Google verwijdert spam die in sent-folder Gmail-gebruikers verscheen
Google heeft spamberichten die dit weekend in de sent-folder van Gmail-gebruikers verschenen verwijderd, zo heeft de internetgigant via Hacker News laten weten. Gisteren klaagden honderden gebruikers op het Google-forum over spamberichten die in hun sent-folder waren verschenen. Daardoor leek het alsof de gebruikers deze spammails hadden verstuurd. Gebruikers dachten dan ook dat hun Gmail-account was gehackt.
Het bleek echter om gespoofte e-mailadressen te gaan, die reclame voor bitcoin en uitvaartverzekeringen maakten. Verschillende getroffen gebruikers melden dat de e-mails waren verstuurd via de Canadese telecomprovider Telus. In het geval de spamberichten niet konden worden afgeleverd kreeg het gespoofte Gmail-adres een "bounce" en verschenen de spammails in de sent-folder van het Gmail-adres.
Google stelt in een reactie dat gebruikers geen nieuwe spamberichten meer in hun sent-folder zouden moeten ontvangen en bestaande spamberichten de komende dagen worden verwijderd. Het probleem met gespoofte gmail-adressen is al geruime tijd bekend. Een onderzoeker meldde het al meer dan een jaar geleden, maar kreeg als reactie terug dat het niet als een "security bug" werd gezien. Naar aanleiding van het incident van dit weekend heeft Google aangegeven dat het meer informatie zal delen zodra het beschikbaar komt en relevant is.
Daar vind ik echter niets over in beide link. Er wordt alleen gesproken over spoofed mail die in de IN-box komt, niet over de OUT-box.
Telus heeft het SPF record ook niet 'verkeerd' ingesteld. Ze hebben bewust ingesteld dat de mail ook via een GMail smtp server verstuurd mag worden.
Om dit soort ongein te voorkomen test DMARC niet het envelope adres bij SFP maar het echte from adres. Die faalt wel, waardoor DMARC ook faalt.
GMail faalt hier ook doordat ze hun DMARC policy nog steeds op 'none' hebben staan.
Het probleem is dat gmail hun SPF records in "test mode" hebben staan, waardoor iedereen vanaf elk IP namens @gmail.com kan sturen en spoofen dus een fluitje van een cent is.
DMARC (combi DKIM/SPF) met policy=reject zou ook erg fijn zijn anno 2018.
Al met al dus een slechte beurt voor google.
gmail.com:
v=spf1 redirect=_spf.google.com
_spf.google.com:
v=spf1 include:_netblocks.google.com include:_netblocks2.google.com include:_netblocks3.google.com ~all
De opmerking over SPF is inmiddels door de redactie uit het stuk verwijderd. Een SPF die op 'soft-fail' ingesteld is, zoals de meesten doen, houdt nml niets tegen. Het verhoogt hooguit de spamscore van de mail.
Bedrijven zijn vaak bang om een hard fail in te stellen en dat daardoor mail niet aankomt als mensen de mail via een verkeerde smtp server versturen.
v=spf1 redirect=_spf.google.com
Eigenlijk is het hier:
"v=spf1 exists:CL.%{i}.FR.%{l}.F2.%{o}.spf.nssi.telus.com include:_spf_telus.nssi.telus.com include:_spf_tq.nssi.telus.com include:_spf_tm.nssi.telus.com include:_spf_thps.nssi.telus.com include:_spf.google.com ~all"
Want de envelope-from is "telus.com". Het commando "exists" is echter zo krom geformuleerd dat het altijd een 'pass' geeft. Maar ook al zou het een fail zijn, een soft-fail wordt altijd nog afgeleverd.
Het echte probleem is bij google dat een gebounced mailtje blijkbaar in de send box van een gespoofde afzender zette.
Nog los daarvan kan je DMARC/DKIM/SPF implementeren tot je een ons weegt (en ik kan je aanraden dat te doen!) maar het valt en staat nog steeds bij de ontvanger. Bijna alle iedereen negeert SPF omdat het zo vaak stuk gaat en ook DKIM word zeer regelmatig wel gechecked maar zonder verdere actie. Enkel DMARC geeft nog een klein beetje zekerheid, maar ook dit valt of staat ook weer bij de ontvanger.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
