Door Anoniem, vandaag 09:59: "@Erik van Straten: SMTP authenticatie heeft geen invloed op headers, dus spoofing is in principe mogelijk."
met SMTP auth weet je dat er niet zo vlug een buitenstaander van een andere toko via eduroam de delftse mailer misbruikt. de stelling heeft geen invloed is onjuist. heeft wel invloed maar is ook weer niet 100% dekkend want er kunnen nog immers delftse mensen doen alsof ze mail versturen van anderen.
Dank! Bovendien is de "pakkans" na klachten zeer groot: met de juiste logging weet je wie de dader is of wiens account is gehacked. Binnen de meeste organisaties (waaronder universiteiten) is het onvermijdelijk dat je medewerkers, studenten etc. tot op zekere hoogte moet kunnen vertrouwen, waarbij je het restrisico kunt beperken middels (de dreiging van) sancties.
Ik noemde eerder bewust gmail: ook (nauwelijks te pakken) criminelen maken daar accounts aan. Ik heb het niet getest, maar het zou mij verbazen als je met een gmail-account namens een andere gmail-gebruiker (d.w.z. diens SMTP-adres) mail zou kunnen verzenden (zowel wat betreft envelope-from als het in mail clients getoonde afzenderveld).
Echter, spoofing door de naam tussen "" in die van een ander te veranderen kan mogelijk wel, en is in de praktijk uiterst effectief voor phishing-mails omdat mail clients (MUA's), vooral op mobiele devices, het SMTP-afzenderadres niet tonen achter From (of ontvangers dat niet checken of niet weten dat het niet klopt).
Spoofing van namen kan overigens op veel meer (mogelijk onverwachte) plaatsen, check bijv. deze maar:
https://twitter.com/realDonaldTrump/status/890617797956456448 (dat is géén tweet van Donald J. Trump, terwijl je wel bij zijn account uitkomt als je
https://twitter.com/realDonaldTrump opent).
Door Anoniem, gisteren 12:33: Wat is hier nou zo bijzonder aan? Er is geen authenticatie van headers in SMTP email. Je kan er letterlijk nooit op vertrouwen dat From aangeeft van wie de email vandaan komt.
Dat geldt precies zo voor papieren post. Bijna niemand lijkt zich er druk om te maken dat een afzender achterop een envelop en/of genoemd in de brief hartstikke nep kan zijn.
Door Anoniem, gisteren 12:33: Dit is bij elke pure SMTP server zo.
Niet onbeperkt; goed geconfigureerde pure SMTP servers proberen al heel lang te voorkómen dat ze als open relay misbruikt kunnen worden (d.w.z. dat e-mail van een externe afzender naar een externe ontvanger wordt geblokkeerd, maar of dat ook altijd voor het in mail clients getoonde from veld geldt, betwijfel ik).
Met wisselend succes zijn er bovendien allerlei lapmiddelen tegenaan gegooid, waaronder SPF, DKIM en DMARC. In
https://security.nl/posting/785673 beschreef ik de situaties die ik ken waarin je niets hebt aan DMARC. Zie
https://security.nl/posting/767981 voor details over de ellende met Microsoft's "safe senders" (waarvan ik de huidige status niet ken).
Door Anoniem, gisteren 12:33: Overigens kan ik me nog de tijd herinneren (in deze eeuw nog) dat het universteitsnetwerk wereldwijd open stond bij de TU Delft. Je kon bijvoorbeeld als buitenstaander printopdrachten sturen naar printers. Academische vrijheid.
Dat was niet omwille van academische vrijheid, maar omdat het zo gegroeid was. Toen het door mij aangelegde lokale netwerkje (in een Natuurkunde-vakgroep aan die TU), met daarin enkele DOS PC's (met PC-NFS) en een door mij beheerde Sun computer, aan "internet" gekoppeld werd, moesten firewalls nog worden uitgevonden en bevatte /etc/password op die Sun ("world" readable) zwakke wachtwoordhashes van voornamelijk zwakke wachtwoorden. Later heb ik luid en veelvuldig aangedrongen op allerlei TU-brede beveiligingsmaatregelen - waarvan de implementatie altijd langer duurde dan wenselijk/noodzakelijk was.
Puur reactieve beveiligingsmaatregelen zijn, allesbehalve beperkt tot universiteiten, gebruikelijk; voor nagenoeg
alle organisaties (ook dienstverleners zoals cloudproviders) geldt dat er eerst een kalf moet verdrinken voordat men de put dempt. Voor die 2,6 miljard mensen wiens gegevens in de afgelopen twee jaar op straat zijn beland, is dat helaas te laat (
https://www.apple.com/ca/newsroom/2023/12/report-2-point-6-billion-records-compromised-by-data-breaches-in-past-two-years/).