[ad_1]
Desconcertado sobre cómo esto era posible, Guardio notó que todos los correos electrónicos de phishing se originaban en un servidor virtual SMTP enrutado a través de Office365 Online Exchange antes de ingresar a un servidor de retransmisión específico del dominio operado por Proofpoint.
Es importante destacar que ese servidor final de Proofpoint era donde la autenticidad de DKIM y SPF se pasaría como legítima, lo que esencialmente le permitía enrutar correos electrónicos en nombre de sus clientes.
“Eco-suplantación”
La maniobra resultó tener dos partes. La primera era burlar la comprobación de IP a dominio del SPF, lo que se logró enviando sus correos electrónicos falsificados desde un servidor SMTP bajo su control a través de un Oficina 365 cuenta. Esto evita la suplantación de identidad cuando el correo electrónico se origina en esas cuentas, pero no, fundamentalmente, cuando se retransmiten correos electrónicos desde servidores SMTP externos.
[ad_2]
Enlace fuente
