کشف آسیب‌پذیری در پروتکل‌های فورواردینگ ایمیل

محققان امنیتی، جزئیاتی پیرامون نواقص امنیتی موجود در پروتکل‌های فوروارد کردن ایمیل که منجر به حملات Email Spoofing می‌شوند را منتشر نموده‌اند. این افراد با بهره‌برداری از آسیب‌پذیری‌های مربوطه، اقدام به جعل دامنه‌های متعلق به دولت، رسانه‌ها و برخی از سازمان‌ها نمودند. در این بررسی، محققان، عدم توانایی پروتکل‌های موجود در جلوگیری از حملات جعل ایمیل را اثبات نمودند.

گفتنی است در حال حاضر، از سه سنجه امنیتی به منظور جلوگیری از حملات ایمیل اسپوفینگ استفاده می‌شود؛ SPFساز (SPF مخفف (acronym for Sender Policy Framework) بوده و به شما کمک میکند تا در زمانی که ایمیلی از دامنه شما ارسال میگردد مشخصات سرور و آی پی آن بررسی گردد تا مطمئن شود فقط ایمیل ها از هاست شما ارسال میگردد و هکر ها امکان ارسال ایمیل با دامنه شما از روی سرور دیگری را نداشته باشند. روش کار بر این اساس است که مالک دامنه اطلاعات آی پی سرور دامنه که مجاز به ارسال ایمیل است را منتشر میکند. سرور دریافت کننده مشخصات ایمیل دریافت شده را با مشخصات داخل ایمیل مطابقت میدهد و در صورتی که مطابقت داشتند ایمیل دریافت می شود و در غیر اینصورت ایمیل برگشت می خورد)، و کار است که آدرس‌های IP مجاز به ارسال ایمیل به یک دامین و اقدامات بعدی (نظیر نشانه‌گذاری ایمیل به عنوان اسیم) را در حالتی که یک آدرس IP غیرمجاز استفاده شده باشد، مشخص می‌سازد.

DKIMساز (مخفف (Domain Key Identified Mail) است یک سیستم تصدیق هویت ایمیل که جهت شناسایی حقه های پست الکترونیکی طراحی شده است. این مکانیزم امکانی را فراهم می کند که میل سرور های گیرنده ایمیل بررسی کنند که ایمیل دریافتی از Domain مربوطه توسط مدیریت دامنه مجاز و تائید شده باشد. یک امضای دیجیتال شامل پیغامی است که می تواند توسط دریافت کننده از طریق   Public Key  امضا کننده که در DNS zone دامنه قرار داده شده است اعتبار سنجی شود)، و کاری است که متن ایمیل را از طریق امضاهای رمزنگاری شده، به دامین فرستنده پیوند می‌دهد ولی فرستنده را شناسایی نمی‌کند؛ سنجه بعدی، DMARC (مخفف عبارت Domain-based Message Authentication Reporting and Conformance است.

این پروتکل منبع‌باز تعیین می‌کند که با ایمیل‌های خراب‌کارانه و جعلی چه برخوردی شود. نکته مهم درباره رکورد DMARC  این است که ایمیل‌ها برای رسیدن به این فناوری، ابتدا از سدهای SPF و DKIM عبور می‌کنند رکورد DMARC  این است که ایمیل‌ها برای رسیدن به این فناوری، ابتدا از سدهای SPF و DKIM عبور می‌کنند)، است که SPF  و DKIM را با هدف رفع مشکلات امنیتی اساسی که هر یک از پروتکل‌های پیش‌تر یاد شده به صورت مجزا قادر به رفع آن‌ها نیستند، با یکدیگر اقدام می‌کند.

به‌طور معمول، این سه پروتکل تا حد زیادی از حملات اسپوفینگ ایمیل و نیز اسپمینگ جلوگیری می‌کنند که این کار از طریق بهره‌گیری از فرآیند احراز هویت مناسب اتفاق می‌افتد؛ گرچه محققان مشاهده کرده‌‌اند که هیچکدام از این ساز و کارها اقدام مشابهی در خصوص ایمیل‌های فوروارد شده انجام نمی‌دهند. از آنجایی که این قبیل ایمیل‌ها افراد زیادی را درگیر می‌کنند، شناسایی فرستنده در آن‌ها دشوار می‌شود؛ به همین دلیل، در این حالت، جعل دامین‌های ارسال کننده ایمیل حتی برای دامین‌های قابل اعتماد ارسال کننده ایمیل نظیر شناسه‌های دولتی امکان‌‌پذیر می‌شود؛ این اتفاق عمدتاً به دلیل نبود یک سنجه امنیتی یکپارچه برای محافظت از ایمیل‌های فوروارد شده و علیرغم متداول بودن این حالت، رخ می‌دهد. در حملات انجام شده، از سه مشکل امنیتی به نام‌های Relaxed Forwarding Validation، ARC Implementation و سوءاستفاده از لیست‌های ایمیل بهره‌برداری شده است؛ محققان در بررسی خود تعداد 20 سرویس مختلف فوروارد کردن ایمیل را بررسی نمودند و موفق به ارسال ایمیل‌های جعلی به شرکت‌هایی نظیر گوگل، Outlook و.... شدند. در همین رابطه، محققان پیشنهاد نموده‌اند که در سرویس‌های ایمیلی، قابلیت Open Forwarding غیرفعال شود؛ این اقدام، از بروز Laundering جلوگیری می‌کند، خط مشی‌ها و سیاست‌های Relaxed Validation را حذف خواهد کرد و سطح امنیت فهرست ایمیل‌ها را بهبود می‌بخشد. علاوه بر این، اصلاح استانداردهای RFC، بهبود اعلان‌های مربوط به رابط کاربری و توسعه ابزارهای قدرتمند تست و ارزیابی، از سوی محققان توصیه شده است.