SPF (やDMARC) を突破する攻撃手法、BreakSPF | 朝から昼寝

SPF レコードで許可されている IPアドレスの実態がクラウドやプロキシ等の共用サービスのものであるケースは多く、それらの IPアドレスが第三者によって利用できる可能性があることを悪用し、SPF 認証を pass、結果的に DMARC 認証まで pass して詐称メールを送信できてしまうことを指摘した論文が公開されています。 この論文では、上記のような SPF の脆弱な展開に対する攻撃手法を BreakSPF と呼び、関連するプロトコルや基盤の実装に対する分析と共に、その内容が体系的にまとめられています。 本記事では、その論文を参照しながら、簡単に概要をまとめておきます。 補足事項 (2024/3/5) 本記事につきまして、(当サイトとしては) 多くのアクセスいただいているようで (ちょっとビビってま) す。まことに大変ありがたいことに色々とシェアいただいたりしたようです。 そこで、記事の

[ata00000]

主題じゃないが、SPF誤設定の「Too Many DNS Lookups」は、10回って制限が現代からすると少なすぎると思うんだよなぁ⋯

[iselegant]

なるほどね〜SPFの仕様とクラウドサービスのIPアドレス共用の相性の悪さが起因しているのね。

[d6rkaiz]

うちのドメインは問題なかったけど、途中にある SMTP over HTTP はかなりの数観測してる。

[wata88]

だからDKIMがあるみたいな部分はある

[lli]

spfはもう外してもいいかなーと思ってる。DKIMのドメイン揃えてdmarc通すだけとか。それ以上だとs/mimeやPGPでE2Eの電子署名などにする。

[sasasin_net]

BreakSPF 攻撃の論文の日本語解説だ。とても助かる

[wtatsuru]

IPアドレス共用だとSPF通るは確かに

[napsucks]

クラウドのメール送信サービスを使ってたらSPFに穴があくわな。

[tmatsuu]

「SPF レコードで許可されている IPアドレスの実態がクラウドやプロキシ等の共用サービスのものであるケース」あーなるほどですね。

[dev_tamura]

“IP アドレスを共用するクラウドサービス等において、外向けのメール送信用ポート (25/tcp、465/tcp) の通信を禁止”

[NOV1975]

この記事書いた人が悪いわけではないんだけど「SPF レコードで許可されている IPアドレスの実態がクラウドやプロキシ等の共用サービスのものである場合」はそりゃそうだろうとしかね。

[issyurn]

おれおれクラウド

[hecaton55]

なるほど

[Shinwiki]

“クラウドやプロキシ等の共用サービスのもの” そらそうやろとしか。論文にするほどの何かが…？

[Mirunayo]

IPv6 で解決しそう

[dorapon2000]

“SPF レコードで許可されている IPアドレスの実態がクラウドやプロキシ等の共用サービスのものであるケースは多く、それらの IPアドレスが第三者によって利用できる可能性があることを悪用し、SPF 認証を pass”

[stealthinu]

SPFでincludeしてるとその先で共用のIPアドレスとかが設定されててそこから騙れてしまうと。BreakSPFという名前を付けてる。色々と手法が出てくるな…

[mag4n]

ほーん

[z1h4784]

DMARCって意味あるんかなと思った。少なくともこの攻撃手法の前には単なる自動ドア

[chocomintice660]

確かにメールサーバを自前で立てる事が減ってる現代で送信元IPアドレスの認証なんてあまり意味ないかもな……

[katsyoshi]

majika!

[deep_one]

同じ送信サービスを使えば当然SPFのチェックはパスできる。そうなるとドメイン別のDKIM署名がやはり必須か。