EMail Virus

Ja faz muito tempo que não vemos email contaminado com vírus, e isto não é por acaso ! desde o ano 2000 quando os vírus de Macro Word/Excell sumiram, já no ano de 2001,  90% dos vírus eram propagados por email, o mesmo email enviado pelo próprio vírus ! ainda estávamos no inicio da Internet, e muita coisa ainda estava sendo experimentada, e todos percebiam que havia uma falha muito grande no sistema de envio e recebimento de eMail, um protocolo “inocente” que facilitava o envio de email por programas nocivos.

 

Virus de Email

Virus de Email

 

BlackList de Email

O problema todo era, que naquela época não existia o que chamamos hoje de BlackList, a “lista negra” dos IPs, ou seja, todo servidor de email, que recebe o email , verifica esta lista negra para saber se o IP de quem esta enviado está ou não na lista negra, outra coisa que não era verificado, embora já existia, era a existência de um IP Reverso, ou seja, qualquer um poderia enviar email do próprio PC, usando o próprio IP recebido do provedor, e tudo que era enviado usando o PC da máquina do usuário chegava sem problema no destinatário, e esta vulnerabilidade, era aproveitado pelo virus … que usava o nome do PC contaminado para se “auto enviar”, algo como [email protected] (como remetente) e o destinatário era qualquer um que estivesse na página de email do PC contaminado.

 

IP Reverso

O IP Reverso é outra técnica usada hoje (além da análise do BlackList), qualquer email que chege a a nossa conta (seja hotmail, gmail ou nosso dominio), passa por verificações como , existência ou não do IP do remetente no BlackList e se tem ou não um IP Reverso; e isto diminuiu bastante o poder dos vírus, vírus que se propagam por email foram reduzidos praticamente a 0%.

Todo dominio (como hotmail.com) tem um número, o hotmail.com tem um IP correspondente,e o gmail vai verificar se o IP não está no BlackList para poder receber algo vindo do HotMail , é óbvio que o hotmail.com é um servidor altamente confiável … mas se um vírus usar algo como [email protected] , o ip de site.com.br sera verificado no BlackList, da mesma forma, se o IP correspondente a site.com.br for 11.22.33.44, o sistema vai fazer outra análise para saber de o dominio correspondente a 11.22.33.44 é realmente site.com.br, e se o domino foi criado aloatoriamente, o verificador de IP reverso já detecta que é um golpe e nao recebe nada de site.com.br, ou seja site.com.br -> 11.22.33.44, MAS 11.22.33.44 <> joao.com.br, e como ocorre isto ? existe uma lista de “Donos de IPS“, podemos verificar quem é o dono do IP usando um método chamado WHOIS, quando uma empresa compra uma faixa de IPs, o nome dela fica registrado, então é fácil saber se o email esta vindo de uma empresa séria, ou simplesmente inventada por vírus, quando é analisado o whois de 11.22.33.44 não veremos que o dono é site.com.br  e sim o nome de seu verdadeiro dono, é este o bloqueio por analise de IP Reverso.

Isto tudo desmontou o virus de email como vemos no gra´fico abaixo, obtido pelo Google Trends.

 

Virus Email

Vírus Email cai no Google Trends do Google

 

E a mágica toda é esta ! Qualquer PC, mesmo usando um IP dado da operadora (como é hoje), mesmo usando um IP volátil que troca a cada conexão, é possível criar um servidor de eMail completo, MAS você não conseguirá definir um IP reverso com um IP dado pela operadora para você simplesmente navegar.

Se examinarmos por exemplo, o IP dado para clientes da NET:

whois 187.107.148.208
% Joint Whois – whois.lacnic.net
% This server accepts single ASN, IPv4 or IPv6 queries
% Brazilian resource: whois.registro.br
% Copyright (c) Nic.br
% The use of the data below is only permitted as described in
% full by the terms of use at http://registro.br/termo/en.html ,
% being prohibited its distribution, comercialization or
% reproduction, in particular, to use it for advertising or
% any similar purpose.
% 2014-10-12 20:31:48 (BRT -03:00)inetnum: 187.104/14
aut-num: AS28573
abuse-c: GRSVI
owner: NET Serviços de Comunicação S.A.
ownerid: 000.108.786/0001-65
responsible: Grupo de Segurança da Informação Vírtua
country: BR
owner-c: GRSVI
tech-c: GRSVI
inetrev: 187.107.128/18
nserver: ns7.virtua.com.br
nsstat: 20141009 AA
nslastaa: 20141009
nserver: ns8.virtua.com.br
nsstat: 20141009 AA
nslastaa: 20141009
created: 20091118
changed: 20130307nic-hdl-br: GRSVI
person: Grupo de Segurança Vírtua
e-mail: [email protected]
created: 20080512
changed: 20090518% Security and mail abuse issues should also be addressed to
% cert.br, http://www.cert.br/, respectivelly to [email protected]
% and [email protected]
% whois.registro.br accepts only direct match queries. Types
% of queries are: domain (.br), registrant (tax ID), ticket,
% provider, contact handle (ID), CIDR block, IP and ASN.

 

Vemos ai que o IP que usamos pertence na verdade a operadora, que nos “Empresta” para navegar, se usarmos ele para enviar eMail a partir de nosso PC, teriamos que provar que nosso email esta vindo da NET e não de nossa casa, se enviarmos por exemplo um email de j[email protected], ao tentar obter informações do IP deveria aparecer o dno como site.com.br e nao Net Serviços … como não conseguiremos provar que o site.com.br é dono do IP, então o IP reverso não foi feito, neste caso ao receber eMail, o servidor simplesmente recusa e envia para a lixeira; e foi assim que os virus que enviavam email desapareceram da face da terra, assim como os dinossauros.

 

Ainda temos SPAM

Vale a pena falar de SPAM também … se vírus roubam nossas informações ( e dinheiro ) o SPAM também nos rouba coisas, e até dinheiro indiretamente … ele atrapalha boa parte de nosso dia tentando separar eMail que queremos daqueles que nos obrigam querer.

Acho que o maior problema do SPAM é que, ele trouxe e uma validação forte de qualquer eMail que recebemos, qualquer suspeita a mínima que seja, e o sistema envia nosso email para o purgatório da Lixeira ou caixa de SPAM, e muitas vezes é um eMail que precisamos e estamos esperando, e aquele eMail precioso se perde entre emails que não queríamos, talvez seja exatamente o que acontece depois que derrubaram as torres gêmeas em Nova Iorque, muita gente que não tem culpa, acaba sofrendo com o filtro que existe para entrada de estrangeiros … e este filtro atrapalha muito, porque as vezes ficamos revisando na lixeira se tem algum eMail ali quenos interessa, e muitas vezes tem … e este é um grave problema.

 

Email Confiável

E como saber se o email e´confiável ? sim, “fizeram coisas” além da lista negra de dominios (que aparece após o @ como @site.com.br), email confiável tem configuração também para:

  • X-Auth-Result
  • X-SID-Result
  • KDIM-Signature

Através de configuração das 3 variaveis (X-Auth-Restul, X-SID-Result e KDIM-Signature), este último, é gerado através de uma chave, um processo que vai deixar a entrega de email mais lenta, porém torna o email mais confiável e fora da Lixeira ou Caixa de Spam. É óbvio, quem faz spam ou spoofing, não pode usar isto.

 

Veja na imagem abaixo, o codigo fonte de uma conta de email bem configurado, para dar credibilidade a menasgem, note que X-Auth-Resul é marcado como PASS e não como NONE (NONE = email suspeito) o mesmo ocorre par X-SID-Result que tem valor PASS e não NONE; Já  o DKIMSignature exibe a configuração por chave.

 

Configuração de email confiável

Email Configurado para dar credibilidade a conta

 

Para obter o código fonte, basta pedir para exibir a origem da mensagem.

 

 

 

 

 

 


 

Deixar uma resposta

Confirmação anti-spam *