O E-mail Spoofing ocorre quando um usuário malicioso consegue alterar o cabeçalho de qualquer endereço de e-mail e modificar o remetente da mensagem original para um outro.

Isso permite ao atacante efetuar envios de emails como se fosse de uma determinada conta de e-mail. Neste material vamos abordar os seguintes pontos

 

Como funciona o ataque

 

O serviço de e-mail possui um funcionamento similar ao serviço dos Correios. Quando uma pessoa envia uma carta, ela pode colocar qualquer endereço de remetente - visto que os Correios não analisam a origem da carta, não tendo como realmente saber se a carta foi enviada à partir do remetente informado.

No serviço de e-mail não é diferente. Não há como impedir que outras pessoas efetuem envios como se estes fossem efetuados à partir de outras contas de e-mail. O serviço de e-mail é baseado no domínio. Quando enviamos um e-mail, o serviço entrega a mensagem para o servidor que o domínio aponta, ou seja, para o local em que o domínio esta hospedado.

Nesses casos, a mensagem de e-mail é enviada sem que o dono real da conta saiba deste envio.

 

Como saber se o e-mail esta sofrendo ataques spoofing

 

Se o atacante utilizar um e-mail válido, configurando no remetente uma conta do seu domínio, e os envios não sejam aceitos, você irá receber o retorno dessas mensagens na caixa de entrada da sua conta, mesmo você não tendo as enviado.

Como, por exemplo, retornos de e-mail com assunto “Failure Notification” ou “Mailer Daemon”.

 

Como a conta de e-mail que passou pelo ataque é afetada

 

Os filtros de Spam e ISPs (Provedores de serviços de internet) sabem que esse tipo de ataque existe e não penaliza os envios reais efetuados à partir de uma conta que foi utilizada para o e-mail spoofing.

Geralmente as blacklists mundiais de bloqueios de Spam, como as RBLs (Listas de servidores em tempo real), se baseiam no endereço IP ou outros indicadores a fim de decidir quem será bloqueado. Dessa forma, o sistema de filtro de spam irá procurar primeiro a origem do envio do IP, reportando este envio para os ISPs e Blacklists Mundiais de bloqueio (RBLs), contribuindo para impedir os envios de spoofing.