Yahoo e-mail anti-spoofing politik bryder mailinglister

I et forsøg på at blokere e-mail-forfalskningsangreb på yahoo.com-adresser begyndte Yahoo at indføre en strengere e-mail-valideringspolitik, der desværre bryder den sædvanlige arbejdsgang på legitime postlister.

Problemet er en ny DMARC (domænebaseret meddelelsesgodkendelse, rapportering og overholdelse) politik "afvise" annonceret af Yahoo til tredjeparts e-mail-servere, sagde John Levine, en lang tid e-mail-infrastruktur konsulent og præsident for koalitionen mod uopfordret kommerciel E-mail (CAUCE), i en meddelelse sendt til Internet Engineering Task Force (IETF) postliste mandag.

DMARC er en teknisk specifikation til implementering af SPF (Sender Policy Framework) og DKIM (DomainKeys Identified Mail) e-mail validerings- og godkendelsesmekanismer. Disse teknologier var designet til at forhindre forfalskning af e-mail-adresser, der ofte bruges i spam- og phishing-angreb.

Målet med DMARC er at opnå en ensartet implementering af SPF og DKIM blandt de bedste e-mail-udbydere og andre virksomheder, der ønsker at drage fordel af e-mail-validering.

Specifikationen introducerer konceptet med justerede identifikatorer, som kræver, at SPF- eller DKIM-valideringsdomænerne er de samme som eller underdomæner til domænet for e-mail-adressen i "fra" -feltet. Domæneejere kan bruge en DMARC-politikindstilling kaldet "p =" til at fortælle modtagende e-mail-servere, hvad der skal ske, hvis DMARC-kontrollen mislykkes. De mulige værdier for denne indstilling kan være "ingen" eller "afvise."

I løbet af weekenden offentliggjorde Yahoo en DMARC-post med "p = afvise" i det væsentlige at fortælle alle modtagende e-mail-servere at afvise e-mails fra yahoo.com-adresser, der ikke stammer fra dens servere, sagde Levine.

Selvom dette er godt set fra et anti-spoofing-perspektiv, skaber det problemer for legitime postlister, ifølge e-mail-eksperten.

"Lister bruger altid deres egen bounce-adresse i deres eget domæne, så SPF stemmer ikke overens," sagde Levine. "Lister ændrer generelt beskeder via emnekoder, body footers, vedhæftning af vedhæftede filer og andre nyttige funktioner, der bryder DKIM-signaturen. Så selv på den mest legitime listemail, som f.eks. IETF'erne, svigter det meste af mailen DMARC-påstandene, ikke på grund af listerne, der gør noget 'forkert'. "

Med en ny politik, når en Yahoo-bruger sender en e-mail til en mailingliste, distribuerer listens server denne meddelelse til alle abonnenter, skifter overskrifter og bryder DMARC-validering. Listeabonnenter med e-mail-konti på servere, der udfører DMARC-kontroller, såsom Gmail, Hotmail (Outlook.com), Comcast eller Yahoo, afviser den originale meddelelse og svarer tilbage til listen med automatiserede DMARC-fejlmeddelelser.

For eksempel svarer Gmail med en meddelelse, der lyder: "smtp; 550 5.7.1 Uautoriseret e-mail fra yahoo.com accepteres ikke på grund af domænes DMARC-politik. Kontakt administratoren af ​​yahoo.com-domænet, hvis dette var en legitim e-mail."

Så brugere af Gmail, Hotmail og andre DMARC-aktiverede udbydere undlader ikke kun at modtage meddelelser, der er sendt til postlisten af ​​Yahoo-brugere, men vil oversvømme listen med bounce-meddelelser og risikere at blive sprang ud af listen selv, sagde Levine.

E-mail-eksperten anbefalede, at postlisteoperatører suspenderer yahoo.com-brugernes liste over rettigheder til liste og beder dem om at abonnere på deres lister med konti fra forskellige e-mail-udbydere.

"Vi eksperimenterer i øjeblikket med en anti-misbrugsteknologi, der hjælper os med at beskytte vores brugere mod phishing og forfalskning," sagde en Yahoo-repræsentant via e-mail. "Som et resultat af dette eksperiment kan en lille procentdel af vores brugere, der bruger tjenesteudbydere eksternt til Yahoo, opleve problemer. Berørte brugere kan besøge vores hjælpeside for at lære mere. Vi beklager eventuelle ulemper, dette måtte have medført."

Yahoo offentliggjorde en hjælpeside med oplysninger om, hvordan dens nye DMARC-politik påvirker tredjepartsudbydere af e-mail-tjenester.

En test af Yahoos DMARC-poster tirsdag udført med et værktøj på dmarcian.com afslørede, at indstillingen "p = afvise" stadig var på plads til yahoo.com-domænet. Til sammenligning havde gmail.com en politikregistrering af "p = ingen", hvilket betyder, at den ikke fortæller andre e-mail-servere, hvordan man håndterer meddelelser fra gmail.com-adresser, der mislykkes DMARC-kontrol.

Laura Tessmer Atkins, medstifter af e-mail-konsulentfirmaet Word til the Wise med e-mail i Palo Alto, Californien, bekræftede og dokumenterede også spørgsmålet i et blogindlæg mandag. Hun mener, at Yahoo begyndte at annoncere for en "afvise" -politik på grund af et for nylig angreb på Yahoo-brugere, der involverede angribere, der kompromitterede yahoo.com-e-mail-konti og sendte uautoriserede e-mails til deres kontakter.

"Angriberne har ændret deres angreb og sender nu mail fra Yahoo-brugere til deres kontakter gennem andre servere," sagde Atkins. "Ved at offentliggøre ap = afvise post fortæller Yahoo andre systemer om ikke at acceptere e-mail fra Yahoo-brugere, hvis det ikke kommer via Yahoo-kontrollerede servere. Dette inkluderer mail fra angribere, men også e-mail fra almindelige Yahoo-brugere, der bruger en anden SMTP server, inklusive bulk mail sendt via ESPs [e-mail-tjenesteudbydere], og individuel mail sendt til mailinglister. "

DMARC.org, branchegruppen, der fører tilsyn med udviklingen og vedtagelsen af ​​DMARC-standarden, reagerede ikke med det samme på en anmodning om kommentar om Yahoo-situationen. Den ofte stillede spørgsmål på gruppens websted anerkender imidlertid interoperabilitetsproblemer, mailinglister kan have med DMARC og tilbyder nogle anbefalinger.

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.