Web Security: No Spoofing Protection on Email Domain
Content: No Spoofing Protection on Email Domain
Theme: Web Security
Language: Indonesia
Author: ZeroByte.ID
WARNING: For Educational Purposes Only
Tidak adanya proteksi Spoofing pada sebuah Email domain menyebabkan siapa saja dapat mengirim Email melalui Mailer Service menggunakan domain tersebut. Hal ini termasuk Misconfiguration yang berbahaya karena dapat dimanfaatkan untuk melakukan penipuan menggunakan alamat email yang valid.
Bugcrowd pun menjadikan ini sebagai P3 (Priority 3) atau Medium pada Vulnerability Rating Taxonomy miliknya.
Namun beberapa perusahan yang mungkin mengadakan Bug Bounty Program tidak menganggap ini sebagai masalah yang serius karena ini bukanlah Vulnerability (dari aplikasi) namun lebih tepatnya Misconfiguration.
How to check?
Disini saya menggunakan https://www.kitterman.com/spf/validate.html untuk melakukan pengecekan domain yang rentan.
Vulnerable
Tentunya domain yang rentan akan mengeluarkan output sebagai berikut:
Not Vulnerable
Disini saya menggunakan alamat twitter.com.
Email Spoofing Attack
- Attacker mengirim email menggunakan Mailer Service-nya sendiri atau dapat menggunakan http://emkei.cz/ dan http://www.anonymailer.net/.
- Kemudian “From (Address)” isi dengan alamat yang rentan (contoh: support@target.com).
- Setelah itu kirim email tersebut.
Remediation
Beberapa hal yang perlu diimplementasikan untuk menanggulangi hal tersebut:
- DKIM (DomainKeys Identified Mail) adalah metode yang digunakan untuk mengaitkan identitas nama domain dengan pesan keluar dan untuk memvalidasi identitas nama domain yang terkait dengan pesan masuk melalui otentikasi kriptografi.
- SPF (Sender Policy Framework) adalah metode yang digunakan untuk mencegah pemalsuan alamat email yang mengaku sebagai pengirim.
- DMARC (Domain-based Message Authentication, Reporting, and Conformance) digunakan untuk memperluas kemampuan metode SPF dan DKIM. Kebijakan DMARC menentukan bagaimana penerima email harus memperlakukan pesan email tergantung pada hasil pemeriksaan DKIM dan SPF.