Vlákno názorů k článku Postřehy z bezpečnosti: dvacet let stará zranitelnost ohrožuje všechny verze Windows od XP od Jan Hrach - > Skutečné, pravé emaily České pošty s informacemi...

> Skutečné, pravé emaily České pošty s informacemi o zásilkách jsou odesílány ze schránky ceskaposta[za­vináč]cpost.cz.

Pozorování:

1) zprávy od nich nejsou podepsané (ani v těle/SMIME, ani DKIM)

2) SFP politika pro cpost.cz končí ?all

3) jejich maily chodí z 92.62.233.210|rou­teer.krypton.cz, což minimálně na první pohled nijak s poštou nesouvisí, navíc s obálkovou adresou, která nesouhlasí s From adresou uvnitř mailu:

Received: from routeer.krypton.cz (routeer.krypton.cz [92.62.233.210])
by smtp1.ms.mff.cu­ni.cz (8.15.2/8.15.2) with ESMTPS id x6V8Ps7o033312
(version=TLSv1 cipher=DHE-RSA-AES256-SHA bits=256 verify=NO)
for <XXX@XXX.mff.cu­ni.cz>; Wed, 31 Jul 2019 10:25:55 +0200 (CEST)
(envelope-from noreply@zasil­kovna.cz)
[...]
From: ceskaposta@cpost.cz


Jak si tedy můžu ověřit, že to opravdu přišlo z „ceskaposta[za­vináč]cpost.cz“, místo toho, aby tu adresu někdo zfalšoval?

Možná za ty 4 měsíce změnili konfiguraci, ale dovoluji si s tebou nesouhlasit.
Nejnovější mail, který jsem obdržel od ceskaposta@cpost.cz je z 2. 4. 2019, 11:23.
Nicméne z hlaviček a nslookup lze vydedukovat, že ceska posta odesílá maily z smtp01.cpost.cz s IP: 193.150.24.228 a MX a PTR mají v pořádku. Jako chyba lze hodnoti pouze záznam v SPF kde mají uveden neutrální znak "?ALL" a SPAM filtry tak mají těžší práci s zahozemí SPAMu, na který upozorňují.


Received: from smtp01.cpost.cz (smtp01.cpost.cz [193.150.24.228])
by email-smtpd-v8.ng.seznam.cz (Seznam SMTPD 1.3.103) with ESMTP;
Tue, 02 Apr 2019 13:23:41 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=cpost.cz; i=@cpost.cz; l=15665; q=dns/txt;
s=150521-smtp1; t=1554204221;
h=date:from:reply-to:to:message-id:subject:mime-version;
bh=BylCAvILgil­XmFp+/cZJpT0MkuX­nrlxXyShRGN6O­OL0=;
b=VqOgQdLx2HOJ­QNsc2OXj6Wfpil­xBFmeiMFbHvS48u2NPt­Ej/IbZmC+I1
TsEkC1uqZklRQ+a1VO­I8bqbXeWFty9+tTT9cbed­PsRdYfnBhwqhN8Hc9H
PcPgqKfgjGfQN­6STXqJVRqx7sld+pVqZO5dDu­eluYMDceU3//wJtqI­EBS
c=;
X-IronPort-AV: E=Sophos;i="5­.60,300,1549926000";
d="png'150?sc­an'150,208,217,150";a="1­74924116"
Received: from unknown (HELO smtp1.centrum­.cpost.cz) ([10.1.32.238])
by smtp01.cpost.cz with ESMTP; 02 Apr 2019 13:23:41 +0200
Received: from vak54-03-l2-z32e0 (vak54-03-l2-z32e0.centrum­.cpost.cz [10.164.11.52])
by smtp1.centrum­.cpost.cz (Postfix) with ESMTP id 795E43803F
for <xxxxxx@seznam.cz>; Tue, 2 Apr 2019 13:23:41 +0200 (CEST)
Date: Tue, 2 Apr 2019 13:23:41 +0200 (CEST)
From: =?UTF-8?Q?=C4=8Cesk=C3=A1_po=C­5=A1ta?= <ceskaposta@cpos­t.cz>
Reply-To: noreply@cpost.cz
To: xxxxxx@seznam.cz
Message-ID: <783948655.73289­.1554204221499­.JavaMail.esb1_as1@vak54-03-l2-z32e0>
Subject: =?UTF-8?Q?Informace_o_Va=C5=A­1=C3=AD_z=C3=A1sil­ce_NP8767903857M?=
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_Part_73288_1364­548663.15542042214­95"
------=_Part_73288_1364­548663.15542042214­95
MIME-Version: 1.0
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: base64
------=_Part_73288_1364­548663.15542042214­95
Content-Type: application/octet-stream; name=barcode.png
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=barco­de.png
------=_Part_73288_1364­548663.15542042214­95--


[root@xxxx ~]# nslookup -query=mx cpost.cz
Server: 46.28.108.2
Address: 46.28.108.2#53
Non-authoritative answer:
cpost.cz mail exchanger = 10 smtp01.cpost.cz.
cpost.cz mail exchanger = 20 smtp02.cpost.cz.
Authoritative answers can be found from:
cpost.cz nameserver = dns1.cpost.cz.
cpost.cz nameserver = dns2.cpost.cz.
smtp01.cpost.cz internet address = 193.150.24.228
smtp02.cpost.cz internet address = 193.150.25.228
dns1.cpost.cz internet address = 193.150.24.97
dns2.cpost.cz internet address = 193.150.25.97


[root@xxxx ~]# nslookup -query=A smtp01.cpost.cz
Server: 46.28.108.2
Address: 46.28.108.2#53
Non-authoritative answer:
Name: smtp01.cpost.cz
Address: 193.150.24.228


[root@xxxx ~]# nslookup -query=PTR 193.150.24.228
Server: 46.28.108.2
Address: 46.28.108.2#53
Non-authoritative answer:
228.24.150.193.in-addr.arpa name = smtp01.cpost.cz.
Authoritative answers can be found from:
24.150.193.in-addr.arpa nameserver = dns1.cpost.cz.
24.150.193.in-addr.arpa nameserver = dns2.cpost.cz.
dns1.cpost.cz internet address = 193.150.24.97
dns2.cpost.cz internet address = 193.150.25.97


[root@xxxx ~]# nslookup -query=A smtp02.cpost.cz
Server: 46.28.108.2
Address: 46.28.108.2#53
Non-authoritative answer:
Name: smtp02.cpost.cz
Address: 193.150.25.228


[root@xxxx ~]# nslookup -query=PTR 193.150.25.228
Server: 46.28.108.2
Address: 46.28.108.2#53
Non-authoritative answer:
228.25.150.193.in-addr.arpa name = smtp02.cpost.cz.
Authoritative answers can be found from:
25.150.193.in-addr.arpa nameserver = dns2.cpost.cz.
25.150.193.in-addr.arpa nameserver = dns1.cpost.cz.
dns1.cpost.cz internet address = 193.150.24.97
dns2.cpost.cz internet address = 193.150.25.97


[root@xxxx ~]# nslookup -query=TXT cpost.cz
Server: 46.28.108.2
Address: 46.28.108.2#53
Non-authoritative answer:
cpost.cz text = "ciscocidomain­verification=384559530­dbe362a6e311153173c92d63­5211a035ef306785114fde­aef34f13a"
cpost.cz text = "MS=ms45437866"
cpost.cz text = "MS=ms75703731"
cpost.cz text = "v=spf1 mx include:spf.pro­tection.outlo­ok.com ?all"
cpost.cz text = "my96qNg/QHZh­6MLmNv8CbPzR/DKA2QNk6N+3­b/SebQX9R/iQqzM388O­idMpDdgcdPm915­XqVZAo5ZrDkqhDZDA­=="
Authoritative answers can be found from:
cpost.cz nameserver = dns1.cpost.cz.
cpost.cz nameserver = dns2.cpost.cz.
dns1.cpost.cz internet address = 193.150.24.97
dns2.cpost.cz internet address = 193.150.25.97


Mám od nich dva maily, jeden z 31.7. z uvedeného routeer.krypton.cz a jeden z 1.7. který je správně. Ten z krypton.cz začíná "Vážený zákazníku, dne 30.7.2019 jsme převzali do přepravy zásilku Balík Do ruky od odesílatele Zásilkovna s.r.o.", ten z 1.7. začíná "Vážený zákazníku, dne 28.6.2019 jsme převzali do přepravy zásilku Balík Do ruky od odesílatele Václav Vitouš", jinak jsou stejné.

Je možné že Zásilkovna si řeší maily nějak sama?

19. 8. 2019, 20:30 editováno autorem komentáře

Nasvědčuje to tomu, soudě podle obálkové adresy (tím spíš, že Zásilkovna nedávno začala generovat i štítky ČP a dalších dopravců, přes které doručuje). Ale pokud to tak je, je to chybný přístup, který může vést k zahazování zpráv antispamovými filtry. Zvlášť pokud by se ČP rozsvítilo a začala používat DKIM, případně pokud by přiostřila to SPF pravidlo.

Zjevně se od dob pana Petra "Klidně to odklikněte, nic se vám nestane" Stieglera (http://www.podnikatel.cz/clanky/on-line-chat-s-petrem-stieglerem/) nic podstatného nezměnilo. Stále dostáváme informace, nad kterými zůstává rozum stát. Hlavně, že většinu textu zpráv posílaných ČP tvoří "disclaimer" v češtině a angličtině.

Rozumným očekáváním by bylo, že si ČP vyřeší aspoň základní věci. A třeba používání elektronické pečeti založené na kvalifikovaném certifikátu by pro automaticky generované zprávy bylo takovým hezkým bonusem. Ale to bychom asi chtěli moc, že...