Yahoo anti-spoofingbeleid voor e-mail verbreekt mailinglijsten

In een poging om e-mailspoofing-aanvallen op yahoo.com-adressen te blokkeren, begon Yahoo een strikter e-mailvalidatiebeleid op te leggen dat helaas de gebruikelijke workflow op legitieme mailinglijsten doorbreekt.

Het probleem is een nieuw DMARC (Domain-based Message Authentication, Reporting and Conformance) "weiger" -beleid dat door Yahoo wordt geadverteerd aan e-mailservers van derden, zei John Levine, een lange tijd consultant voor e-mailinfrastructuur en voorzitter van de Coalition Against Unsolicited Commercial E-mail (CAUCE), in een bericht dat maandag naar de mailinglijst van Internet Engineering Task Force (IETF) is gestuurd.

DMARC is een technische specificatie voor het implementeren van de e-mailvalidatie- en authenticatiemechanismen van SPF (Sender Policy Framework) en DKIM (DomainKeys Identified Mail). Deze technologieën zijn ontworpen om spoofing van e-mailadressen te voorkomen die vaak wordt gebruikt bij spam- en phishing-aanvallen.

Het doel van DMARC is om een ​​uniforme implementatie van SPF en DKIM te bereiken bij de beste e-mailserviceproviders en andere bedrijven die willen profiteren van e-mailvalidatie.

De specificatie introduceert het concept van uitgelijnde identificatoren, wat vereist dat de SPF- of DKIM-validatiedomeinen hetzelfde zijn als of subdomeinen van het domein voor het e-mailadres in het veld "van". De domeineigenaren kunnen een DMARC-beleidsinstelling genaamd "p =" gebruiken om ontvangende e-mailservers te vertellen wat er moet gebeuren als de DMARC-controle mislukt. De mogelijke waarden voor deze instelling kunnen "geen" of "weigeren" zijn.

In het weekend publiceerde Yahoo een DMARC-record met "p = reject" waarin in wezen alle ontvangende e-mailservers werd verteld om e-mails van yahoo.com-adressen die niet afkomstig zijn van hun servers te weigeren, zei Levine.

Hoewel dit vanuit een anti-spoofing perspectief een goede zaak is, roept het volgens de e-mailexpert problemen op voor legitieme mailinglijsten.

"Lijsten gebruiken steevast hun eigen bounce-adres in hun eigen domein, dus de SPF komt niet overeen," zei Levine. "Lijsten wijzigen berichten over het algemeen via onderwerptags, body-voetteksten, strippen van bijlagen en andere nuttige functies die de DKIM-handtekening verbreken. Dus zelfs bij de meest legitieme lijstmail, zoals bijvoorbeeld de IETF's, slaagt de meeste mail niet in de DMARC-beweringen, niet in doordat de lijsten iets 'verkeerds' doen. "

Met het nieuwe beleid, wanneer een Yahoo-gebruiker een e-mail naar een mailinglijst stuurt, verspreidt de server van de lijst dat bericht naar alle abonnees, wijzigt de kopteksten en verbreekt de DMARC-validatie. Maak een lijst van abonnees met e-mailaccounts op servers die DMARC-controles uitvoeren, zoals Gmail, Hotmail (Outlook.com), Comcast of Yahoo zelf, zullen het oorspronkelijke bericht weigeren en reageren op de lijst met geautomatiseerde DMARC-foutmeldingen.

Gmail antwoordt bijvoorbeeld met een bericht dat luidt: "smtp; 550 5.7.1 Niet-geverifieerde e-mail van yahoo.com wordt niet geaccepteerd vanwege het DMARC-beleid van het domein. Neem contact op met de beheerder van het yahoo.com-domein als dit een legitieme e-mail was."

Dus gebruikers van Gmail, Hotmail en andere DMARC-compatibele providers zullen niet alleen geen berichten ontvangen die door Yahoo-gebruikers naar de mailinglijst zijn gestuurd, maar zullen de lijst overspoelen met bounce-berichten, met het risico zelf van de lijst te worden gestuiterd, zei Levine.

De e-mailexpert adviseerde dat mailinglist-operators de rechten voor het posten van lijsten van yahoo.com-gebruikers opschorten en hen vragen zich opnieuw op hun lijsten te abonneren met accounts van verschillende e-mailproviders.

"We zijn momenteel aan het experimenteren met een antimisbruiktechnologie die ons helpt onze gebruikers te beschermen tegen phishing- en spoofingaanvallen", zei een Yahoo-vertegenwoordiger via e-mail. "Als gevolg van dit experiment kan een klein percentage van onze gebruikers die externe serviceproviders gebruiken, problemen ondervinden. Betrokken gebruikers kunnen onze helppagina bezoeken voor meer informatie. Onze excuses voor het ongemak dat hierdoor is veroorzaakt."

Yahoo heeft een helppagina gepubliceerd met informatie over hoe het nieuwe DMARC-beleid van invloed is op externe e-mailserviceproviders.

Een test van Yahoo's DMARC-records die dinsdag werd uitgevoerd met een tool op dmarcian.com, toonde aan dat de "p = reject" -instelling nog steeds van kracht was voor het yahoo.com-domein. Ter vergelijking: gmail.com had een beleidsrecord van "p = none", wat betekent dat het andere e-mailservers niet vertelt hoe ze moeten omgaan met berichten van gmail.com-adressen die niet voldoen aan DMARC-controles.

Laura Tessmer Atkins, mede-oprichter van het e-mail antispamadviesbureau Word to the Wise gevestigd in Palo Alto, Californië, bevestigde en documenteerde het probleem ook maandag in een blogpost. Ze is van mening dat Yahoo is begonnen met het adverteren voor een 'weiger'-beleid vanwege een recente aanval op Yahoo-gebruikers waarbij aanvallers inbreuk maakten op e-mailaccounts op yahoo.com en onbevoegde e-mails naar hun contacten stuurden.

"De aanvallers hebben hun aanvallen aangepast en sturen nu e-mail van Yahoo-gebruikers naar hun contacten via andere servers", zei Atkins. "Door ap = reject record te publiceren, vertelt Yahoo andere systemen om geen mail van Yahoo-gebruikers te accepteren als deze niet via door Yahoo gecontroleerde servers binnenkomt. Dit omvat de mail van de aanvallers, maar ook mail van gewone Yahoo-gebruikers die een andere SMTP gebruiken server, inclusief bulkmail die wordt verzonden via ESP's [e-mailserviceproviders] en individuele mail die naar mailinglijsten wordt gestuurd. "

DMARC.org, de branchegroep die toezicht houdt op de ontwikkeling en invoering van de DMARC-standaard, reageerde niet onmiddellijk op een verzoek om commentaar over de Yahoo-situatie. Het gedeelte met veelgestelde vragen op de website van de groep erkent echter de interoperabiliteitsproblemen die mailinglijsten kunnen hebben met DMARC en biedt enkele aanbevelingen.

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.