Bilgisayar bilimcileri, popüler kurumsal bulut tabanlı e-posta spam filtreleme hizmetlerinde şok edici derecede yaygın bir yanlış yapılandırmayı ve bundan yararlanmaya yönelik bir istismarı ortaya çıkardılar. Bulgular, kuruluşların e-posta kaynaklı siber tehditlere sanıldığından çok daha açık olduğunu ortaya koyuyor.
Önümüzdeki kongrede sunulacak bir bildiride ACM Web 2024 konferansı Mayıs ayında Singapur'da yazar akademik araştırma ekibi, Proofpoint, Barracuda, Mimecast ve diğerleri gibi satıcıların yaygın olarak kullandığı hizmetlerin, inceledikleri ana alan adlarının en az %80'inde atlanabileceğini belirtti.
San Diego'daki California Ãœniversitesi'nde yüksek lisans doktora öğrencisi ve makalenin baÅŸ yazarı Sumanth Rao, “e-posta barındırma saÄŸlayıcısı yalnızca e-posta filtreleme hizmetinden gelen mesajları kabul edecek ÅŸekilde yapılandırılmamışsa, filtreleme hizmetleri atlanabilir” diye açıklıyor: ” baÅŸlıklıFiltrelenmemiÅŸ: Bulut Tabanlı E-posta Filtreleme Atlamalarını Ölçme“
Bu çok açık görünebilir, ancak filtreleri kurumsal e-posta sistemiyle birlikte çalışacak şekilde ayarlamak zor bir iştir. Baypas saldırısı, filtreleme sunucusu ile e-posta sunucusu arasındaki, Google ve Microsoft e-posta sunucularının, spam gönderenler tarafından kullanılacak gibi bilinmeyen bir IP adresinden gelen bir mesaja nasıl tepki vereceği konusundaki eşleşme açısından bir uyumsuzluk nedeniyle gerçekleşebilir.
Google'ın sunucuları böyle bir mesajı ilk alındığında reddederken Microsoft'un sunucuları, mesajın zaten alıcıya teslim edildiÄŸi “Veri” komutu sırasında reddeder. Bu, filtrelerin nasıl ayarlanması gerektiÄŸini etkiler.
Riskler yüksek, göz önüne alındığında Kimlik avı e-postaları ilk tercih edilen erişim mekanizması olmaya devam ediyor Siber suçlular için.
Seth, “Bu zayıflığı azaltmak için gelen postalarını düzgün ÅŸekilde yapılandırmayan posta yöneticileri, ana giriÅŸte kimlikleri kontrol etmek için bir güvenlik görevlisi görevlendiren ancak müşterilerin kilitlenmemiÅŸ, izlenmeyen bir yan kapıdan içeri girmesine de izin veren bar sahiplerine benzer” diyor Blank, bir e-posta güvenlik saÄŸlayıcısı olan Valimail'in CTO'su.
Kimlik Avına Tamamen Açık Kurumsal Gelen Kutuları
İnceledikten sonra Gönderen Politikası Çerçevesi Google veya Microsoft e-posta sunucularını ve üçüncü taraf spam filtrelerini kullanan 673 .edu alan adı ve 928 .com alan adı için (SPF) özel yapılandırmalar kullanan araştırmacılar, Google tabanlı e-posta sistemlerinin %88'inin atlandığını, %78'inin ise atlandığını buldu. Microsoft sistemlerinin %'si öyleydi.
Bulut satıcılarını kullanırken riskin daha yüksek olduğunu, çünkü hem filtreleme hem de e-posta dağıtımının bilinen ve güvenilir IP adreslerinde tesis içinde barındırıldığı durumlarda bir bypass saldırısının o kadar kolay olmadığını belirttiler.
Makale, bu yüksek baÅŸarısızlık oranlarının iki ana nedenini sunuyor: Birincisi, hem filtreleme hem de e-posta sunucularını doÄŸru ÅŸekilde kurmaya yönelik belgeler kafa karıştırıcı ve eksiktir ve sıklıkla göz ardı edilir veya iyi anlaşılmaz veya kolayca takip edilmez. Ä°kincisi, birçok kurumsal e-posta yöneticisi, çok katı bir filtre profili uygularlarsa geçerli olanları silme korkusuyla, mesajların alıcılara ulaÅŸtığından emin olma hatasına düşer. Makaleye göre “Bu, hoÅŸgörülü ve güvensiz yapılandırmalara yol açıyor”.
Yazarlar tarafından belirtilmese de önemli bir faktör, ana e-posta güvenlik protokollerinin üçünün de (SPF, Etki Alanı Tabanlı Mesaj Kimlik Doğrulaması Raporlaması ve Uyumluluk) yapılandırılmasıdır (DMARC) ve Etki Alanı Anahtarları Tanımlanmış Posta (DKIM) — spam'ı durdurmada gerçekten etkili olmak için gereklidir. Ama bu uzmanlar için bile kolay değil. Bunu, filtreleme ve e-posta dağıtımı için iki bulut hizmetinin düzgün bir şekilde iletişim kurmasını sağlama zorluğuna eklediğinizde koordinasyon çabası son derece karmaşık hale gelir. Öncelikle, filtre ve e-posta sunucusu ürünleri genellikle büyük şirketlerdeki iki ayrı departman tarafından yönetiliyor ve bu da hata olasılığını daha da artırıyor.
Yazarlar, “Birçok eski Ä°nternet hizmeti gibi e-posta da artık modern taleplere ayak uyduramayan basit bir kullanım senaryosu etrafında tasarlandı” diye yazdı.
E-posta Yapılandırma Belgelerindeki Gecikmeler, Güvenlik Açıklarına Yol Açıyor
Araştırmacılara göre, her filtreleme satıcısının sağladığı belgelerin kalitesi farklılık gösteriyor. Belgede, TrendMicro ve Proofpoint'in filtreleme ürünlerine ilişkin talimatların özellikle hataya açık olduğu ve kolaylıkla savunmasız konfigürasyonlar üretebileceğine dikkat çekiliyor. Mimecast ve Barracuda gibi daha iyi belgelere sahip satıcılar bile hala yüksek oranlarda yanlış yapılandırma üretiyor.
Satıcıların çoÄŸu Dark Reading'in yorum talebine yanıt vermese de Barracuda'nın ürün pazarlama müdürü Olesia Klevchuk ÅŸunları söylüyor: “Güvenlik araçlarının uygun kurulumu ve düzenli 'saÄŸlık kontrolleri' önemlidir. Müşterilerin kullanabileceÄŸi bir saÄŸlık kontrolü kılavuzu saÄŸlıyoruz.” Bunu ve diÄŸer yanlış yapılandırmaları tanımlamalarına yardımcı olmak için kullanın.”
Åžunları ekliyor: “Hepsi olmasa da, e-posta filtreleme saÄŸlayıcılarının çoÄŸu, dağıtım sırasında ve sonrasında çözümlerinin olması gerektiÄŸi gibi çalıştığından emin olmak için destek veya profesyonel hizmetler sunacaktır. KuruluÅŸlar, olası potansiyelleri önlemek için bu hizmetlerden periyodik olarak yararlanmalı ve/veya bu hizmetlere yatırım yapmalıdır. güvenlik riskleri.”
Kurumsal e-posta yöneticilerinin sistemlerini güçlendirmenin ve bu bypass saldırılarını önlemenin çeşitli yolları vardır. Makalenin yazarları tarafından önerilen yollardan biri, filtreleme sunucusunun IP adresini tüm e-posta trafiğinin tek kaynağı olarak belirlemek ve bu adresin bir saldırgan tarafından aldatılamamasını sağlamaktır.
Yazarlar, “KuruluÅŸların e-posta sunucularını yalnızca filtreleme hizmetlerinden gelen e-postaları kabul edecek ÅŸekilde yapılandırmaları gerekiyor” diye yazdı.
Microsoft'un belgeleri e-posta savunma seçeneklerini ortaya koyuyor ve örneğin çevrimiçi değişim dağıtımında bu korumayı etkinleştirmek için bir dizi parametrenin ayarlanmasını önerir. Bir diğeri ise bir kuruluşun e-posta trafiği için kullandığı tüm alan adları ve alt alan adları için tüm SPF, DKIM ve DMARC protokollerinin doğru şekilde belirtilmesini sağlamaktır. Bahsedildiği gibi bu, özellikle büyük şirketler veya zamanla çok sayıda alan adı edinmiş ve bunların kullanımını unutmuş yerler için zor olabilir.
Valimail'den Blank, son olarak baÅŸka bir çözümün “filtreleme uygulamasının ÅŸunları içermesi olduÄŸunu söylüyor: KimliÄŸi DoÄŸrulanmış Alıcı Zinciri (RFC 8617) e-posta baÅŸlıklarını ve iç katmanın bu baÅŸlıkları kullanması ve bunlara güvenmesi için.”