Descubra Como Hackers Podem Enviar E-mails Falsificados Usando Servidores Inseguros – Você Está em Risco?
O que é Injeção de Cabeçalhos Falsificados com Retransmissão de E-mail?
A injeção de cabeçalhos falsificados com retransmissão de e-mail é uma técnica usada por cibercriminosos para fazer com que um e-mail pareça ter vindo de uma fonte confiável, quando na verdade foi enviado de outra origem. Eles manipulam os cabeçalhos de e-mail, que contêm informações importantes sobre o remetente, o destinatário e o caminho do e-mail pela rede.
Vamos entender melhor como isso funciona:
1. O que são Cabeçalhos de E-mail?
Os cabeçalhos de e-mail fornecem informações sobre quem enviou o e-mail, quem deve recebê-lo e por onde ele passou. Alguns dos principais cabeçalhos são:
- De (From): Indica o endereço de e-mail do remetente.
- Para (To): O endereço do destinatário.
- Assunto (Subject): O título do e-mail.
- Recebido (Received): Registra os servidores de e-mail pelos quais a mensagem passou.
- Return-Path: O endereço de e-mail que recebe notificações de falha ou erro de entrega.
2. O que é Retransmissão de E-mail?
Retransmissão de e-mail é o processo em que um e-mail é enviado de um servidor para outro até chegar ao destinatário final. Esse processo usa o protocolo SMTP (Simple Mail Transfer Protocol). Normalmente, servidores de e-mail só permitem retransmissão de usuários autenticados, para evitar que spammers abusem do sistema.
3. O que é Falsificação de Cabeçalhos?
A falsificação de cabeçalhos (spoofing) acontece quando um atacante altera os cabeçalhos de e-mail para enganar o destinatário sobre a verdadeira origem da mensagem. Isso é feito para aplicar golpes, como phishing, espalhar malware ou burlar filtros de spam. Veja como o processo acontece:
a. Criação de um E-mail Falsificado
O invasor usa ferramentas, como scripts ou linguagens de programação (por exemplo, Python com a biblioteca smtplib), para criar um e-mail com cabeçalhos forjados, como um remetente falso.
b. Uso de um Servidor de Retransmissão Aberto
Os atacantes procuram por servidores SMTP mal configurados, chamados de “relés abertos”, que aceitam e-mails de qualquer remetente e os encaminham para o destinatário sem verificar a autenticidade dos cabeçalhos.
c. Injeção de Cabeçalhos Falsos
O e-mail falsificado é enviado através de um servidor de retransmissão aberto. O servidor aceita o e-mail e o encaminha para o próximo destino, sem checar se os cabeçalhos são legítimos.
d. Entrega do E-mail ao Destinatário
O servidor de e-mail do destinatário recebe o e-mail falsificado e, ao confiar nos cabeçalhos manipulados, pode pensar que a mensagem é de uma fonte confiável, induzindo o usuário a clicar em links ou baixar anexos maliciosos.
4. Exemplo de Falsificação de E-mail com Python
Aqui está um exemplo de como criar e enviar um e-mail falsificado usando a biblioteca smtplib do Python:
import smtplib
from email.mime.text import MIMEText
# Criação do conteúdo do e-mail
msg = MIMEText("Este é o corpo do e-mail falsificado")
msg['Subject'] = 'E-mail Falsificado'
msg['From'] = 'remetente.falso@exemplo.com'
msg['To'] = 'destinatario@exemplo.com'
# Envio via servidor de retransmissão aberto
smtp_server = 'relay.aberto.com'
smtp_port = 25
with smtplib.SMTP(smtp_server, smtp_port) as server:
server.sendmail(msg['From'], [msg['To']], msg.as_string())
5. O que significa “via Frontend Transport”?
Este termo aparece em alguns cabeçalhos de e-mail, especialmente em ambientes que usam o Microsoft Exchange Server. Ele indica que o e-mail foi processado pelo serviço Frontend Transport, que gerencia o tráfego de e-mails de fora da organização.
a. O que é o Frontend Transport?
O Frontend Transport é um componente do Microsoft Exchange que recebe e-mails externos e os encaminha para dentro da organização. É responsável por verificar se os e-mails são legítimos antes de entregá-los aos usuários.
b. Problemas com Configurações Incorretas
Quando o Exchange está configurado incorretamente, ele pode permitir que e-mails sejam retransmitidos sem verificar se são de uma fonte confiável. Isso pode abrir brechas para que o servidor seja usado como um “relé aberto”, facilitando o envio de e-mails falsificados.
6. Como os Falsificadores Exploram Servidores de Retransmissão Abertos
Relés abertos são servidores de e-mail mal configurados que permitem que qualquer pessoa envie e-mails através deles, sem autenticação. Isso é perigoso porque:
- Spammers: Usam relés abertos para enviar grandes volumes de spam, mascarando a verdadeira origem do e-mail.
- Phishing: E-mails falsificados podem passar por servidores legítimos, enganando filtros de segurança.
- Listas Negras: O endereço IP do servidor que retransmite os e-mails falsificados pode ser bloqueado por serviços de proteção, prejudicando empresas que usam o servidor.
