친구가 uber.com 주소를 사용하여 Bank of America 에서 스푸핑 된 이메일을 받았습니다. Gmail에서 스팸으로 올바르게 식별했습니다. 그러나 원시 메시지를 보면 SPF, DKIM 및 DMARC 검사를 통과 한 것으로 보입니다.
1) 스팸 이메일이 uber.com 만큼 인기있는 소스 도메인 (스패머가 제어 할 수없는 도메인)을 사용하여 SPF, DKIM 및 DMARC를 어떻게 통과 시켰습니까?
2) 메시지 헤더 / 본문에 스푸핑 될 이메일을 결정적으로 결정하는 다른 것이 있습니까? (예 : 외부 링크에 포함 된 요소의 확률 적 추론 또는 블랙리스트 제외)
아래에 붙여 넣은 전체 원시 메시지입니다 (익명 성을 위해 대상 이메일이 변경됨).
Delivered-To: [email protected] Received: by 2002:a19:f009:0:0:0:0:0 with SMTP id p9csp8149944lfc; Thu, 2 May 2019 15:48:40 -0700 (PDT) X-Google-Smtp-Source: APXvYqyhm5pZuY7Fm7UQDAafePILEmcZUG7oB/gvcd6J/EhUFwZiS3XMf65THeoGx++FQCmhzOCE X-Received: by 2002:a17:906:13d2:: with SMTP id g18mr3231656ejc.78.1556837320717; Thu, 02 May 2019 15:48:40 -0700 (PDT) ARC-Seal: i=1; a=rsa-sha256; t=1556837320; cv=none; d=google.com; s=arc-20160816; b=eXB2eqanspJQA6s/q5LqzZmlHbIEk21g9zucGA8hxmjYVXu0b3XnZzYUdJjY5bA0at P6F6qlig4aO5N2Gsr8a9MDRSvvfAibeRTENq/7iO3gaUQIbAM9gQ/aQhV6uLiD+DoSZU dHhhwJB2GQ/5Dh6HoXNuj4SrTMn3yHOEuQA4I+Htw7B1CASkDTIKcs7CART606F33R3N hJqQWlkTlXRNKeSCVY9Ji+7Ij08mciIOJXA2ug0ZYvH9W/C1St8yENSLKfFcrJlk/U/c OyxFmB11yDK9wP9Af5JyzOlkNvGVhXgo1oZzNuB0cyY0nn/HynNrzWhhhTBohg6p92k7 9CuQ== ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816; h=message-id:to:subject:reply-to:mime-version:from:date :dkim-signature:dkim-signature; bh=qLQDboUSSv8iAbkYL4wb/BR8FXlb49YUxc2eDjBWs5k=; b=EtdsO3m3lHH8+WCcDco6Ahfet2PLEix2p1NKcgzqD7fH+37MPmVieWp3qZo2gy0cgD VP4TGaspSGND2cjBZUqlTr6ScJPj98eRtsIOVb/CRgocSy354o72WzT43P2LXJaOSz+L Rq814M7GHwrtutY3bWpYteO2nEAg18EgSyjC7mYqYvERRa7OFhIJO36/ZnAxCGV5xWTm nd3evLaWNpsRP8eUysyOkuC1wGNW9HGCdcs0q5meSfxl+3PmYzTZ4MlrhAxvEWyPRRM4 gDnwQ7w6RUZjGtbsEWul/5zKa5HDX1jTtH4DRYWe3MaLJ4zpFPQ289mnypfpoHB9vNKb wS5A== ARC-Authentication-Results: i=1; mx.google.com; dkim=pass [email protected] header.s=s1 header.b=sGXq8dN3; dkim=pass [email protected] header.s=smtpapi header.b=hex9bvGh; spf=pass (google.com: domain of [email protected] designates 50.31.36.149 as permitted sender) smtp.mailfrom="[email protected]"; dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=uber.com Return-Path: <[email protected]> Received: from o15.email.uber.com (o15.email.uber.com. [50.31.36.149]) by mx.google.com with ESMTPS id c8si312626edb.189.2019.05.02.15.48.40 for <[email protected]> (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128); Thu, 02 May 2019 15:48:40 -0700 (PDT) Received-SPF: pass (google.com: domain of [email protected] designates 50.31.36.149 as permitted sender) client-ip=50.31.36.149; Authentication-Results: mx.google.com; dkim=pass [email protected] header.s=s1 header.b=sGXq8dN3; dkim=pass [email protected] header.s=smtpapi header.b=hex9bvGh; spf=pass (google.com: domain of [email protected] designates 50.31.36.149 as permitted sender) smtp.mailfrom="[email protected]"; dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=uber.com DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; d=uber.com; h=content-type:from:mime-version:reply-to:subject:to; s=s1; bh=v7x4HoONz0ezNRDnKYF0uc2hhtM=; b=sGXq8dN3+HHhABwT351Y+af+nr2B8 pHTDx2MjlKRIDe7H/cnIsI/CpwpJLrb8Stp9RsP0sP5nK3TZmKHQwJedhRvBTC7n r/uPT0JSi+ONLtF9C+0qRXmWmJtqQzFf9slsVRdHaXX8RLa6yaLLzwsHuuRdaJZG o4oB6ZA5AJCesY= DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; d=sendgrid.info; h=content-type:from:mime-version:reply-to:subject:to:x-feedback-id; s=smtpapi; bh=v7x4HoONz0ezNRDnKYF0uc2hhtM=; b=hex9bvGhVyaiDwHKrN h24yUEJB4HO3pTdxhcoAK5VsaYOCXZx9p4blLSQp3uV8ew7NLo2z/zx4csNICZWh SmC8COHDgWcHciNfl43kiraXp400kRYiGsS1pHqVRX5Ob8D0JkPBK5O8DVaeruG8 CZA/6xSoS+V/bEH7nyXlXwrfc= Content-Type: multipart/alternative; boundary=05837142e85bc2c4ac09b1d30a5ba3fe4f9b7871babe88f65414e2efb0b2 Date: Thu, 02 May 2019 22:48:36 +0000 (UTC) From: Bank Of America <[email protected]> Mime-Version: 1.0 Reply-to: [email protected] Subject: [ALERT] Your account id has been blocked !! To: [email protected] Message-ID: <[email protected]> X-SG-EID: BJ2Hyk3p2HXeBi9v1wQzSyZ8DM5WrDY+tsMwP5EVk1O0bcaJmQS4hZuUFgRtapyAExYteHWmn73qmX 7VEhHR5sd3ci/g+WzM8Uf68Ux7oY1gt0agNXHr4DKEE+nngxEBm8ZP2xGBiEEEpg5Whgqt/yWpHjZ7 HukhCl3QGdVTLehqCV+7CWTGIxhA8qDvQEtuCLBT6YeFBksxtcPbtJlU+nsHzCU+ZUGuJa5/mD+y0F s7tmnWQuHkKZKYL9EbGQts X-SG-ID: Z2FxZazunBjVeNuNdzHDqrF8mxuCpi0krmont6YQrP1PhrSAm6F2vnhCz+cZmwIQQzzeNf3kS2PU4G C99ZbMEWr4lLYj5ol2knDZ/n3jZwq//ee6CYHr7NePdVS5vtJCVf7ranRUtPwlaGzBDEs80XrtvoiJ GPsexH5dsi0CLhc= X-Feedback-ID: 3504297:hpZl/F8wyMjPOktsUM9fV9PBbsSgTLHDWo42qpJEarc=:hISn6uOVLCzR0vuCEri7CQ==:SG --05837142e85bc2c4ac09b1d30a5ba3fe4f9b7871babe88f65414e2efb0b2 Content-Transfer-Encoding: quoted-printable Content-Type: text/plain; charset=UTF-8 Mime-Version: 1.0 Dear Valued Customer,=20 You Have A Personal Security Alert from BankOfAmerica. Sign-On https://flyingteachers.nl//wp-content/Wordpress/ Note: You will need to update your information for that service completely.= =20 =C2=A9 Copyright, BankOfAmerica, 2019.=20 Access https://google.com --05837142e85bc2c4ac09b1d30a5ba3fe4f9b7871babe88f65414e2efb0b2 Content-Transfer-Encoding: quoted-printable Content-Type: text/html; charset=UTF-8 Mime-Version: 1.0 <HTML><HEAD></HEAD> <BODY> <IMG src=3D"https://www2.bac-assets.com/homepage/spa-assets/ima= ges/assets-images-global-logos-boa-logo-CSXe4b047c0.svg" width=3D279 height= =3D64>=20 <TABLE id=3Dyui_3_7_2_1_1357636237151_3250 style=3D"FONT-SIZE: 12px; FONT-F= AMILY: Arial, Helvetica, sans-serif" cellSpacing=3D0 cellPadding=3D0 width= =3D600 border=3D0> <TBODY></TBODY></TABLE><BR>Dear Valued Customer, <BR><BR>You Have A Person= al Security Alert from BankOfAmerica.<BR> <P></P> <P><FONT id=3Dyui_3_16_0_1_1399663152274_19869 style=3D"FONT-SIZE: 12px; CO= LOR: #333333; LINE-HEIGHT: 18px" face=3D"Verdana, sans-serif"> <TABLE id=3Dyui_3_16_0_1_1399663152274_48813 style=3D"BACKGROUND: no-repeat= left top" height=3D15 cellSpacing=3D0 cellPadding=3D0 width=3D111 bgColor= =3D#6cae35 border=3D0> <TBODY id=3Dyui_3_16_0_1_1399663152274_48812> <TR id=3Dyui_3_16_0_1_1399663152274_48811 bgColor=3D#6cae35> <TD id=3Dyui_3_16_0_1_1399663152274_48862 bgColor=3D#6cae35 vAlign=3Dmiddle= width=3D15 align=3Dcenter><FONT size=3D2><HTTPS: id=3Dyui_3_16_0_1_1399663= 152274_48861 width=3D"15" height=3D"15" email_cta_arrow.gif=3D"" media=3D""= static_assets=3D"" mcontent=3D"" content.usaa.com=3D""></HTTPS:></FONT></T= D> <TD id=3Dyui_3_16_0_1_1399663152274_48810 bgColor=3D#6cae35 vAlign=3Dmiddle= width=3D96 align=3Dcenter><A id=3Dyui_3_16_0_1_1399663152274_48814 style= =3D"TEXT-DECORATION: none; COLOR: #fff; FONT: bold 11px arial, sans-serif" = href=3D"http://email.uber.com/wf/click?upn=3D-2FQ0tIReEQQvMTn37D6ijIfRAMGF2= MPDMqrIBax6TjqHI26EB2dJUvOpfb6-2BtHW1GBBasvV-2BPdUGxE65m1S0AUw-3D-3D_upBRTD= Ma1f8arr27T-2FChSHKA02CtoItCQ9e6PNbvcG9XxnPK4VYSIoINuPPUDOYMFaHDvWWc6mRXY-2= BjkyEJ4uGUdSbHsos4WOz9Yr529xiH9tDHJLxlZMIShGPk0S8U4onf5vQHto3-2B7-2BwbS3DDx= gGjcR-2BFeB1tfaZTkc-2BdDdmBj2b7z5S6KGHutMpn48l3JhaVOuRvB-2F5niKuSo53oVEp9Ag= pJI7RnaO6AO3D5pLjHBeAsWMwbWL4o9BhEfMC8cT0zWfUna8GP3wEKDFrXWVmspJeNCXCcqbUUp= SUF49HwDS-2F279HaQ-2BkL8PVsX8eMAvnRBRi8DRIAWf938W9MaPq8yv9aeEq8G6uedSgCjCX1= FAAhXKhtxerCOMO6JhOYPlm2-2FHX633X1SrBaiTYZGOw-3D-3D" rel=3Dnofollow target= =3D_blank>Sign-On</A></TD></TR></TBODY></TABLE></FONT></P>Note: You will ne= ed to update your information for that service completely. <BR><BR><FONT id= =3Dyui_3_13_0_1_1398145588576_6499 size=3D1></FONT><FONT size=3D2>=C2=A9 Co= pyright, BankOfAmerica, 2019.</FONT>=20 <img src=3D"http://email.uber.com/wf/open?upn=3DupBRTDMa1f8arr27T-2FChSHKA0= 2CtoItCQ9e6PNbvcG9XxnPK4VYSIoINuPPUDOYMFaHDvWWc6mRXY-2BjkyEJ4uGUdSbHsos4WOz= 9Yr529xiH9tDHJLxlZMIShGPk0S8U4onf5vQHto3-2B7-2BwbS3DDxgGjcR-2BFeB1tfaZTkc-2= BdDdmBj2b7z5S6KGHutMpn48l3JhaVOuRvB-2F5niKuSo53oVEnZOKS1AsqehIRfEXmYLYu3fhQ= UZgheXahrlWwKmrfQylaw7Y2sX09qWBC67FiV-2Fwmf5O6ZvgYoAV3vtQZhLjSa6B7I0DiwhfzK= 11lBOmIXiMuUc30aqH9s9sDIGqnGR8O-2Fdgjw-2FWHQjWqMlfMnd1TWWYULqOl5xYb-2BD-2B1= JMvHPISuLN3S-2BBtXPo-2BSzlYb9YTw-3D-3D" alt=3D"" width=3D"1" height=3D"1" b= order=3D"0" style=3D"height:1px !important;width:1px !important;border-widt= h:0 !important;margin-top:0 !important;margin-bottom:0 !important;margin-ri= ght:0 !important;margin-left:0 !important;padding-top:0 !important;padding-= bottom:0 !important;padding-right:0 !important;padding-left:0 !important;"/= > </BODY></HTML> <a href=3D"http://email.uber.com/wf/click?upn=3D-2FQ0tIReEQQvMTn37D6ijIUDYH= X2-2FyU5mi0Enz-2FchsQI-3D_upBRTDMa1f8arr27T-2FChSHKA02CtoItCQ9e6PNbvcG9XxnP= K4VYSIoINuPPUDOYMFaHDvWWc6mRXY-2BjkyEJ4uGUdSbHsos4WOz9Yr529xiH9tDHJLxlZMISh= GPk0S8U4onf5vQHto3-2B7-2BwbS3DDxgGjcR-2BFeB1tfaZTkc-2BdDdmBj2b7z5S6KGHutMpn= 48l3JhaVOuRvB-2F5niKuSo53oVEggJcxBzsBUTFT7XWbdRLfOKJHct29bBLqq-2FiX-2BnFPQ-= 2BLCqjk6YuSfSFkaKdm5QvdZMBusseXcTQlJhzVP-2Beo5392uwTJHnkaMczik43b2te8teMEjS= hfujpSCF4MTUkjQ5IBldCR7EOeT4-2BF6vpq0Ctnr2W7ZarsqWFftMiNy8s-2BU-2F5eF1gGJwN= 7E92IF4inQ-3D-3D" target=3D"_blank" rel=3D"noopener">Access</a> --05837142e85bc2c4ac09b1d30a5ba3fe4f9b7871babe88f65414e2efb0b2-- 댓글
답변
From: Bank Of America <[email protected]>는 header.from 필드에 사용 된 주소이므로 기술적으로 이메일은 Bank of America를 스푸핑하지 않았습니다. 그러나 Bank of America라는 Display Name 속성이있는 Uber.com 이메일 주소.
이메일은 uber.com 도메인을 대신하여 전송할 권한이있는 시스템입니다.이 경우에는 Sendgrid입니다 (DKIM 서명 및 uber.com 서명 선택기의 이름 : s1 참조).
Sendgrid는 API keys 이메일을 발송합니다. 너무 자주 이러한 API 키가 잘못된 손에 들어갑니다 (공개 웹 사이트 코드에서 일반 텍스트로 사용됨). Sendgrid의 경우 전송이 가능함을 의미 할 수 있습니다. 해당 도메인을 대신하여 인증 된 이메일입니다.
사실 @schroeder가 지적했듯이 이는 Ube에보고되어야합니다. r.
댓글
- @Rein에게 감사합니다. 귀하의 답변은 제가 찾고있는 통찰력을 제공했습니다.
답변
이메일 헤더 파서에 헤더를 입력했는데 인증되고 유효한 uber.com 이메일을 보내기위한 IP 주소 (50.31.36.149).
그러나 DKIM 본문 서명 확인에 실패했습니다. 따라서 피셔가 유효한 Uber 계정을 보유하고 기존 이메일을 가져 와서 본문 내용을 대체했거나 귀하의 편집으로 인해 서명 된 이메일의 일부가 수정 된 것 같습니다.
메일 헤더 / 본문에 스푸핑 될 이메일을 결정적으로 결정하는 다른 것이 있습니까?
예, Bank of America에서 보낸 것으로 주장하지만 Uber 계정에서 보낸 사실입니다.
사실 Uber에 신고하겠습니다.
댓글
- 일반적인 분석 (Uber 계정 손상)에 동의하지만 불일치라고 생각하지 않습니다. ' 본문 해시의 내용은 공격자가 기존 메일을 편집하여 발생하는 것입니다. OP가 메일을 너무 많이 편집하여 해시가 더 이상 일치하지 않는 것으로 의심됩니다. OP에서받은 메일을 알 수 없습니다.
- 포인터에 대해 @SteffenUllrich에게 감사합니다. 원래 이메일 주소 만 " myemail 로 인해 본문 해시가 변경되는 이유를 알 수 있습니다. 본문 해시를 무시하면 가장 가능성있는 설명일까요? 이것이 비즈니스 이메일 침해의 표준 사례 일 수 있습니까?
- @Islay Steffen에 동의합니다. DKIM 실패는 변경 사항 때문일 수 있습니다. 따라서 용도가 변경된 이메일의 사소한 부분은 정확하지 않을 수 있습니다. 핵심적인 결론은 여전히 누군가가 Uber 계정에 대한 액세스 권한을 얻었습니다.
- @schroeder 좋은 지적입니다. 감사합니다. 저는 ' 여기에 제 친구를 가리키고 ' 우버로 촬영합니다 '의 관심.
DKIM-Signature필드도 수정 된 것 같습니다. 즉, 줄 바꿈 + 공백을 예상하는 공백 만 있습니다.