O E-mail Spoofing ocorre quando um usuário malicioso consegue alterar o cabeçalho de qualquer endereço de e-mail e modificar o remetente da mensagem original para um outro.
Isso permite ao atacante efetuar envios de emails como se fosse de uma determinada conta de e-mail. Neste material vamos abordar os seguintes pontos:
- Como funciona o ataque
- Como saber se o e-mail esta sofrendo ataques spoofing
- Como a conta de e-mail que passou pelo ataque é afetada
- Como se proteger do ataque spoofing
Como funciona o ataque
O serviço de e-mail possui um funcionamento similar ao serviço dos Correios. Quando uma pessoa envia uma carta, ela pode colocar qualquer endereço de remetente - visto que os Correios não analisam a origem da carta, não tendo como realmente saber se a carta foi enviada à partir do remetente informado.
No serviço de e-mail não é diferente. Não há como impedir que outras pessoas efetuem envios como se estes fossem efetuados à partir de outras contas de e-mail. O serviço de e-mail é baseado no domínio. Quando enviamos um e-mail, o serviço entrega a mensagem para o servidor que o domínio aponta, ou seja, para o local em que o domínio esta hospedado.
Nesses casos, a mensagem de e-mail é enviada sem que o dono real da conta saiba deste envio.
Como saber se o e-mail esta sofrendo ataques spoofing
Se o atacante utilizar um e-mail válido, configurando no remetente uma conta do seu domínio, e os envios não sejam aceitos, você irá receber o retorno dessas mensagens na caixa de entrada da sua conta, mesmo você não tendo as enviado.
Como, por exemplo, retornos de e-mail com assunto “Failure Notification” ou “Mailer Daemon”.
Como a conta de e-mail que passou pelo ataque é afetada
Os filtros de Spam e ISPs (Provedores de serviços de internet) sabem que esse tipo de ataque existe e não penaliza os envios reais efetuados à partir de uma conta que foi utilizada para o e-mail spoofing.
Geralmente as blacklists mundiais de bloqueios de Spam, como as RBLs (Listas de servidores em tempo real), se baseiam no endereço IP ou outros indicadores a fim de decidir quem será bloqueado. Dessa forma, o sistema de filtro de spam irá procurar primeiro a origem do envio do IP, reportando este envio para os ISPs e Blacklists Mundiais de bloqueio (RBLs), contribuindo para impedir os envios de spoofing.