MailSploit – Falsk avsändaradress i epost

Säkerhet

7/12 2017

UPPDATERING: Verkar som vanliga anti-spoofing inställningar såsom SPF ska kunna skydda detta. Efter svar kommunikation med våra leverantörer "Det handlar om hur mailen kodas och avkodas och hur olika klienter då blir sårbara för spoofing om de bara har DKIM/DMARC iom att inte mailadressen avkodas hela vägen vilket då gör att de kontrollerna blir omkringgådda. Så det verkar faktiskt finnas lite nyheter i nyheten ändå.

Oavsett så stoppar vi ju detta med hjälp av SPF idag och inte DKIM/DMARC och som jag förstår det så kommer det funka fint även framledes trots denna "sploit"  då den kontrollen ju baserar sig på godkända IP:n."

Från: https://www.cert.se/2017/12/mailsploit-forfalskar-avsandaradressen-i-epost

Det har nu kommit till kännedom att mejlklienter går att utnyttja för att kunna uppge en falsk avsändaradress. Företeelsen har fått benämningen MailSploit [1].

Vad har hänt?

Vad som utnyttjas är att mejlklienter hanterar från-fältet på olika och ibland felaktiga sätt. Mejlet kan ha en helt korrekt avsändaradress från någon man litar på men ändå vara förfalskat. Detta kan utnyttjas för nätfiske, sprida falsk information eller för att sprida skadlig kod till mottagaren. Även spam- och andra slags e-postfilter kan passeras av den här attacken.

Tips till användare

  • Dubbelkolla med avsändaren om du är minsta tveksam till varför du har fått mejlet.
  • Var vaksam och ännu försiktigare än tidigare med att klicka på länkar eller öppna bilagor i mejl.
  • Berätta för kollegor och vänner om den här möjliga attacken.

Åtgärder för administratörer

  • Uppdatera mejlklienter och telefonappar så snart en icke sårbar version finns tillgänglig [2].
  • Informera dina användare.

Källor

[1] https://www.mailsploit.com [2] https://docs.google.com/spreadsheets/d/1jkb_ZybbAoUA43K902lL-sB7c1HMQ78-fhQ8nowJCQk/htmlview