Вчера некоторые пользователи Я.Почты в соцсетях пожаловались (и еще) на «странные» входящие письма о невозможности доставки до адресата ("mail delivery system"), которому никто, собственно, и не писал. Судя по схожим описаниям, пользователи Я.Почты стали жертвами спуфинга (подстановка чужих адресов в поле "отправитель"). В числе тех, кто отметился по этой теме, оказался и Андрей Себрант.
Пресс-служба Яндекса в комментарии Роем.ру опровергла массовый характер проблемы и возможность попадания почтовых ящиков Яндекса в черные списки:
Почтовый протокол устроен таким образом, что в поле from можно вставить любой почтовый адрес. Это не зависит от того, откуда и каким образом отправляется письмо – с любого массового почтового сервиса или с собственного почтового сервера, из веб-интерфейса или из почтовой программы. То, что злоумышленник подставляет чужой адрес в поле from, не означает, что ему известен пароль или имя владельца. Это невозможно запретить, как невозможно запретить, например, указывать на визитке чужой номер телефона.
Если почтовый сервер получателя решит не принимать такое письмо по какой-либо причине, то на e-mail, который злоумышленниками был указан в поле from, упадет сообщение о том, что письмо не доставлено. Так как письма фактически отправляются не с Яндекс.Почты, то речи о спаме, взломах и уж тем более о попадании адресов в чёрные списки быть не может. В чёрные списки в таких случаях попадают сервера отправителей подобных сообщений.
Подобные вещи происходят в любом почтовом сервисе. Мы внимательно всё проверили и не нашли доказательств того, что вчерашняя проблема носила массовый характер. Кроме того, мы регулярно следим за упоминанием наших сервисов в социальных сетях и не заметили всплеска сообщений на эту тему.
Руководитель отдела контентных аналитиков «Лаборатории Касперского» Дарья Гудкова ситуацию с Яндексом прокомментировать отказалась за отсутствием «достаточной информации», однако рассказала о способе защиты от спуфинга:
Подделать такие заголовки в письме, как поле отправителя, совсем не сложно. Дело в том, что электронное письмо имеет две части: "конверт" и "содержимое". В реальности письмо всегда доставляется по адресу, указанному на "конверте". Тем временем, заголовки, которые мы видим (в частности, отправитель) относятся к содержимому, поэтому указать там можно любые данные. Единственное, что нельзя подделать – это шифрованную цифровую DKIM-подпись, которая обеспечивает верификацию домена, с которого пришло письмо. Многие почтовые системы, в частности Яндекс, используют эту технологию для защиты от спуфинга.
Руководитель Почты Mail.Ru Сергей Мартынов в комментарии Роем.ру так же подчеркнул, что решение проблемы спуфинга – это технология электронно-цифровой подписи отправляемых писем – DKIM:
Проблема в том, что пока не все отправители используют подпись DKIM в своих письмах, поэтому пока почтовые сервисы вынуждены принимать письма без подписи. В "идеальном мире" все отправители использовали бы ЭЦП, и проблема спуфинга просто не существовала бы.
Надо отметить, что рынок электронной почты постепенно идет к этой цели. За последние 1.5 года в рунете доля писем, использующих DKIM, повысилась с 5-10% до 50-60%. Существенную роль в этом сыграла инициатива Почты Mail.Ru по созданию проекта http://postmaster.mail.ru/ - мы предлагаем отправителям внедрить DKIM, предоставляя им взамен уникальную статистику по их информационным письмам.
Напомним, в конце октября 2012 года Яндекс представил «новую почту Trinity».
