Email “Spoofing”i Anlama
Eğer kuşkulu bir mektup aldıysanız, gönderenin kim olduğuna zarfın üstündeki ada bakarak öğrenebilirsiniz. Fakat gerçekte mektubu kimin gönderdiğini asla bilemeyiz. Mektubun kesinlikle o kişiden ve adresten geldiğine dair hiçbir garaniti yok. Bu aynen emaillerde de geçerlidir. Email mesajılarına cevap vermek için verilen email adresi saptırılmış veya “spoof” edilmiştir. Emaili yollıyan kişi bunu çeşitli nedenlerden yapmaktadır, bunların içinde,
*Email “spam”dir ve gönderen anti-spam yasalarına tabi tutulmak istememektedir.
*Email başka bir yasayı çiğnemektedir (örnek: tehdit etmek ,kişiyi bezdirmek)
*Email’de virüs veya Trojan bulundurmaktadır. Yollıyan kişi dosyayı size tanıdık bir kişiden yollanmış gibi gösterir.
*Email sizden kendiniz hakkınızda bilgi istemektedir ve tanıdık bir kişiden geldiği için kuşku duymamınızı sağlar. (örnek: admin passwordü, network passwordü) bu sosyal mühendislik saldırılarında biridir. “social engineering attack”
*Emaili yollıyan kişi gerçek email sahibi ile sizin aranızda sorun çıkarmaya çalışmaktadır.( örnek: politik rakip veya kişinin düşmanı ona emailda bunları söyledi gibi iddalarda bulunma)
Not:
“Phishing” – bir kişinin kredi kartı numarasını veya internet banka kullanıcı bilgilerini ele geçirme, genellikle “spoof” email atma kullanılmaktadır. Mesela “Phisher” size bankanın yönetici departmanından yollanmış gibi gözüken bir email yollar ve sizden söylediği siteden giriş yapmanızı ister ( Bankanın sitesi gibi gözüksede gerçekte “phisher” ın sitesidir) Kendi email adresinizin “spoof” edilmesi dahada kötüdür, kendinizi birden kızmış şikayetler emailleri arasında bulursunuz ve coğu internet serverı sizi “spammer” olarak tespit edip emailinizden gelen mailleri engeller.
“Spoof” nasıl çalışır?
En kolay şekilde yapılan “spoof” yöntem (en kolay kendini ele veren), E-mail “Spoof” edilirken gözüken mail adresini “Gelen:” bölümünndeki kısmını değiştirerek başka bir e-mail adresi yapmaktan ibarettir. Çoğu POP e-mail alıcıları bu bölümü istediğiniz gibi değiştirmenize izin verir. Örnek olarak, Outlook Expresste bir mail hesabı açarken Gözükmesi istediğiniz adı yazıyorsunuz, bu istediğiniz hersey olabilir.
Yazdığınız ad maili gönderdiğiniz kişinin kullandığı programda kişinin kim olduğu olarak gösterilcektir. Aynı şekilde Outlookta daha sonra emailinizi sordugunda istediginiz bir emaili yazabilirsiniz. Bu iki alan ISP niz tarafından verilen kullanıcıdan ayrıdır.
Resim 2de maili alan kimsenin “Kimden” (From) bölümünde Outlook gibi bir email alıcısında ne gördüğü gösterilmiştir.
Bu basit yöntem kullanıldığında gerçekte mailin nereden geldiği (örnek olarak , thewhitehouse.com dan gelmediği) mailin başlangıcına bakarak anlarız, genellikle email alıcıları bunu hazırda göstermez. Outlookta , mesajı açıtıktan sonra “View | Options” a basarak açabilirsiniz resim 3 te gösterildiği gibi.
Burada emailın gerçekte XDREAM adlı bir bilgisayardan, mail.augustmail.com SMTP serverından atıldığını görmekteyiz.
Maalesef email başlangıçları bile her zaman size emailin nereden geldiğini doğru söylememektedir. Spammerlar ve diğer Spooferlar sıksık açık posta serverlarını kendi sahte ve kötü niyetli emaillarını atmak için kullanırlar. Açık posta serverları dogru bir şekilde biçimlenmemiş veya başka kişilerin kendisi üzerinden email atmasına izin veren SMTP serverlarıdır. Böle durumlarda email başlıngıcında olan “Received from” (Gönderen kişi) kısmında sadece kurban olmuş SMTP serverının adını görürüz.
Not:
Açık serverlar için daha fazla bilgi için http://www.menandmice.com/9000/9221_mail_relay.html
Bir Yasa Olmalı
Bazı Amerikan eyaletlerinde e-mail spoofing e karşı yasalar konmuşturi Çoğu eyalet anti-spam için yasalar koymuştur, örnek olarak Washington, Maryland ve Illinois, bu eyaletler açık serverların kullanımını yasaklamıştır, ayrıca Yanlış veya yanıltan email mesajlarıda yasaklanmıştır.
Bu yasamayı takip etmek dogal olarak çok zordur, spoof eden bir kişi kendi kimliğini sakladığı için bu kişi bulmak ve aleyhinde dava açmak çok zordur.Yinde de spam veya spoof yapan e-mailleri Federal Yetkililere bildirmek iyi bir fikirdir. uce@ftc.gov emailine bildirebilrsiniz. Ayrıca http://www.ftc.gov/bcp/conline/edcams/spam/ sitesindende ulaşabilirsiniz.
Teknik Çözümler
Yasalar bir derece korusada teknik bir problem için teknik bir çözüm daha etkilidir. Spoofing anlamanın bir yolu her email mesajını doğrulayan bir sistem yapmak. Sender Policy Framework (SPF) yeni ortaya çıkan standart, sahibi olan domain göndermek istediği mesajı DNS yoluyla tanımlar, sonra SMTP serverı email başlangıcına bakarak spoof olup olmadıgını anlar.
Bunun zor bölümü mail sistem yöneticileri gerekli SPF kayıtlarını yapmalıdırlar. Kullanıcılar “Simple Authentication and Security Layer (SASL) SMTP” yi email aterken kullanmak zorundadırlar. Bu yapılınca domain adından her hangi bir şekilde bilinmiyen bir yerden gelen mail yollanmaz vaya zorlanamaz.
Not:
SPF hakkında daha fazla bilgi için http://spf.pobox.com ve SASL için gerekli bilgi http://www.ietf.org/rfc/rfc2222.txt. mevcut.
Özetle:
E-mail spoof edilmesi büyüyen bir problem ve şu anda e-mail alıcı programınıza gelen maillerin gerçek olduğuna güvenmediğimiz bir noktaya ulaşmıştır. Yasalar başkalarının kimliği üzerinden mail atmayı yasaklasada şu anda en başarılı korunma yöntemi tekink korunma yöntemi olan SPF dir,bu dökümanda probleme ve korunma yöntemlerine baktık.
Kaynak : CW
