SPF認証の突破について

コーヒーさん  
(No.1)
素朴な疑問なのですが、
SPF認証について、攻撃者が自身でメールサーバーとDNSサーバーを立ち上げて、攻撃対象にとって正規のドメインと攻撃者のメールサーバのIPアドレスをDNSサーバーに登録しておき、攻撃対象にメールを送付した場合、SPF認証は突破できてしまうのでしょうか。
もしくは、メールサーバに登録できるドメインは一つのIPアドレスにつき、一つのドメインしか不可というような制約があるのでしょうか(負荷分散の観点からこれはないと思ってますが、、)
2022.09.10 11:47
pixさん 
SC ダイヤモンドマイスター
(No.2)
>攻撃対象にとって正規のドメイン
この部分が何を指しているのかよくわかりませんでした。
ドメインとDNSサーバの紐付き関係について、曖昧と思われます。
SPF認証は送信メールのドメインのDNSサーバにSFPレコードを
確認にいきます。

・攻撃者(攻撃する側)が正規に取得したドメインの場合
攻撃者が管理するドメインなので、このドメインに登録されている
DNSサーバを編集する権利は攻撃者にあります。
そのため、攻撃者はこのDNSサーバにSPFレコードを登録可能です。

・攻撃対象(攻撃される側)のドメインの場合
攻撃者はこのドメインの管理権限がありません。
そのため攻撃者はこのドメインに登録されているDNSサーバの
SPFレコードは編集できません。
2022.09.10 19:15
コーヒーさん  
(No.3)
攻撃対象がa社で、正規の取引先がb社とした際、b社のドメインを攻撃者側で使用した(b社になりすます)場合、SPF認証は突破できるのかなと考えた次第です。
ただ、ドメインはb社管理であり、例え攻撃者側でメールサーバーとDNSサーバーを独自に用意し、b社ドメインと攻撃者IPを紐づけたSPFレコードを作成しようとした場合でも、管理権限がないので作成すら不可と理解しました。
2022.09.10 22:43
pixさん 
SC ダイヤモンドマイスター
(No.4)
多少不明点があるので、話を続けます。
>例え攻撃者側でメールサーバーとDNSサーバーを独自に用意し
このシナリオでは、攻撃者がDNSサーバーを用意しても使い道がありません。
攻撃者のDNSサーバーとb社のDNSサーバーの役割の区別が曖昧だったという
ことでしょうか?

b社のメールアドレスのメールを配信したメールサーバーのIPアドレスを
検査するためのSPFレコードはb社のDNSサーバーに登録されています。
攻撃者のDNSサーバーはここまでの流れで登場しません。

SPF認証以外の場面でも、ドメインとDNSサーバーの紐付き関係は
権限がない人間がアクセスできないように厳重に管理されています。
ここが外部から不正アクセスを受けてしまうと、SPF認証以外にも
サーバー証明書の不正発行、偽サーバへの誘導など、ありとあらゆる
なりすまし・偽装行為が可能になってしまいます。
2022.09.10 23:16
コーヒーさん  
(No.5)
攻撃者がb社のドメイン名と攻撃者のメールサーバのらIPアドレスを攻撃者のDNSサーバーに登録するイメージでしたが、最後ご回答いただいた箇所にて、普通は厳重に管理されているのでb社ドメインが攻撃者のDNSサーバーに登録されるはずはないということで承知しました。(ここができるようになったらSPFに限らず色々な認証が突破できてしまうということで、疑問は解消しました)
2022.09.11 15:56

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。

その他のスレッド


Pagetop