BreakSPF: Wie man den Angriff abwehrt

BreakSPF ist ein neu identifiziertes Angriffs-Framework, das Fehlkonfigurationen im Sender Policy Framework (SPF), einem weit verbreiteten E-Mail-Authentifizierungsprotokoll, ausnutzt. Eine häufige Fehlkonfiguration sind zu freizügige IP-Bereiche, in denen SPF-Einträge großen Blöcken von IP-Adressen erlauben, E-Mails im Namen einer Domain zu versenden. Diese Bereiche umfassen oft gemeinsam genutzte Infrastrukturen wie Cloud-Anbieter, Proxys oder Content Delivery Networks (CDNs).

BreakSPF macht sich dies zunutze, indem es solche Konfigurationen identifiziert und missbraucht, sodass Angreifer SPF-Prüfungen umgehen, gefälschte E-Mails versenden können, die legitim erscheinen, und gemeinsam genutzte Dienste manipulieren können, um nicht entdeckt zu werden.

Arten von BreakSPF-Angriffen

BreakSPF nutzt drei Hauptangriffsformen, um SPF-Schwachstellen auszunutzen, und zielt dabei sowohl auf HTTP- als auch auf SMTP-Server ab. Dazu gehören:

1. Angriffe mit fester IP-Adresse

Bei dieser Methode erlangen Angreifer langfristige Kontrolle über bestimmte IP-Adressen und nutzen sie als Mail Transfer Agents (MTAs), um gefälschte E-Mails zu versenden. Durch die Nutzung gemeinsam genutzter Infrastrukturen wie Cloud-Server und Proxys umgehen sie traditionelle Abwehrmaßnahmen wie Greylisting.

1. Angriffe mit dynamischer IP-Adresse

Hierbei bewerten Angreifer anfällige Domains dynamisch, indem sie sich ändernde ausgehende IPs überwachen und diese vorübergehend ausnutzen. Diese Methode stützt sich auf öffentliche Infrastrukturen wie serverlose Funktionen oder CI/CD-Plattformen, wodurch die herkömmliche IP-Blacklist unwirksam wird. Im Gegensatz zu Angriffen mit festen IP-Adressen wird die Abhängigkeit von bestimmten IP-Adressen vermieden, was die Komplexität erhöht und die Eindämmung erschwert.

1. Protokollübergreifende Angriffe

Bei protokollübergreifenden Angriffen betten Hacker SMTP-Daten in HTTP-Pakete ein und verwenden HTTP-Proxys oder CDN-Exit-Knoten, um sie an die Opfer weiterzuleiten. Durch die Ausnutzung gemeinsam genutzter Infrastrukturen wie offener HTTP-Proxys und CDN-Dienste verschmelzen diese Angriffe böswillige Aktivitäten mit legitimem Datenverkehr, wodurch sie besonders schwer zu erkennen und zu verfolgen sind.

Missverständnisse über SPF, die Ihre E-Mail-Sicherheit schwächen

Ein weit verbreitetes Missverständnis über SPF ist, dass es die sichtbare „Von“-Adresse in E-Mail-Clients authentifiziert. In Wirklichkeit verifiziert es die 5321.MailFrom-Adresse, auch bekannt als Rückgabepfad oder Bounce-Adresse, die nur in den E-Mail-Headern sichtbar ist.

Dieses Missverständnis führt oft dazu, dass Organisationen fälschlicherweise jedes sendende Tool zu ihren SPF-Einträgen hinzufügen. Die E-Mail-Expertin Laura Atkins von Word to the Wise erklärt es gut: „Einer der Fehler entsteht dadurch, dass viele Leute, sogar viele E-Mail-Experten, nicht immer wissen oder sich nicht immer daran erinnern, dass es in einer E-Mail zwei separate, aber gleich wichtige From:-Adressen gibt.“

SPF sollte nur Mechanismen für Nachrichten enthalten, die Ihre Organisationsdomäne im Rückgabepfad verwenden. Wenn im Rückgabepfad eine Subdomäne oder eine andere Domäne verwendet wird, muss diese nicht zum SPF-Eintrag Ihrer Hauptdomäne hinzugefügt werden, da sie nicht überprüft wird. Das Einfügen unnötiger Mechanismen verschwendet wertvollen SPF-Suchraum.

Schutz vor BreakSPF mit Red Sift OnDMARC

BreakSPF nutzt übermäßig freizügige SPF-Bereiche aus, sodass Angreifer DMARC umgehen und bösartige E-Mails versenden können, die authentifiziert erscheinen. Um dem entgegenzuwirken, ist es unerlässlich, nicht nur fehlerhafte, sondern auch fehlerfreie Quellen zu überprüfen, die unbekannt oder verdächtig erscheinen.

Red Sift Die Dynamic SPF-Funktion von OnDMARC schützt Ihre Domain, indem sie SPF-Datensätze kontinuierlich analysiert, um übermäßig zulässige Bereiche zu identifizieren und zu beheben. Dieser proaktive Ansatz trägt dazu bei, Ihre Sicherheitslage zu verbessern und Ihre Angriffsfläche zu verringern, indem sichergestellt wird, dass potenzielle Schwachstellen, die von BreakSPF ausgenutzt werden, behoben werden, bevor Schaden entsteht. OnDMARC erkennt und behebt auch Lücken in der Fehlkonfiguration von Protokollen und bietet so umfassenden Schutz.

OnDMARC-Benutzer profitieren außerdem von optimierten forensischen Berichten für die kontinuierliche Überwachung über Domänen und Subdomänen hinweg, einschließlich der Erkennung verdächtiger IP-Adressen. Darüber hinaus verhindert die Funktion „Dynamic SPF“ Probleme mit dem 10-DNS-Lookup-Limit, indem alle autorisierten Dienste in einer einzigen dynamischen Include-Anweisung zusammengefasst werden. Dadurch wird die SPF-Validierung für den gesamten legitimen Datenverkehr sichergestellt, unabhängig von der Anzahl der verwendeten sendenden Dienste.

Seien Sie Bedrohungen wie BreakSPF immer einen Schritt voraus – starten Sie noch heute Ihre kostenlose Testversion mit Red Sift OnDMARC!

Source: Red Sift-Blog

---

Sie haben Fragen? Ihr Ansprechpartner für D/A/CH

Do you have any questions? Your contact person for D/A/CH

Julian Wulff, Director Cyber Security Central Europe at Red Sift

* Kontakt über LinkedIn

Red Sift bei LinkedIn

---

Bild/Quelle: https://depositphotos.com/de/home.html