جدول محتوایی

آموزش تنظیمات DNS برای ایمیل فیشینگ در دامنه های استفاده نشده

همانطور که می دانید، جعل ایمیل یا ایمیل فیشینگ به مهاجمان این امکان را می دهد که خود را به عنوان شخص دیگری برای کسب سود غیرقانونی نشان دهند.

برای مثال، من فقط از [email protected] برای ارتباط استفاده می‌کنم، اما ممکن است شخصی یک ایمیل جعلی ایجاد کند، مثلاً [email protected]، تا کسی را فریب دهد. این کار را ایمیل فیشینگ با هدرهای جعلی میگویند که در بخش زیر میتوانید نمونه ای از ان را مشاهده کنید:

Date: Thu, 24 Oct 2021 12:46:10
<From: nixCraft <[email protected]
Reply-To: [email protected]
<To: <my@personal_gmail_com

 

هدرهای صحیح اغلب با دریافت سرورهای ایمیل بررسی نمی شوند و my@personal_gmail_com ممکن است فکر کند که ایمیل از طرف من است.

این در صورتی است که من اصلاً از opensourceflare.com برای ارتباط ایمیل استفاده نمی کنم. بنابراین چگونه از ترافیک ایمیل غیر قانونی در دامنه خود جلوگیری کنم؟ در این آموزش، نحوه پیکربندی تنظیمات DNS را توضیح خواهم داد که به سرورهای دریافت کننده ایمیل بگوییم این دامنه برای اهداف ایمیل پیکربندی نشده است و مهاجم به طور مخرب از طرف من ایمیل ارسال می کند.

پیش از ادامه ی مقاله ، در صورت نیاز به خرید سرور مجازی ایران به سایت ایرانیکاسرور مراجعه کرده و از پلن های فوق العاده با قیمت های عالی دیدن کنید.

 

تنظیمات DNS برای جلوگیری از جعل و فیشینگ در دامنه استفاده نشده

هرگونه پیکربندی نادرست DNS منجر به عدم ارسال ایمیل می شود. بنابراین، مطمئن شوید که رکوردهای زیر را فقط در صورتی تنظیم می کنید که هیچ ایمیلی در دامنه خود ارسال و دریافت نمی کنید.

نویسنده هیچ مسئولیتی در قبال پیکربندی اشتباه ندارد. اگر با وجود خواندن این هشدار ترسناک اشتباهاً چنین رکوردی را تنظیم کردید، گزارش ایمیل را زیر نظر بگیرید و رکورد DNS را حذف کنید تا عمل خنثی شود.

 

تنظیم یک رکورد NULL DNS MX

MX مخفف کلمه تبادل ایمیل است. این رکورد، ایمیل ها را به سرور ایمیل صحیح هدایت می کند. اغلب ما چندین رکورد MX برای یک دامنه داریم. به عنوان مثال، می توانید از دستور host یا دستور dig برای دریافت لیستی از تمام رکوردهای MX استفاده کنید:

host -t MX {your-domain-here}
dig MX {your-domain-here}
dig +short MX {your-domain-here}
host -t MX cyberciti.biz
dig +short MX cyberciti.biz

ایمیل فیشینگ

 

اقدامات لازم

بنابراین زمانی که برای دامنه خود ایمیل ارسال و دریافت نمی کنید، MX را روی NULL قرار می دهید. مثلا:

dig +short MX opensourceflare.com
host -t MX opensourceflare.com

 

خروجی شما به صورت زیر خواهد بود:

opensourceflare.com mail is handled by 0 .

 

در اینجا نحوه تنظیم رکوردهای NULL MX برای دامنه در فایل منطقه شما آمده است:

opensourceflare.com.	1	IN	MX	0 .

بنابراین اکنون، اگر کسی بخواهد ایمیل شما ارسال یا جعل کند، مثلاً با استفاده از [email protected]، بسته به نرم افزار smptd با خطا مواجه می شود:

DNS Error: 913429 DNS type 'mx' lookup of opensourceflare.com responded with code NOERROR The domain opensourceflare.com doesn't receive email according to the administrator: returned Null MX https://www.rfc-editor.org/info/rfc7505 

 

تنظیم یک رکورد DNS SPF

از چارچوب قوانین فرستنده (SPF) برای کمک به محافظت از دامنه خود در برابر جعل و کمک به جلوگیری از علامت‌گذاری پیام‌های خروجی به عنوان هرزنامه استفاده کنید.

از این طریق، به نظر می رسد SPF برای cyberciti.biz که در آن فقط AWS SES و Google/Gmail مجاز به ارسال ایمیل  از طرف دامنه من هستند. این شامل لیستی از تمام آدرس های IP یا شامل یک رکورد DNS دیگر است:

host -t TXT {your_domain_com}
dig TXT {your_domain_com}
host -t TXT cyberciti.biz
dig TXT cyberciti.biz

 

نمونه خروجی:

cyberciti.biz descriptive text "v=spf1 include:amazonses.com include:_spf.google.com ~all"
آدرس‌های IP زیر از دستورالعمل‌های includes و IP4/IP6 در این رکورد SPF دامنه گرفته شده‌اند:
cyberciti.biz.
amazonses.com
199.255.192.0/22
199.127.232.0/22
54.240.0.0/18
69.169.224.0/20
23.249.208.0/20
23.251.224.0/19
76.223.176.0/20
54.240.64.0/19
54.240.96.0/19
52.82.172.0/22
_spf.google.com
_netblocks.google.com
35.190.247.0/24
64.233.160.0/19
66.102.0.0/20
66.249.80.0/20
72.14.192.0/18
74.125.0.0/16
108.177.8.0/21
173.194.0.0/16
209.85.128.0/17
216.58.192.0/19
216.239.32.0/19
_netblocks2.google.com
2001:4860:4000::/36
2404:6800:4000::/36
2607:f8b0:4000::/36
2800:3f0:4000::/36
2a00:1450:4000::/36
2c0f:fb50:4000::/36
_netblocks3.google.com
172.217.0.0/19
172.217.32.0/20
172.217.128.0/19
172.217.160.0/20
172.217.192.0/19
172.253.56.0/21
172.253.112.0/20
108.177.96.0/19
35.191.0.0/16
130.211.0.0/22

 

اقدامات لازم

اکنون نگاهی به رکوردهای SPF opensourceflare.com بیندازید:

host -t TXT opensourceflare.com $

 

خروجی:

opensourceflare.com descriptive text "v=spf1 -all"

 

SPF همیشه fail خواهد شد. به عبارت دیگر، هیچ آدرس IP مجاز به ارسال ایمیل از طرف دامنه من نیست و در اینجا نحوه تنظیم چنین رکوردی در فایل منطقه آمده است:

opensourceflare.com.	1	IN	TXT	"v=spf1 -all"

 

 

تنظیم یک رکورد DKIM

ما یک رکورد DKIM DNS تنظیم کردیم تا از جعل ایمیل در پیام‌های خروجی ارسال شده از دامنه شما جلوگیری کنیم. مثلا:

host -t TXT google._domainkey.cyberciti.biz $

 

نمونه خروجی:

google._domainkey.cyberciti.biz descriptive text "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAlXtL1tL+0WrwdEldIO0ZED1hmaQJ9AcAA/eN3wMDUd723+MSR+vIqOrp2Bu5rKIPvm3IdADx+Av5UGmQ1UwU/TuJR+T+p5nW9bymUgJGqM8pp+Pg+YPsD4EEu+ClBwt8gExE6BYM/CK17djlrBnv9vbzUkK9IvhGr1UggUaz9N3BDCPRq/0PAhDYiwm18QN+s" "S8j8I3Iuv25oSUz20NYQ2R4PEZFN6dQcPuuwYCC0Ntjip2r/vonwv4LBFgqjEBJfyeuPlGiE+KagxtAI5s1lvIGNGw937vT5FkpmMXe0czJKrKEm0j/RiKb1fgYbjGJndX9x2uNELcqCwP2NQ06PwIDAQAB"
بنابراین من DKIM را راه‌اندازی کردم که یک علامت رمزگذاری شده به سربرگ همه پیام‌های خروجی اضافه می‌کند. سرورهای ایمیلی که پیام‌های علامت گذاری شده را دریافت می‌کنند از DKIM برای رمزگشایی سرصفحه پیام استفاده می‌کنند و تأیید می‌کنند که پیام پس از ارسال تغییر نکرده است.

 

اقدامات لازم

در اینجا نحوه تنظیم NULL DKIM برای دامنه خود آورده شده است. به عنوان مثال، ورود منطقه dns:

*._domainkey.opensourceflare.com.	1	IN	TXT	"v=DKIM1; p="

 

حالا میتوانید ان را تایید کنید:

host -t TXT *._domainkey.opensourceflare.com $

 

نمونه خروجی:

*._domainkey.opensourceflare.com descriptive text "v=DKIM1; p="

 

به شکلی که:

  1. *._domainkey.opensourceflare.com : انتخابگر DKIM روی علامت عام تنظیم شده است.
  2. v=DKIM1 : رکورد بازیابی شده را به عنوان رکورد DKIM شناسایی می کند. باید اولین تگ در رکورد باشد.
  3. p: این المنت دوباره روی NULL تنظیم شده است. این بدان معناست که کلید عمومی به طور پیش فرض باطل شده است یا تنظیم نشده است. به عبارت دیگر، DKIP برای جلوگیری از جعل ایمیل برای همه انتخابگرها روی NULL تنظیم شده است.

 

 

خط مشی DMARC را تنظیم کنید

رکورد DMRC DNS به جلوگیری از ساخت آدرس پیام ایمیل جعل شده توسط مهاجم کمک می کند.

DMARC همچنین به شما امکان می دهد گزارش هایی را از سرورهای ایمیل درخواست کنید تا مشکلات احتمالی احراز هویت و فعالیت های مخرب پیام های ارسال شده از دامنه ی خود را بیابید. در بخش زیر می توانید دامنه ی من را مشاهده کنید:

dig TXT _dmarc.cyberciti.biz $ 

 host -t TXT _dmarc.cyberciti.biz $

 

نمونه خروجی:

_dmarc.cyberciti.biz descriptive text "v=DMARC1; p=reject; pct=100; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1; ri=2419200;"

 

اقدامات لازم

dmarc را به صورت زیر برای دامنه خود در فایل dns zone تنظیم کنید:

_dmarc.opensourceflare.com.	1	IN	TXT	"v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s;"

 

به صورتی که :

  1. _dmarc.opensourceflare.com. برابر است با تنظیم DMARC
  2. v=DMARC1; برابر است با اولین تگ در لیست TXT  که نسخه DMARC را نشان می دهد.
  3. p=reject; برابر است با  اینکه خط‌مشی رد کردن را روی ایمیلی تنظیم کنید که در آزمون DMARC ناموفق باشد
  4. sp=reject; برابر است با تنظیم خط مشی روی ایمیلی که در آزمون DMARC برای دامنه فرعی ناموفق باشد.
  5. adkim=s;  برابر است با اینکه حالت تراز را برای DKIM روی سخت تنظیم کنید
  6. aspf=s; برابر است با تنظیم حالت تراز برای SPF روی مود سخت

 

جمع بندی

در این بخش الگوی محدود کننده پیشنهادی را  NULL MX، DMARC، SFP برای دامنه شما قرار دادیم.

این دامنه از راه دور دریافت SMTPd (سرورهای پست الکترونیکی) را برای حذف همه ایمیل های دریافتی ارسال شده از دامنه من به نام opensourceflare.com پیشنهاد می کند:

opensourceflare.com.	1	IN	MX	0 .
opensourceflare.com.	1	IN	TXT	"v=spf1 -all"
*._domainkey.opensourceflare.com.	1	IN	TXT	"v=DKIM1; p="
_dmarc.opensourceflare.com.	1	IN	TXT	"v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s;"

 

خروجی گوگل ان در داشبورد DNS به صورت زیر خواهد بود :

ایمیل فیشینگ

 

 

اگر دامنه شما ایمیل ارسال نمی کند، این تنظیمات DNS را برای جلوگیری از جعل و فیشینگ تنظیم کنید

از دستور dig یا host برای تأیید تنظیمات DNS و جلوگیری از جعل و فیشینگ برای دامنه استفاده نشده برای اهداف ایمیل استفاده کنید:

host -t MX opensourceflare.com
host -t TXT opensourceflare.com
host -t TXT *._domainkey.opensourceflare.com
host -t TXT _dmarc.opensourceflare.com

 

جمع بندی

در این مقاله یاد گرفتید ، هنگامی که دامنه شما برای ارسال یا دریافت هیچ ایمیلی استفاده نمی شود، به این ترتیب از جعل و ایمیل فیشینگ با تنظیمات dns جلوگیری می کنید. موفق باشید!

 

 

 

11رای - امتیاز 5 ممنون از امتیازی که دادید..!