller les messages entrants provenant de personnes qui ont raté le mémo.

Les choses sont plus difficiles si vous pensez que quelqu'un cible spécifiquement votre femme, tente de s'y faire passer, nuit à sa réputation, etc. Dans ce cas, l'attaquant adoptera rapidement un nouveau courrier électronique (car votre femme ne le gardera pas secret). Mais c’est un pont que vous pouvez traverser s’il en arrivait un jour (ce que j’estime peu probable).

Comme Freeman l'a dit ... faites savoir à tous les correspondants réguliers d'e-mail que tous les futurs courriers électroniques de cette personne comporteront la phrase qu'il a mentionnée ou quelque chose de similaire.

Quelques-uns de mes contacts les plus réguliers savent que s'ils veulent que je leur ouvre leurs messages, ils doivent dire quelque chose dans le courrier électronique qu'aucun spammeur ne saurait jamais, par exemple "Oui, Dennis c'est vraiment ______ et le nom de votre chien est ______" I dites quelque chose de semblable à eux. Est-ce un problème? Peut-être est-ce plutôt une gêne mineure.

Maintenant, si tout le monde adoptait le SPF, ce serait une aide précieuse.

Ce n'est peut-être pas idéal, mais si j'étais vous, je fermerais mon compte et en créerais un nouveau. Dire à tous ma nouvelle adresse et de mettre l'ancienne sur une liste noire.