Защита от фишинга в e-mail клиенте?

Question

[Maksim]

Добрый,

задался поиском какого нить модуля/плагина под известные почтовые клиенты или возможно интегрированные в какие нибудь продукты, сигнализирующие о возможном фишинге:

Что хотелось бы видеть:

- в случае долгой переписки (анализ цепочки писем), письма начинают приходить с поддельного домена к примеру было domain.com стало d0main.com.
- Сообщать различии между позициями From: и Reply-to:
- Возможно подключение к какой-то базе для оценки валидности домена к примеру пришло письмо с домена gmail.com оценка 10 или gmaill.com оценка 1

Искал пока только для Outlook, нечего похожего не вижу.

Answer 1

[Владимир]

1 Почтовые клиенты формируют цепочки на основании поля Message-ID: оно достаточно уникально чтобы нельзя было просто так его угадать, а если плохие люди читают вашу почту то у вас и так уже проблемы.
2 Подмены отправителей в поле From: и всякое domain.com стало d0main.com. - полностью блокируется если домен отправителя имеет dkim, строгий spf и dmarc, а сервер получатель умеет это все проверять.
Поэтому защищать от фишинга должен ваш почтовый сервер который принимает почту.

Comments

[Владимир Дубровин]

К сожалению оба утверждения не вполне корректны. DMARC не защищает в данной ситуации (у домена d0main.com вполне может быть валидный DMARC, он никак не связан с DMARC домена domain.com). А Outlook, например, не использует Message-ID/In-reply-To/References для составления цепочек (хотя многие клиенты используют). Но в любом случае, все это мало защищает от фишинга - очень много фишинга (особенно нигерийского спама) идет с домена gmail.com и показ домена как доверенного будет этому только способствовать.

[Владимир]

Владимир Дубровин, Вопрос на понимание dmarc - у нас отправитель во время smtp сесии vasya@d0main.com, а в поле From: в теле письма vasya@domain.com. Принимающий почтовик будет проверять dmarc по какому из доменов ?

[Maksim]

Владимир , тут как бы и вопрос если другая сторона (отправитель) корректно настроил DKIM / SPF / DMARC, мы то проверим, только вот было бы что проверять.

[Владимир Дубровин]

Владимир, причем тут отправитель домена в SMTP-конверте, если вопрос о доменах со сходным написанием (гомографах и тайпсквоттинге)?

[Maksim]

Владимир, согласен с Владимир Дубровин, вы говорите о вещах "низкоуровневых" SPF / DKIM / DMARC - и остальных страшных словах, я говорю о пользователях, который в текучке дел может просто не заметить приход письма которое как бы поддерживает разговор но Домен уже не наших родненьких, любимых...