• 25

    DMARC – Usage and limitation

    DMARC is a great solution for preventing direct domain spoofing. When an email is sent by an unauthorized sender (whether it is sent by a malicious user, or even an unauthorized user of a department of the company that owns/operates the domain), DMARC can be used to detect the unauthorized activity and (if so configured) request that those messages be blocked or discarded when they are received.

    If the owners/operators of use DMARC to protect that domain, it would have no effect on, unless .NET is also DMARCISED

    Impersonating a given domain is a common method used for phishing and other malicious activities, there are other attack vectors that DMARC does not address.

    DMARC does not address cousin domain attacks (i.e. sending from a domain that looks like the target being abused – e.g. vs ), or display name abuse where the “From” field is altered to look as if it comes from the target being abused.


  • 25

    Why DMARC?

    People and companies around the world suffer from the high volume of spam and phishing on the Internet. Over the years several methods have been introduced to try and identify when mail from (for example) really is, or really isn’t coming from However:

    These mechanisms all work separately and isolated from each other
    Each receiver makes own decisions about evaluation of the results
    The legitimate domain owner (e.g – myrealcompany) never gets any feedback
    Enter DMARC.

    DMARC addresses the above short falls by providing coordinated, tested methods for:

    Domain owners to:
    Signal that they are using email authentication (SPF, DKIM)
    Provide an email address to gather feedback about messages using their domain –wether legitimate or not
    A policy(report, quarantine, reject) to apply to messages that fail authentication
    Email receivers to:
    Be sure that a given sending domain is using email authentication
    Consistently evaluate SPF and DKIM along with what the end user sees in their inbox
    Determine the domain owner’s preference (report, quarantine or reject) for messages that do not pass authentication checks
    Provide the domain owner with feedback about messages using their domain
    DMARC is best implemented slowly (have u heard of a tree that has grown in a day 😛 ?)

    A domain owner who has deployed email authentication will begin using DMARC in “monitor mode” to collect data from participating receivers. As the data shows that their legitimate traffic is passing authentication checks, they will change their policy to request that failing messages be quarantined. As they grow confident that no legitimate messages are being incorrectly “quarantined”, they will move to a “reject” policy.


  • 25

    What is DMARC and how it can help us?

    DMARC, which stands for “Domain-based Message Authentication, Reporting & Conformance”, is an email authentication protocol. It builds on the widely deployed SPF and DKIM protocols, adding a reporting function that allows senders and receivers to improve and monitor protection of the domain from fraudulent email.

    DMARC makes it easier for email senders and receivers to determine whether or not a given message is the real email from the sender, and what to do if it isn’t. DMARC makes is easier to identify spam and phishing messages, and keep them out of users, customers and email inboxes. DMARC allows email senders and receivers to cooperate in sharing information about the email they send to each other

    If you want to remove the threat of direct domain spoofing, prevent spear phishing attacks the you must implement DMARC


  • 25

    What is SPF

    Sender Policy Framework (SPF) is an email validation system designed to detect and block forged or spoofed emails. This is done by verifying the sender’s email server before delivering all legitimate email to a recipient’s inbox.

    SPF allows an agency to specify which servers are allowed to send emails for their domain and makes this information available for recipients to check.

    This is achieved when the network owner creates an SPF entry in the Domain Name System (DNS) record for their domain. The SPF entry will contain a list of domains or valid IP addresses authorized to send emails for their domain. When an email is sent to a network with SPF checking enabled, the recipient email server validates the sender’s domain against the published SPF record. That is, it confirms that the IP address
    of the sending server is on the allowed list for the domain; if it does not match, SPF verification will fail. The network owner can decide whether to block, quarantine or tag emails as suspicious after failing SPF verification.


  • 11

    เครือข่ายสแปมรั่ว !! ฐานข้อมูลผู้ใช้กว่า 1,400 ล้านรายชื่อหลุดสู่สาธารณะ

    เรียกได้ว่าเป็นหนึ่งในเหตุการณ์ Data Breach ครั้งใหญ่ที่สุดในปีนี้ เมื่อ Chris Vickery นักวิจัยด้านความมั่นคงปลอดภัยจาก MacKeeper และ Steve Ragan จาก CSOOnline ออกมาเปิดเผยถึงการรั่วไหลของฐานข้อมูลสำหรับเก็บไฟล์ข้อมูลสำรองบนเครือข่ายสแปมชื่อดัง River City Media (RCM) สู่สาธารณะ ซึ่งประกอบด้วยข้อมูลส่วนบุคคลของผู้ใช้รวมแล้วกว่า 1,400 ล้านรายชื่อ

    RCM ก่อตั้งโดย Matt Ferrisi และ Alvin Slocombe ซึ่งอ้างตัวเองว่าเป็นบริษัทด้านการตลาดอย่างถูกกฎหมาย แต่เบื้องหลังได้ทำการส่งอีเมลสแปมหลายพันล้านฉบับไปยังผู้ใช้ในแต่ละวัน

    ฐานข้อมูลของ RCM ที่รั่วไหลออกมานี้ประกอบด้วยเอกสารข้อมูลความลับเกี่ยวกับการดำเนินงานของ RCM และข้อมูลส่วนบุคคลของผู้ใช้กว่า 1,400 ล้านรายชื่อ ได้แก่ อีเมล ชื่อจริง หมายเลข IP และที่อยู่ ซึ่งทุกคนสามารถเข้าถึงได้โดยไม่จำเป็นต้องมี Username/Password ในการเข้าถึง

    Vickery ระบุว่า ตอนนี้ยังไม่สามารถยืนยันได้ 100% ว่า ข้อมูลที่รั่วไหลออกมาเป็นข้อมูลที่ถูกต้องจริง แต่เขาพบว่าที่อยู่ของคนรู้จักของเขาที่อยู่ในฐานข้อมูลดังกล่าวถูกต้อง ที่น่าสนใจคือ เอกสารการทำงานของ RCM ที่รั่วไหลออกมามีระบุถึงผลประโยชน์ที่ได้รับจากการส่งอีเมลสแปมด้วย กล่าวคือ แต่ละวัน RCM จะส่งอีเมลประมาณ 18 ล้านฉบับไปยัง Gmail และอีก 15 ล้านฉบับไปยัง AOL ซึ่งได้รับค่าตอบแทนกลับมาประมาณ $36,000 (ประมาณ 1.3 ล้านบาท)

    นอกจากนี้ RCM ยังใช้เทคนิคการแฮ็คมากมายเพื่อให้สามารถกระจายอีเมลสแปมไปให้ได้มากที่สุด หนึ่งในวิธีการที่ RCM ใช้เรียกว่า Slowloris Attacks ซึ่งเป็นการโจมตีที่ถูกออกแบบมาเพื่อเปิด Connection ระหว่างระบบของพวกเขาและ Gmail Server ให้ได้มากที่สุดผ่านการส่ง Response Packet กลับไปอย่างช้าๆ

    เพื่อตอบโต้การกระทำดังกล่าวของ RCM หลายบริษัทรวมไปถึง Spamhaus ได้ทำการแบล็คลิสต์ระบบของ RCM ทั้งหมดจากฐานข้อมูล Register of Known Spam Operations (ROKSO) เพื่อไม่ให้ RCM สามารถส่งอีเมลสแปมผ่านทางบริษัทของตนได้อีก


1 2 3 4 5 6 7 8 9