Kilka dni temu świętowaliśmy drugie urodziny systemu PEKA. Blisko 458 tysięcy użytkowników chętnie korzystających z rozbudowanej i bardzo dobrze ocenianej sieci sprzedaży biletów piszą o systemie na stronie ZTM. Ale czy jest tak pięknie?
Jak podaje niebezpiecznik.pl sposób wysyłania e-maili do klientów systemu daje możliwość wystąpienia nadużyć. Sprawę zgłosił jeden z czytelników niebezpiecznika, ponieważ zszokowała go ignorancja administratorów systemu.
Cała sprawa zaczęła się w poczcie obsługiwanej przez Google. Trzeba przyznać, że gigant z Mountain View wielokrotnie wytyczał ścieżki, którymi podążać będzie internet. Tym razem czytelnika zastanowił fakt, że listy kierowane z systemy PEKA są oznaczone jako niezweryfikowane. Co oznacza, że Google nie może stwierdzić, kto faktycznie wysłał wiadomość. Z pomocą przychodzi SPF, który wystarczy skonfigurować w “niepewnej” domenie. Została wysłana reklamacja i w odpowiedzi ZTM pisze.
SPF to niekomercyjny projekt, ZTM nie ma obowiązku stosowania tego rodzaju uwierzytelniania adresu e-mail, pozwalającego na weryfikację czy wiadomość pochodzi z autoryzowanego serwera poczty
Co do jednego pracownicy ZTM mają rację SPF jest niekomercyjnym projektem, ale od kilku lat Google prosi o używanie go w komunikacji z ich pocztą. Dlaczego to jest takie ważne? Przypuśćmy, że dostajemy list z systemu PEKA, że kończy się nasza sieciówka. W tym liście mamy informację, że możemy zapłacić używając linka, który przekieruje nas od razu do płatności, które nigdy nie trafią do systemu PEKA. Tłumacząc to w najprostszy możliwy sposób, ktoś może podszyć się pod system PEKA i wysłać do odbiorców wiadomość, która dzięki brakowi tego wpisu będzie traktowana jako wysłana przez system PEKA. Nie każdy wie, jak sprawdzić nagłówki, nie każdy wie na co zwrócić uwagę w poczcie elektronicznej. Dlatego tak ważne jest bezpieczeństwo i administratorzy powinni ułatwiać życie swoim użytkownikom.
Sam Google na swoich stronach pisze: Zalecamy utworzenie rekordu SPF (Sender Policy Framework – infrastruktura zasad nadawcy) dla domeny. Rekord SPF jest typem rekordu usługi Domain Name Service (DNS), który identyfikuje serwery poczty uprawnione do wysyłania poczty e-mail w imieniu danej domeny. Rekord SPF uniemożliwia spamerom wysyłanie e-maili z fałszywym adresem nadawcy z Twojej domeny. Sprawdzając rekord SPF, adresaci mogą ustalić, czy wiadomość wyglądająca na wysłaną z określonej domeny pochodzi z autoryzowanego serwera poczty.
Oczywiście SPF nie daje stuprocentowej gwarancji, ponieważ nie każdy system pocztowy go wymaga, ale mocno zawęża potencjalnym atakującym pole manewru. Przejrzeliśmy konfiguracje kilku domen i tak
Część poznańskich rad osiedli ma skonfigurowane rekordy SPF, strona prezydenta RP ma skonfigurowane rekordy, ale ZTM czy Urząd Miasta już nie. Warto by było to poprawić, bo może się okazać, że nagle Poznań zaleje fala mail z PEKI i innych poznańskich urzędów
I na koniec, o czym mówimy?
lepszypoznan.pl descriptive text “v=spf1 a mx a:lepszypoznan.pl ip4:188.40.110.9 ip6:2a01:4f8:100:840d::2 ?all“
Tak wygląda rekord SPF, który informuje serwery pocztowe, kto może być nadawcą maili z naszego portalu. Jeśli ktoś będzie chciał wysłać list podszywając się np. pod nasza redakcję trafi do spamu. Kiedy podszyjemy się pod PEKĘ nikt nie zweryfikuje czy faktycznie powinniśmy wysłać tą wiadomość. Po stronie administratora systemy PEKA naprawienie tego błędu zajmie nie więcej niż 1 minutę pracy. Czy warto? Pozostawiamy to pytanie bez odpowiedzi.
Cały artykuł niebezpiecznika znajdziecie tutaj
warto poczytać https://pl.wikipedia.org/wiki/Sender_Policy_Framework