스푸핑 된 이메일에 답장
동료가 다음과 같은 원치 않는 이메일을 받았습니다.
친애하는 Ms. Smith
프로젝트 Y에 관한 문서 X를 받으려면 다음 링크를 클릭하십시오.
당신 것,
이브 아무도
[email protected]
나는 동료에게 Eve Nobody에게 답장하고 이메일이 합법적인지 물어 보라고 제안했습니다. 회신 헤더를 변조 할 수 있으므로 Eve Nobody의 주소를 입력했습니다.
세 가지 가능한 시나리오를 가정합니다.
- Eve 아무도 존재하지 않으며 그녀는 이메일을 보냈습니다.
- Eve 아무도 존재하지 않지만 그녀는 이메일을 보내지 않았습니다.
- Eve Nobody가 존재하지 않으며 company.com의 이메일 서버가 오류 메시지로 회신합니다.
가능한 모든 시나리오에서 우리는 잠재적 인 스푸 퍼가 아닌 company.com 과만 상호 작용합니다. 따라서 나는이 행동 과정이 안전하다고 생각합니다.
내 조언이 타 당했습니까? 아니면 고려해야 할 다른 측면이 있습니까?
컨텍스트 :
- 우리는 학계 및 산업계와 함께 연구하는 회사이므로 해당 연구원과 함께 현재 프로젝트에 대한 많은 정보를 보유하고 있습니다. 따라서 초기 이메일에 포함 된 정보 (문서 X의 합리적인 제목 및 프로젝트 Y의 제목)는 홈페이지에서 수집 할 수 있습니다.
- company.com은 합법적 인 회사이며 당사의 일부 연구에 참여하고 있습니다.
답변
당신은 계정이 아닌 기존의 사람에게 초점을 맞추고 있습니다. Eve가 존재하고 이메일을 보내지 않았지만 그녀의 계정에 대한 액세스 권한이있는 누군가가 전송했으며 이메일이받은 편지함에 도달하지 못하도록 이메일 규칙을 입력했다고 가정합니다. 그 계정 으로 대화 를 계속할 수는 있지만 이브 자신 은 할 수 없습니다.
그래서 다음을 추가합니다.
- 계정이 존재하고 계정에서 이메일을 보냈지 만 Eve는 이메일을 보내지 않았습니다 (계정 손상됨).
- 계정이 있고 해당 계정에서 이메일이 전송되었지만 Eve는 존재하지 않습니다 (더미 계정).
두 경우 모두 답장을한다면 이브가 아닌 악의적 인 행위자로 답장하는 것일 수 있습니다.
가장 좋은 답변은 이메일 이외의 방법 (전화, 기타 연락처 정보 등)을 통해 Eve에게 연락하는 것입니다.
이브를 모른다면 후속 조치를 취할 이유가 없습니다.
그녀가 대표한다고 주장하는 회사와 거래하는 경우 해당 업체에서 사용하는 정기적 인 연락처에 연락 할 수 있습니다. 해당 계정이 보이는 것과 다를 수 있으므로 직접 연결하려고하지 마십시오 (예 : 손상된 계정 또는 이메일 클라이언트를 속이는 스푸핑 트릭).
메시지의 DMARC , SPF , DKIM 을 검사하여 합법적인지 확인할 수도 있습니다. 먼저 From 도메인이 올바른지 확인하십시오. 그런 다음 Authentication-Results메시지에서 헤더를 찾으십시오 . 이 추가 헤더에 둘러싸여 경우에만이를 신뢰 하여 이메일 인프라 (귀하의 회사가 사용하는 시스템은 메일을받을 수 있습니다). DMARC, SPF 및 DKIM이 무엇을 통과했는지 알려줍니다. 당신이 찾고있는 DMARC 정렬 (되었더라도 DKIM 헤더 d=값과 일치하는 From헤더의 도메인 또는 SPF 승인을, 어떤 수단에 대한 SPF 레코드를 찾는 From도메인 및 MX 레코드에 연결하는 시스템의 IP가 승인되는지 확인). 이를 검색 할 수있는 G Suite Toolbox Messageheader 와 같은 도구 가 있습니다 (하지만 Google 중심적입니다). SPF 또는 DKIM이 정렬을 통과하면 해당 도메인의 인프라에서 메시지를 합법적으로 보낸 것입니다 (하지만 손상된 계정에서 보낸 것인지는 알 수 없음).
오래 전 짧은 바지를 벗고 시스템 관리자로 첫 공연을했을 때 스팸 메일에 답장하여 스팸을 그만두라고 요청했습니다.
보낸 사람 주소가 실제로 스팸 배포 목록이었고 수천 명의 사람들이 내게 스팸 발송을 중지하라는 이메일을 받았습니다. 그런 다음 그들은 스팸을 보내지 않는다고 이메일로 답장했습니다. 어떻게 그렇게 생각할 수 있을까요?
그 이후로 나는 그것들을 베이지안 필터로 전달합니다.