image

Google verwijdert spam die in sent-folder Gmail-gebruikers verscheen

maandag 23 april 2018, 11:53 door Redactie, 5 reacties
Laatst bijgewerkt: 23-04-2018, 14:37

Google heeft spamberichten die dit weekend in de sent-folder van Gmail-gebruikers verschenen verwijderd, zo heeft de internetgigant via Hacker News laten weten. Gisteren klaagden honderden gebruikers op het Google-forum over spamberichten die in hun sent-folder waren verschenen. Daardoor leek het alsof de gebruikers deze spammails hadden verstuurd. Gebruikers dachten dan ook dat hun Gmail-account was gehackt.

Het bleek echter om gespoofte e-mailadressen te gaan, die reclame voor bitcoin en uitvaartverzekeringen maakten. Verschillende getroffen gebruikers melden dat de e-mails waren verstuurd via de Canadese telecomprovider Telus. In het geval de spamberichten niet konden worden afgeleverd kreeg het gespoofte Gmail-adres een "bounce" en verschenen de spammails in de sent-folder van het Gmail-adres.

Google stelt in een reactie dat gebruikers geen nieuwe spamberichten meer in hun sent-folder zouden moeten ontvangen en bestaande spamberichten de komende dagen worden verwijderd. Het probleem met gespoofte gmail-adressen is al geruime tijd bekend. Een onderzoeker meldde het al meer dan een jaar geleden, maar kreeg als reactie terug dat het niet als een "security bug" werd gezien. Naar aanleiding van het incident van dit weekend heeft Google aangegeven dat het meer informatie zal delen zodra het beschikbaar komt en relevant is.

Reacties (5)
23-04-2018, 12:11 door Anoniem
Hoe kan een Canadese provider nou SPF records verkeerd instellen waardoor het mogelijk wordt om het domein gmail.com te misbruiken.... Wazige verklaring die m.i. niet klopt.
23-04-2018, 13:10 door Briolet - Bijgewerkt: 23-04-2018, 13:12
Het probleem met gespoofte gmail-adressen is al geruime tijd bekend.

Daar vind ik echter niets over in beide link. Er wordt alleen gesproken over spoofed mail die in de IN-box komt, niet over de OUT-box.

Telus heeft het SPF record ook niet 'verkeerd' ingesteld. Ze hebben bewust ingesteld dat de mail ook via een GMail smtp server verstuurd mag worden.
Om dit soort ongein te voorkomen test DMARC niet het envelope adres bij SFP maar het echte from adres. Die faalt wel, waardoor DMARC ook faalt.

GMail faalt hier ook doordat ze hun DMARC policy nog steeds op 'none' hebben staan.
23-04-2018, 13:41 door Anoniem
De redactie hier heeft duidelijk geen kaas gegeten van SPF. bovenstaand is namelijk niet mogelijk.

Het probleem is dat gmail hun SPF records in "test mode" hebben staan, waardoor iedereen vanaf elk IP namens @gmail.com kan sturen en spoofen dus een fluitje van een cent is.
DMARC (combi DKIM/SPF) met policy=reject zou ook erg fijn zijn anno 2018.
Al met al dus een slechte beurt voor google.

gmail.com:
v=spf1 redirect=_spf.google.com

_spf.google.com:
v=spf1 include:_netblocks.google.com include:_netblocks2.google.com include:_netblocks3.google.com ~all
23-04-2018, 20:09 door Briolet
Door Anoniem: De redactie hier heeft duidelijk geen kaas gegeten van SPF. bovenstaand is namelijk niet mogelijk.

De opmerking over SPF is inmiddels door de redactie uit het stuk verwijderd. Een SPF die op 'soft-fail' ingesteld is, zoals de meesten doen, houdt nml niets tegen. Het verhoogt hooguit de spamscore van de mail.

Bedrijven zijn vaak bang om een hard fail in te stellen en dat daardoor mail niet aankomt als mensen de mail via een verkeerde smtp server versturen.

gmail.com:
v=spf1 redirect=_spf.google.com

Eigenlijk is het hier:
"v=spf1 redirect=_spf_telus_com.nssi.telus.com"

"v=spf1 exists:CL.%{i}.FR.%{l}.F2.%{o}.spf.nssi.telus.com include:_spf_telus.nssi.telus.com include:_spf_tq.nssi.telus.com include:_spf_tm.nssi.telus.com include:_spf_thps.nssi.telus.com include:_spf.google.com ~all"

Want de envelope-from is "telus.com". Het commando "exists" is echter zo krom geformuleerd dat het altijd een 'pass' geeft. Maar ook al zou het een fail zijn, een soft-fail wordt altijd nog afgeleverd.

Het echte probleem is bij google dat een gebounced mailtje blijkbaar in de send box van een gespoofde afzender zette.
24-04-2018, 12:56 door Anoniem
SPF kijkt ook nog eens naar het return path en niet naar de From zoals je dat in je mail client te zien krijgt. Nog los van het feit dat SPF veels te kwetsbaar is en eigenlijk alleen maar gebruikt zou moeten worden voor DMARC en verder niet.

Nog los daarvan kan je DMARC/DKIM/SPF implementeren tot je een ons weegt (en ik kan je aanraden dat te doen!) maar het valt en staat nog steeds bij de ontvanger. Bijna alle iedereen negeert SPF omdat het zo vaak stuk gaat en ook DKIM word zeer regelmatig wel gechecked maar zonder verdere actie. Enkel DMARC geeft nog een klein beetje zekerheid, maar ook dit valt of staat ook weer bij de ontvanger.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.