Discussioni su virus e antivirus
 

DKIM puo' essere falsificato?

Alex 19 Gen 2017 17:30
Buongiorno a tutti,

mi chiedo (e vi chiedo :-) se DKIM può essere falsificato, perchè ho
ricevuto una mail, apparentemente inviata da me stesso a me stesso, che
ha il contrassegno DKIM (good segnature).
A questo punto o il mio server di posta si è fuso, oppure la firma DKIM
è falsificata.
Allego qui due mail, una buona e quella falsa. La buona me la sono
inviata come test.

Unica cosa che contraddistingue la mail buona da quella falsa (mi
sembra) è la circostanza che quella falsa non supera il test SPF. La
mail valida è senza test spf, perché è un rigiro interno di posta.

Ho provato a segure il link con un browser senza javascript e sembra
quasi innocente.

---- *mail* *buona*
From - Thu Jan 19 16:58:47 2017
X-Account-Key: account42
X-UIDL: UID9690-1436134112
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Authentication-Results: xx ******* xx;
dkim=pass (good signature) header.i=alessandro ******* xx
Return-Path: <alessandro ******* xx>
X-Original-To: info ******* xx
Delivered-To: info ******* xx
Received: from [192.168.1.100] (unknown [5.87.118.31])
by vs ******* xx (Postfix) with ESMTPSA id 3696910C29D6
for <info ******* xx>; Thu, 19 Jan 2017 16:58:42 +0100 (CET)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d ******* xx;
s=default; t=1484841522;
bh=g3zLYH4xKxcPrHOD18z9YfpQcnk/GaJedfustWU5uGs=; l=6;
h=To:From:Subject;
b=NU2LcTf7hjKTpiMRtIxU6BjyKPS1P2emdyzskuvWV0i0W2IacM1/udymPjMZo5R4F
7nxDsJjU10MEQA/keSk9IUSiY9IFy+SgoEyIm7mLg9OrzSP2r58RhYEHFhccXM1Qt0
S+CsgOozTt71gAUfNr4/VvFMUBLQFn2S427Bkyck=
To: info ******* xx
From: Alessandro <alessandro ******* xx>
Subject: test
Message-ID: <c4a140f7-8662-7338-6972-e2916a4cddd7 ******* xx>
Date: Thu, 19 Jan 2017 16:58:34 +0100
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101
Thunderbird/45.4.0
MIME-Version: 1.0
Content-Type: text/plain; charset=iso-8859-15; format=flowed
Content-Transfer-Encoding: 7bit

test

******************
------ *Falsa*
From - Thu Jan 19 16:53:59 2017
X-Account-Key: account42
X-UIDL: UID9688-1436134112
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Authentication-Results: xx ******* xx;
dkim=pass (good signature) header.i=info ******* xx
Return-Path: <info ******* xx>
X-Original-To: info ******* xx
Delivered-To: info ******* xx
Received: from [154.119.53.138] (unknown [154.119.53.138])
by vs ******* xx (Postfix) with ESMTP id C9DA010C25BD
for <info ******* xx>; Thu, 19 Jan 2017 15:43:04 +0100 (CET)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d ******* xx;
s=default; t=1484836985;
bh=fFkM+xWP2Hs9piTNqC5/x2HkfSJmFKgglb2nrhHk89g=; l=1430;
h=From:To:Subject;
b=llKXU7BOHoJAKofBwcAXNMH5e5kuaUHSzULD0lrDel7HEHczh9eRCp4uGQjNuLLB3
RqjyI3cVqbKUhKjWPBdi95h/S8srCs9z9kjpJ42Td1JgDVZRIqZyynqY5KnXcq50L5
Q+8vUA6VkBEuHXI7w7AHFiCkSA0iz2n6y8qdx/Bw=
Received-SPF: fail (xx ******* xx: domain of ******* xx does not
designate 154.119.53.138 as permitted sender) client-ip=154.119.53.138;
envelope-from=info ******* xx; helo=[154.119.53.138];
Message-ID: <CB4AB40C0435F2BC3DC37B734285CB4A@MUU7YB1>
From: <info ******* xx>
To: <info ******* xx>
Subject: Greetings
Date: 19 Jan 2017 17:39:06 +0100
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_001F_01D27273.0722028B"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5931
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5931

This is a multi-part message in MIME format.

------=_NextPart_000_001F_01D27273.0722028B
Content-Type: text/plain;
charset="cp-850"
Content-Transfer-Encoding: quoted-printable

Dear info,

We are looking for employees working remotely.

My name is Deborah, I am the personnel manager of a large International
=
company.
Most of the work you can do from ******* that is, at a distance.

Salary is $2100-$5900.

If you are interested in this offer, please visit=20
Our Site

d_healthBest regards!
------=_NextPart_000_001F_01D27273.0722028B
Content-Type: text/html;
charset="cp-850"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=3DContent-Type content=3D"text/html;
charset=3Dcp-850">
<META content=3D"MSHTML 6.00.2900.6058" name=3DGENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=3D#ffffff>
Dear info,<br>
<br>
We are looking for employees working remotely.<br>
<br>
My name is Deborah, I am the personnel manager of a large International
=
company.<br>
Most of the work you can do from ******* that is, at a distance.<br>
<b>Salary is $2100-$5900.</b><br>
<br>
If you are interested in this offer, please visit <a =
href=3D"http://rk-rugvica.hr/plugins/system/t3/base/css/"><b>Our =
Site</b></a><br>
<br>d_health
Best regards!<br></BODY></HTML>
------=_NextPart_000_001F_01D27273.0722028B--

--
Alex
Lidrie 19 Gen 2017 19:16
giovedì, mentre passaggiavo sull'argine del Net, ho trovato un foglio con
scritto:

> mi chiedo (e vi chiedo :-) se DKIM può essere falsificato, perchè ho
ricevuto
> una mail, apparentemente inviata da me stesso a me stesso, che ha il
> contrassegno DKIM (good segnature).

Come quello con cui rispondo?

> A questo punto o il mio server di posta si è fuso, oppure la firma DKIM è
> falsificata.
> Allego qui due mail, una buona e quella falsa. La buona me la sono inviata
> come test.


> ---- *mail* *buona*

> ******************

> ------ *Falsa*
> Received-SPF: fail (xx ******* xx: domain of ******* xx does not designate
> 154.119.53.138 as permitted sender) client-ip=154.119.53.138;

Se ti avvisa che quella falsa è falsa, dove sta il problema?

--
Sans
Alex 19 Gen 2017 20:04
Lidrie scriveva il 19/01/2017 :
>
>> ******************
>
>> ------ *Falsa*
>> Received-SPF: fail (xx ******* xx: domain of ******* xx does not designate
>> 154.119.53.138 as permitted sender) client-ip=154.119.53.138;
>
> Se ti avvisa che quella falsa è falsa, dove sta il problema?
>

Ciao Lidrie,
Il problema sta nel fatto che DKIM non *dovrebbe* essere falsificabile!
Inoltre ci sono tantissimi SPF che terminano con ~all oppure ?all e in
quei casi il test spf perde tantissimo di attendibilità. Se il dkim è
falsificabile, il test spf approssimativo, che ti resta?

saluto

--
Alex
Leonardo Serni 19 Gen 2017 23:57
On Thu, 19 Jan 2017 17:30:02 +0100, Alex <tommaso5ita@yahoo.it> wrote:

>mi chiedo (e vi chiedo :-) se DKIM può essere falsificato, perchè ho
>ricevuto una mail, apparentemente inviata da me stesso a me stesso, che
>ha il contrassegno DKIM (good segnature).
>A questo punto o il mio server di posta si è fuso, oppure la firma DKIM
>è falsificata.

Potresti provare a decifrarla e vedere cosa succede...?

Leonardo
--

A terrible beauty is born.
- W. B. Yeats, Easter 1916
Alex 20 Gen 2017 11:03
Scriveva Leonardo Serni giovedì, 19/01/2017:
> On Thu, 19 Jan 2017 17:30:02 +0100, Alex <tommaso5ita@yahoo.it> wrote:
>
>> mi chiedo (e vi chiedo :-) se DKIM può essere falsificato, perchè ho
>> ricevuto una mail, apparentemente inviata da me stesso a me stesso, che
>> ha il contrassegno DKIM (good segnature).
>> A questo punto o il mio server di posta si è fuso, oppure la firma DKIM
>> è falsificata.
>
> Potresti provare a decifrarla e vedere cosa succede...?
>
> Leonardo

Bello!
Sai come si fa?

saluti

--
Alex
Alex 20 Gen 2017 13:25
Leonardo Serni scriveva il 19/01/2017 :
> On Thu, 19 Jan 2017 17:30:02 +0100, Alex <tommaso5ita@yahoo.it> wrote:
>
>> mi chiedo (e vi chiedo :-) se DKIM può essere falsificato, perchè ho
>> ricevuto una mail, apparentemente inviata da me stesso a me stesso, che
>> ha il contrassegno DKIM (good segnature).
>> A questo punto o il mio server di posta si è fuso, oppure la firma DKIM
>> è falsificata.
>
> Potresti provare a decifrarla e vedere cosa succede...?
>
> Leonardo

Se ho capito ... ripetere manualmente il test dkim per vedere i
dettagli.
E' così?
Mai fatto una cosa simile :o)

saluto

--
Alex
Leonardo Serni 20 Gen 2017 19:54
On Fri, 20 Jan 2017 11:03:12 +0100, Alex <tommaso5ita@yahoo.it> wrote:

>>> mi chiedo (e vi chiedo :-) se DKIM può essere falsificato, perchè ho
>>> ricevuto una mail, apparentemente inviata da me stesso a me stesso, che
>>> ha il contrassegno DKIM (good segnature).
>>> A questo punto o il mio server di posta si è fuso, oppure la firma DKIM
>>> è falsificata.

>> Potresti provare a decifrarla e vedere cosa succede...?


>Bello!
>Sai come si fa?

Ci sono i dettagli proprio nella RFC. L'incognita è come fornirgli i dati della
chiave privata (ho provato in due minuti e non ne sono venuto a capo. Magari ad
averne cinque, di minuti...).

Da quanto leggo però sembrerebbe proprio una firma falsificata. Apparentemente,
conoscono la pkey del tuo dominio. Oppure il MTA accetta e propaga una verifica
farlocca del DKIM, ma mi pare altrettanto improbabile.

Leonardo
--

A terrible beauty is born.
- W. B. Yeats, Easter 1916
Alex 21 Gen 2017 13:40
Leonardo Serni ha usato la sua tastiera per scrivere :
> On Fri, 20 Jan 2017 11:03:12 +0100, Alex <tommaso5ita@yahoo.it> wrote:
>
>>>> mi chiedo (e vi chiedo :-) se DKIM può essere falsificato, perchè ho
>>>> ricevuto una mail, apparentemente inviata da me stesso a me stesso, che
>>>> ha il contrassegno DKIM (good segnature).
>>>> A questo punto o il mio server di posta si è fuso, oppure la firma DKIM
>>>> è falsificata.
>
>>> Potresti provare a decifrarla e vedere cosa succede...?
>
>
>> Bello!
>> Sai come si fa?
>
> Ci sono i dettagli proprio nella RFC.
>
Ecco, appunto, era proprio questo che volevo evitare, partire dalle RFC
:D

>L'incognita è come fornirgli i dati
> della chiave privata (ho provato in due minuti e non ne sono venuto a capo.
> Magari ad averne cinque, di minuti...).
>
> Da quanto leggo però sembrerebbe proprio una firma falsificata.
> Apparentemente, conoscono la pkey del tuo dominio. Oppure il MTA accetta e
> propaga una verifica farlocca del DKIM, ma mi pare altrettanto improbabile.
>
> Leonardo
>

Beh, andando in cerca di chi può conoscere la private key dkim del mio
dominio si trovano numeri piccolissimi.

Grazie !

Saluto

--
Alex
Allen 21 Gen 2017 15:22
Alex <tommaso5ita@yahoo.it> wrote in news:o5qpir$2g4e$1@adenine.netfront.net:

> mi chiedo (e vi chiedo :-) se DKIM puù essere falsificato

La vedo difficile. Hai usato una chiave privata già generata o una nuova
generata da te?
Alex 21 Gen 2017 17:40
Allen ci ha detto :
> Alex <tommaso5ita@yahoo.it> wrote in news:o5qpir$2g4e$1@adenine.netfront.net:
>
>> mi chiedo (e vi chiedo :-) se DKIM puù essere falsificato
>
> La vedo difficile. Hai usato una chiave privata già generata o una nuova
> generata da te?

Nuova, ma è generata in automatico da Plesk.

saluto

--
Alex
P/ero 21 Gen 2017 19:00
"Alex" [by MesNews/1.08.06.00-it] on 19/01/17 17:30:02 (Italian Time) wrote:

> Buongiorno a tutti,

> mi chiedo (e vi chiedo :-) se DKIM può essere falsificato, perchè ho
> ricevuto una mail, apparentemente inviata da me stesso a me stesso,
> che ha il contrassegno DKIM (good segnature).
> A questo punto o il mio server di posta si è fuso, oppure la firma
> DKIM è falsificata.
> Allego qui due mail, una buona e quella falsa. La buona me la sono
> inviata come test.

..._skipped!_

Si può falsificare, purtroppo!

Ho anch'io un ID digitale, e per curiosità provai ad usare quello di una
mail ricevuta da una persona che ogni tanto mi scrive.

Dopo vari workaround riuscii a "taroccare" ed inviare una mail usando
quel ID. Non commisi nulla d'illegale, feci solo una prova con me stesso.

Trai tu le conclusioni.
--
* b *
* y *
* Piero *
#v+
-in me***** stat virtus-
#v-
Allen 21 Gen 2017 19:52
"P/ero" <ppiero@woow.it.INVALID> wrote in news:A-430877-21.01.17
$beGadEbfH30bfH@email.it:

> Dopo vari workaround riuscii a "taroccare" ed inviare una mail usando
> quel ID. Non commisi nulla d'illegale, feci solo una prova con me stesso.

Ecco! Interessante riprodurre la sequenza per testare questa cosa. Te la
ricordi?
Allen 21 Gen 2017 19:52
Alex <tommaso5ita@yahoo.it> wrote in news:o602u8$2ba2$1@adenine.netfront.net:

> Plesk.


Da una rapida ricerca su guuugul sembra ci sia una vulnerabilità in tal
proposito.


...ma ******* paletta.... :(
Alex 22 Gen 2017 12:10
Scriveva P/ero sabato, 21/01/2017:
> "Alex" [by MesNews/1.08.06.00-it] on 19/01/17 17:30:02 (Italian Time) wrote:
>
>> Buongiorno a tutti,
>
>> mi chiedo (e vi chiedo :-) se DKIM può essere falsificato, perchè ho
>> ricevuto una mail, apparentemente inviata da me stesso a me stesso,
>> che ha il contrassegno DKIM (good segnature).
>> A questo punto o il mio server di posta si è fuso, oppure la firma
>> DKIM è falsificata.
>> Allego qui due mail, una buona e quella falsa. La buona me la sono
>> inviata come test.
>
> ..._skipped!_
>
> Si può falsificare, purtroppo!
>
> Ho anch'io un ID digitale, e per curiosità provai ad usare quello di una
> mail ricevuta da una persona che ogni tanto mi scrive.
>
> Dopo vari workaround riuscii a "taroccare" ed inviare una mail usando
> quel ID. Non commisi nulla d'illegale, feci solo una prova con me stesso.
>
> Trai tu le conclusioni.

Già, te la ricordi?

:-) ciao

--
Alex
P/ero 23 Gen 2017 12:26
"Alex" [by MesNews/1.08.06.00-it] on 22/01/17 12:10:56 (Italian Time) wrote:

> Scriveva P/ero sabato, 21/01/2017:
>> "Alex" [by MesNews/1.08.06.00-it] on 19/01/17 17:30:02 (Italian Time) wrote:

>>> Buongiorno a tutti,

>>> mi chiedo (e vi chiedo :-) se DKIM può essere falsificato, perchè ho
>>> ricevuto una mail, apparentemente inviata da me stesso a me stesso,
>>> che ha il contrassegno DKIM (good segnature).
>>> A questo punto o il mio server di posta si è fuso, oppure la firma
>>> DKIM è falsificata.
>>> Allego qui due mail, una buona e quella falsa. La buona me la sono
>>> inviata come test.

>> ..._skipped!_

>> Si può falsificare, purtroppo!

>> Ho anch'io un ID digitale, e per curiosità provai ad usare quello di
>> una mail ricevuta da una persona che ogni tanto mi scrive.

>> Dopo vari workaround riuscii a "taroccare" ed inviare una mail usando
>> quel ID. Non commisi nulla d'illegale, feci solo una prova con me
>> stesso.

>> Trai tu le conclusioni.

> Già, te la ricordi?

Direi di si, ma non voglio renderlo noto, dico solo che:
si deve creare un account che corrisponda all'ID, poi il codice della
mail è puro testo... che va compilato "ad hoc". :-)

Quindi se si può falsificare un ID digitale presumo che sia possibile
falsificare anche il DKIM (che garantisce il server e l'autenticità del
mittente) ed è confermato dal fatto che la mail non passa il test SPF,
inoltre il sito segnalato se validato dà questo risultato:

https://postimg.org/image/dpary5vcj/

Per completezza aggiungo che un ID digitale segnala una serie di "Avvisi
di ******* importanti, ma trovi maggiori dettagli in questo mio post:

https://groups.google.com/d/msg/it.comp.os.win.windows7/nCOJ2UcXMBs/bqFl-iC3AwAJ

> :-) ciao

--
* b *
* y *
* Piero *
#v+
-summum ius summa iniuria-
#v-
ObiWan 23 Gen 2017 13:01
:: On Thu, 19 Jan 2017 17:30:02 +0100
:: (it.comp.sicurezza.virus)
:: <o5qpir$2g4e$1@adenine.netfront.net>
:: Alex <tommaso5ita@yahoo.it> wrote:

> Buongiorno a tutti,

http://www.zdnet.com/article/dkim-useless-or-just-disappointing/

;P
P/ero 23 Gen 2017 16:43
"ObiWan" [by "newsreader: Not Found"] on 23/01/17 13:01:28 (Italian Time) wrote:

> :: On Thu, 19 Jan 2017 17:30:02 +0100
> :: (it.comp.sicurezza.virus)
> :: <o5qpir$2g4e$1@adenine.netfront.net>
> :: Alex <tommaso5ita@yahoo.it> wrote:

>> Buongiorno a tutti,

> http://www.zdnet.com/article/dkim-useless-or-just-disappointing/

Come volevasi dimostrare, nulla è sicuro al 100%!

> ;P

--
* b *
* y *
* Piero *
#v+
-ad maiora-
#v-
P/ero 23 Gen 2017 16:46
"Alex" [by MesNews/1.08.06.00-it] on 19/01/17 17:30:02 (Italian Time) wrote:

..._skipped!_

> Unica cosa che contraddistingue la mail buona da quella falsa (mi
> sembra) è la circostanza che quella falsa non supera il test SPF. La
> mail valida è senza test spf, perché è un rigiro interno di posta.

Non hai controllato bene, le firme (campo b) sono diverse, come il campo
"bh", ma quello comprende anche gli header...
..._skipped!_
--
* b *
* y *
* Piero *
#v+
Assolto perché il fatto non costituisce dibattito.
#v-
ObiWan 24 Gen 2017 15:07
:: On Mon, 23 Jan 2017 16:46:44 +0100 (Italian-Time)
:: (it.comp.sicurezza.virus)
:: <A-430877-23.01.17$acDdcGbcE30cbE@email.it>
:: "P/ero" <ppiero@woow.it.INVALID> wrote:

> "Alex" [by MesNews/1.08.06.00-it] on 19/01/17 17:30:02 (Italian Time)
> wrote:
>
> ..._skipped!_
>
>> Unica cosa che contraddistingue la mail buona da quella falsa (mi
>> sembra) è la circostanza che quella falsa non supera il test SPF. La
>> mail valida è senza test spf, perché è un rigiro interno di posta.
>
> Non hai controllato bene, le firme (campo b) sono diverse, come il
> campo "bh", ma quello comprende anche gli header...
> ..._skipped!_

ehm... non ho capito cosa tu intenda, potresti spiegarti meglio ?
ObiWan 24 Gen 2017 15:36
:: On Tue, 24 Jan 2017 15:07:07 +0100
:: (it.comp.sicurezza.virus)
:: <20170124150707.00002e64@eternal-september.org>
:: ObiWan <obiwan@mvps.org> wrote:

> :: On Mon, 23 Jan 2017 16:46:44 +0100 (Italian-Time)
> :: (it.comp.sicurezza.virus)
> :: <A-430877-23.01.17$acDdcGbcE30cbE@email.it>
> :: "P/ero" <ppiero@woow.it.INVALID> wrote:
>
>> "Alex" [by MesNews/1.08.06.00-it] on 19/01/17 17:30:02 (Italian
>> Time) wrote:
>>
>> ..._skipped!_
>>
>>> Unica cosa che contraddistingue la mail buona da quella falsa (mi
>>> sembra) è la circostanza che quella falsa non supera il test SPF.
>>> La mail valida è senza test spf, perché è un rigiro interno di
>>> posta.
>>
>> Non hai controllato bene, le firme (campo b) sono diverse, come il
>> campo "bh", ma quello comprende anche gli header...
>> ..._skipped!_
>
> ehm... non ho capito cosa tu intenda, potresti spiegarti meglio ?
>

chiarisco; se la memoria non mi inganna, il valore "bh" è il "body
hash" e con gli headers non c'entra assolutamente nulla.

Links
Giochi online
Dizionario sinonimi
Leggi e codici
Ricette
Testi
Webmatica
Hosting gratis
   
 

Discussioni su virus e antivirus | Tutti i gruppi | it.comp.sicurezza.virus | Notizie e discussioni sicurezza virus | Sicurezza virus Mobile | Servizio di consultazione news.