اكتشف علماء الكمبيوتر خللًا شائعًا ومنتشرًا بشكل صادم في خدمات تصفية البريد الإلكتروني العشوائي المستندة إلى السحابة في المؤسسات، بالإضافة إلى استغلال استغلال هذه الميزة. تكشف النتائج أن المؤسسات أكثر انفتاحًا على التهديدات السيبرانية المنقولة عبر البريد الإلكتروني مما تعلم.
في ورقة ستعرض في القادم مؤتمر ACM Web 2024 وفي سنغافورة في شهر مايو، لاحظ فريق البحث الأكاديمي المؤلف أن الخدمات المستخدمة على نطاق واسع من البائعين مثل Proofpoint، وBarracuda، وMimecast، وغيرهم يمكن تجاوزها في 80% على الأقل من المجالات الرئيسية التي فحصوها.
يمكن تجاوز خدمات التصفية إذا لم يتم تكوين موفر استضافة البريد الإلكتروني لقبول الرسائل التي تصل من خدمة تصفية البريد الإلكتروني فقط، كما يوضح سومانث راو، طالب دكتوراه في جامعة كاليفورنيا في سان دييغو والمؤلف الرئيسي للورقة البحثية. مستحق "غير مفلتر: قياس تجاوزات تصفية البريد الإلكتروني المستندة إلى السحابة".
قد يبدو ذلك واضحًا، ولكن ضبط عوامل التصفية للعمل جنبًا إلى جنب مع نظام البريد الإلكتروني للمؤسسة أمر صعب. يمكن أن يحدث هجوم التجاوز بسبب عدم التطابق بين خادم التصفية وخادم البريد الإلكتروني، من حيث مطابقة كيفية تفاعل خوادم البريد الإلكتروني في Google وMicrosoft مع رسالة قادمة من عنوان IP غير معروف، مثل العنوان الذي قد يستخدمه مرسلي البريد العشوائي.
ترفض خوادم Google مثل هذه الرسالة أثناء استلامها الأولي، بينما ترفضها خوادم Microsoft أثناء أمر "البيانات"، وهو عندما يتم تسليم الرسالة بالفعل إلى المستلم. يؤثر هذا على كيفية إعداد المرشحات.
المخاطر كبيرة بالنظر إلى ذلك تظل رسائل البريد الإلكتروني التصيدية هي آلية الوصول الأولية المفضلة لمجرمي الإنترنت.
يقول سيث: "إن مسؤولي البريد الذين لا يقومون بتكوين بريدهم الوارد بشكل صحيح للتخفيف من هذا الضعف يشبهون مالكي البريد الذين يستخدمون حارسًا للتحقق من بطاقات الهوية عند المدخل الرئيسي ولكنهم يسمحون للمستفيدين بالدخول من خلال باب جانبي غير مقفل وغير خاضع للمراقبة أيضًا". بلانك، مدير التكنولوجيا التنفيذي لشركة Valimail، وهي شركة متخصصة في توفير خدمات أمن البريد الإلكتروني.
صناديق البريد الوارد للمؤسسات مفتوحة على نطاق واسع للتصيد الاحتيالي
بعد الفحص إطار سياسة المرسل (SPF) - تكوينات محددة لـ 673 نطاقًا .edu و928 نطاقًا .com كانت تستخدم خوادم بريد إلكتروني من Google أو Microsoft جنبًا إلى جنب مع مرشحات البريد العشوائي التابعة لجهات خارجية، ووجد الباحثون أنه تم تجاوز 88% من أنظمة البريد الإلكتروني المستندة إلى Google، في حين تم تجاوز 78% من أنظمة البريد الإلكتروني المستندة إلى Google. % من أنظمة مايكروسوفت كانت.
وأشاروا إلى أن الخطر أكبر عند استخدام البائعين السحابيين، نظرًا لأن الهجوم الالتفافي ليس سهلاً عندما يتم وضع كل من التصفية وتسليم البريد الإلكتروني في أماكن العمل في عناوين IP معروفة وموثوقة.
تقدم الورقة سببين رئيسيين لمعدلات الفشل المرتفعة هذه: أولاً، تعتبر الوثائق اللازمة لإعداد كل من خوادم التصفية والبريد الإلكتروني بشكل صحيح مربكة وغير كاملة، وغالبًا ما يتم تجاهلها أو عدم فهمها جيدًا أو متابعتها بسهولة. ثانيًا، يخطئ العديد من مديري البريد الإلكتروني في الشركات فيما يتعلق بالتأكد من وصول الرسائل إلى المستلمين، خوفًا من حذف الرسائل الصالحة إذا قاموا بوضع ملف تعريف صارم للغاية. "وهذا يؤدي إلى تكوينات متساهلة وغير آمنة"، وفقا للصحيفة.
لم يذكر المؤلفون، ولكن هناك عامل مهم، وهو حقيقة تكوين جميع بروتوكولات أمان البريد الإلكتروني الثلاثة الرئيسية - نظام التعرف على هوية المرسل (SPF)، وإعداد تقارير مصادقة الرسائل المستندة إلى المجال والتوافق (DMARC)، والبريد المحدد بمفاتيح النطاق (DKIM) - ضروريان ليكونا فعالين حقًا في إيقاف البريد العشوائي. لكن ذلك ليس بالأمر السهل، حتى بالنسبة للخبراء. أضف ذلك إلى التحدي المتمثل في التأكد من أن الخدمتين السحابيتين للتصفية وتسليم البريد الإلكتروني تتواصلان بشكل صحيح، وتصبح جهود التنسيق معقدة للغاية. للتمهيد، غالبًا ما تتم إدارة منتجات التصفية وخادم البريد الإلكتروني بواسطة قسمين منفصلين داخل الشركات الكبيرة، مما يؤدي إلى زيادة احتمال حدوث الأخطاء.
وكتب المؤلفون: "تم تصميم البريد الإلكتروني، مثل العديد من خدمات الإنترنت القديمة، حول حالة استخدام بسيطة أصبحت الآن غير متوافقة مع المتطلبات الحديثة".
تأخر وثائق تكوين البريد الإلكتروني، مما يثير فجوات أمنية
تختلف الوثائق التي يقدمها كل بائع تصفية من حيث الجودة، وفقًا للباحثين. تشير الورقة إلى أن الإرشادات الموجودة على منتجات التصفية من TrendMicro وProofpoint معرضة للخطأ بشكل خاص ويمكن أن تؤدي بسهولة إلى تكوينات ضعيفة. حتى هؤلاء الموردين الذين لديهم وثائق أفضل، مثل Mimecast وBarracuda، ما زالوا ينتجون معدلات عالية من التكوين الخاطئ.
في حين أن معظم البائعين لم يستجبوا لطلب Dark Reading للتعليق، تقول Olesia Klevchuk، مديرة تسويق المنتجات في Barracuda، "إن الإعداد المناسب و"الفحوصات الصحية" المنتظمة لأدوات الأمان أمر مهم. نحن نقدم دليل فحص السلامة الذي يمكن للعملاء استخدامه لمساعدتهم على تحديد هذه التكوينات الخاطئة وغيرها.
وتضيف: "سيقدم معظم موردي تصفية البريد الإلكتروني، إن لم يكن جميعهم، الدعم أو الخدمات المهنية أثناء النشر وبعده للمساعدة في ضمان عمل حلولهم كما ينبغي. يجب على المنظمات الاستفادة بشكل دوري و/أو الاستثمار في هذه الخدمات لتجنب المخاطر الأمنية المحتملة.
يمتلك مسؤولو البريد الإلكتروني في المؤسسة عدة طرق لتقوية أنظمتهم ومنع حدوث هجمات التجاوز هذه. إحدى الطرق، التي اقترحها مؤلفو البحث، هي تحديد عنوان IP الخاص بخادم التصفية باعتباره المصدر الوحيد لجميع حركة مرور البريد الإلكتروني، والتأكد من عدم إمكانية انتحاله من قبل مهاجم.
كتب المؤلفون: "تحتاج المؤسسات إلى تهيئة خادم البريد الإلكتروني الخاص بها بحيث يقبل فقط البريد الإلكتروني من خدمة التصفية الخاصة بها".
تحدد وثائق Microsoft خيارات الدفاع عن البريد الإلكتروني وتوصي بتعيين سلسلة من المعلمات لتمكين هذه الحماية لنشر التبادل عبر الإنترنت، على سبيل المثال. والهدف الآخر هو التأكد من تحديد جميع بروتوكولات SPF وDKIM وDMARC بشكل صحيح لجميع النطاقات والمجالات الفرعية التي تستخدمها المؤسسة لحركة مرور البريد الإلكتروني. وكما ذكرنا سابقًا، قد يمثل ذلك تحديًا، خاصة بالنسبة للشركات الكبيرة أو الأماكن التي اكتسبت العديد من النطاقات بمرور الوقت ونسيت استخدامها.
وأخيرًا، هناك حل آخر، كما يقول Valimail's Blank، "هو أن يشمل تطبيق التصفية سلسلة الاستقبال المصادق عليها (RFC 8617) رؤوس البريد الإلكتروني، وأن تستهلك الطبقة الداخلية هذه الرؤوس وتثق بها.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cloud-security/cloud-email-filtering-bypass-attack
