前言
自1971年,第一封电子邮件被发出,如今已走过了48年。如今,电子邮件已经成为我们日常生活工作中必不可少的一部分。与其他互联网产品相比,电子邮件有着无可匹敌的开放性——任何地方的任何人都可以给另外一个人发邮件,从而产生联系。据Radicati Group统计,2018年全球电子邮件用户数量达到38亿人,即全球超过一半的人口在使用电子邮件。2018年,全球每天发送和接收的商业和消费者电子邮件的总数超过2811亿封,预计2019年每天的电子邮件数量将达到2936亿封,而到2022年年底,将达到3332亿封。如此海量的数据及其传播性,成为黑客攻击的温床,Verizon发布的《2018年数据泄露调查报告》中指出,电子邮件是黑客最常使用的攻击方式。
电子邮件协议介绍
SMTP协议
SMTP的全称是“Simple Mail Transfer Protocol”,即简单邮件传输协议,所对应RFC文档为RFC821,是最常用的电子邮件传输协议。smtp协议支持认证与不认证两种状态:
当用户发送邮件时需要smtp服务器认证通过后才能发送邮件,smtp协议支持465端口和25端口链接,使用465端口链接必须登录认证。SMTP身份认证是一种保证SMTP服务器安全的方法,它要求希望通过SMTP服务器转发邮件(即邮件最终发送给另一个SMTP服务器)的用户在发送消息之前必须先向邮件服务器表明自己的身份。这样垃圾邮件发送者就不能用你的SMTP服务器发送未经授权的邮件了。
使用25端口进行邮件传递,smtp协议中25端口无需认证,这样邮件可以无障碍的在MTA中传输。邮件客户端使用465端口发送邮件并建立ssl链接,这样邮件到服务器的发送过程是加密的,但是邮件到了服务器上不是加密的,而且邮件在MTA之间中转使用的是25端口是不加密通道,尽管有了身份认证机制,垃圾邮件仍然是一个主要的问题,所以SMTP协议本质上是不安全的。
POP3协议
POP3,全名为“Post OfficeProtocol – Version 3”,即“邮局协议版本3”,所对应RFC文档为RFC1939 ,是最常用的电子邮件接收协议。该协议是一个离线协议,允许用户从服务器上把邮件下载到本地主机上,同时删除保存在邮件服务器上的邮件。POP3有其先天的缺陷,当用户接收电子邮件时,所有的信件都从服务器上下载到客户机。在整个收信过程中,用户无法知道邮件的具体信息。这使用户几乎没有对邮件接收的控制决定权。一旦碰上电邮炸弹,或有比较大的邮件,用户不能通过分析邮件的内容及发信人地址来决定是否下载或删除,从而造成系统资源的浪费。
IMAP4协议
IMAP(InternetMail Access Protocol,Internet邮件访问协议)是与POP3对应的另一种协议,所对应RFC文档为RFC3501,是POP3的一种替代协议,提供了邮件的检索和邮件处理的新功能,IMAP标准的最新版是IMAP第4版 (RFC 2060)。与POP3协议相似,也是提供面向用户的邮件收取服务。IMAP4有很多优点,用户可以通过浏览信件头来决定是否收取、删除和检索邮件的特定部分(如多个附件),还可以在服务器上创建或更改文件夹或邮箱,除支持POP3协议的脱机操作模式外,还支持联机操作和断连接操作。它为用户提供了有选择的从邮件服务器接收邮件的功能、基于服务器的信息处理功能和共享信箱功能。
电子邮件威胁
垃圾邮件
中国互联网协会在《中国互联网协会发垃圾邮件规范》中对垃圾邮件做了如下定义:
(1) 收件人实现没有提出要求或者不同意接收的广告、电子刊物以及各种形式的宣传邮件;
(2) 收件人无法拒收的电子邮件;
(3) 隐藏发件人身份、地址、标题等信息的电子邮件;
(4) 含有虚假的信息源、发件人、路由等信息的电子邮件。
除此之外,普遍认为含有恶意代码、色情、反动等不良信息或有害信息的邮件也为垃圾邮件。
垃圾邮件极大的影响了了人们的工作和生活,给用户和邮件服务提供商带来了很大的危害和损失,主要表现在以下几个方面:
(1) 浪费网络资源和人力物力,垃圾邮件占用了大量的网络带宽,造成了网络资源的极大浪费,同时,邮件服务商需要对垃圾信息和垃圾邮件进行过滤和处理,需要耗费大量的人力和财力;
(2) 浪费用户的时间、精力和金钱。比如平均每天需要花费时间来处理无用的邮件,但是下载垃圾邮件所花费的网费与电费,全年会浪费大量的金钱成本;
(3) 传递有害信息,扰乱社会。垃圾邮件具有反复性、强制性、欺骗性、不健康性和传播速度快等特点,甚至一些垃圾邮件还会传播色情、反动等各式各样的有害信息,对现实社会造成了极大的危害;
(4) 威胁网络安全。比如,利用电子邮件系统发送数以万计的垃圾邮件风暴攻击目标,使之瘫痪、拒绝服务。再比如,通过垃圾邮件传播电脑病毒,比如勒索软件等。
2017年,全国企业级邮箱用户共收到各类垃圾邮件约3792.6亿封,约占企业级用户邮件收发总量的64.7%,是企业级用户正常邮件数量的2.5倍。全国企业级用户平均每天收到约10.4亿封各类垃圾邮件。垃圾邮件大量的消耗系统资源,浪费用户的时间,同时结合网络诈骗、钓鱼、勒索等方式窃取个人信息、财物损失等。
发件人欺骗
伪造电子邮件头,导致信息看起来来源于某个人或某个地方,而实际却不是真实的源地址。垃圾邮件的发布者通常也会使用欺骗的方法尝试让收件人打开邮件,并很有可能让其回复。常用的方法包括使用公共邮箱欺骗,比如工作邮箱为wanghx@company.com,攻击者会用wanghx@sina.com发起欺骗攻击(实际上这个邮箱是攻击者注册的)也会遇到相似域名仿冒,比如仿冒者会用wanghx@c0mpany.com,0和o是不同的。还有其他欺骗方式,不做详细描述。
正文恶意连接
邮件正文恶意链接最常用到的场景是钓鱼攻击。黑客将钓鱼链接送给使用者,一旦客户进入黑客构造的钓鱼网站或挂马网页,极大的概率会中招,最终成为肉鸡。比如黑客想要攻击一个企业的高管王总,首先通过社工手段了解到王总喜欢打高尔夫,并经常登录国内一个知名的高尔夫论坛,这时黑客通过技术手段获取论坛的管理员权限,然后再某个子页面构造恶意程序,然后用论坛管理员的名义给王总发邮件,正文有恶意链接,由于高管经常登录这个论坛,基于信任点击链接后,黑客会植入木马程序,控制王总电脑,这个时候可以进一步植入勒索病毒索要比特币或者长期潜伏,窃取商业数据。
邮件附件
主要的场景是邮件附件携带恶意office文件。黑客透过电子邮件发送Word、PDF等格式附件,搭配社交工程手法诱骗使用者开启(比如文件名称为XXy研究报告、财务报表等)。只要使用者开启附件,便会触发漏洞,自动执行内嵌的恶意指令从远方下载并植入恶意程序,使攻击者可取得受感染电脑的控制权,借以发动其他恶意攻击。
电子邮件防御方法
安全协议
电子邮件安全协议非常重要,因为它们可以增强电子邮件的安全性。电子邮件很容易受到攻击,比如SMTP没有内置的安全性,并且以纯文本形式发送电子邮件(即,没有任何保护,任何拦截它的人都可读)是有风险的,特别是如果它包含敏感信息。安全的多功能互联网邮件扩展(Secure/Multipurpose Internet Mail Extensions,S/MIME)是一种支持长距离的端到端加密协议。S/MIME会在发送邮件之前对其进行加密。不过它并不对发件人、收件人或电子邮件头部的其他部分进行加密。当然,也只有对应的收件人才能解密您所发出的邮件。邮件客户端在实现S/MIME时需要持有相应的数字证书,数字证书就像身份证一样,与用户的身份相绑定,用于验证客户的有效身份。优良保密协议(Pretty Good Privacy,PGP)是另一种长距离的端到端加密协议。本文不对这部分过多的介绍,收费和免费的方案都有,不过企业在应用安全协议的时候要接受工作效率下降、网络和电费成本(安全和性能之间的平衡,笔者认为对于邮件这种非实时性业务是可以接受的)。
垃圾邮件检测
本文所描述的垃圾邮件检测是广义上的垃圾邮件,包括恶意代码的检测。
传递方式
要发送垃圾邮件首先需要收集有效邮件地址,通常来讲收集邮件地址的方式有
以下几种:
1. 使用网站骗取用户注册信息
2. 通过工具搜索网页上的邮件地址
3. 购买某些机构的有效邮件地址
4. 通过技术手段入侵大型系统数据库来盗取邮件地址(数据泄露事件)
5. 通过散布病毒、木马的方式来收集邮件地址
通过以上的这些手段收集到大量的电子邮件地址以后,垃圾邮件发送者就需要使用适当的发送工具来向这些地址发送邮件。通常来说有以下几种发送方式:
1. 使用邮件群发器(例如rushmail…)直接发送至目标邮件服务器
2. 使用邮件群发器通过网上的MTA 进行转发
3. 直接使用Outlook,Webmail 等MUA 进行手工群发
4. 通过散步的病毒、木马来传播垃圾邮件
近年,垃圾邮件发送者采用了有别于传统群发垃圾模式的新型的发送技术,主要有两种方式:
1, 入侵正常的邮件系统,通过窃取用户密码,利用正常系统的合法用户进行垃邮件圾发送,受害者主要为各大企业邮箱服务商和自建邮件系统的厂家,包括网易这些大的企业邮箱服务商,经常有大量的客户被窃取用来发送垃圾邮件。
2, 专用的群发软件,在境外租用大量的虚拟主机服务器,采用月租的方式,境外的服务器的ip 地址性价比高,单机可以给出多个地址的配置,同时临时购买大量域名,然后采用域名,ip地址轮换发送。
检测手段
IP过滤
(1)检查IP 地址是否属于动态分配,凡是归属于动态IP,而不是静态IP 地址,一概拦截;
(2)进行DNS 查询,从指定的几个国际知名反垃圾组织中,进行黑名单的判定;
(3)自行管理一套IP 黑白名单库,可以将ip 或者ip 段加入黑白名单中。
行为过滤
垃圾邮件发送者通常会在短期内,通过群发器各种手段,向目标系统发送大量拦截,因此造成系统资源的占用,影响系统正常邮件的来往。为了应对这种情况,可以考虑如下频率控制,包括连接速率、单IP 最大允许并发、消息速率、收件人速率等,针对上述速率控制,可以设置全局阈值,也可以设置特定IP、email 的单独速阈值率。
内容过滤
正则表达式:
针对系统多处可以进行正则表达式过滤。正则表达式过滤规则,一次性读入内存,并被编译成表达式,存放在内存中,可以极大提高反垃圾的处理性能,可以针对如下内容可以进行正则表达式过滤,包括PTR 记录、 信头From 字段、主题、信头所有字段、HELO/EHLO 主机名、附件名、正文等。
URL过滤:
钓鱼邮件往往带有各种企图,最常见的就是引诱用户上他们的网站,此类垃圾邮件正文中通常包含有相应网站的url 地址,设置屏蔽正文该url 地址,则无论邮件如何变化,都可以被过滤,url 过滤,可以很好的防范钓鱼攻击。针对正文,抽取相应的url 链接地址,与威胁情报库中的URL进行比较,对垃圾邮件进行拦截。
病毒检测
病毒邮件通常以破坏为主,勒索和钓鱼欺诈则更多的是为了获利。此类邮件的行为往往具有短期大量爆发的特征,只有撒足够大的网才可能捞到更多的鱼(所谓的广撒英雄帖)。针对病毒、勒索,欺诈类的邮件可以从三个方面进行处理:
第一、基于机器学习,通过模型算法自动检测爆发型邮件;
第二、通过杀毒软件,针对附件进行病毒静态检测;
第三、通过沙箱技术,进行行为检测;
这里大概描述一下沙箱技术的检测原理。沙箱技术主要应用于“恶意代码植入”过程的深度行为检测,通过协议分析和文件还原,把邮件附件投递到沙箱环境中运行,抓取行为日志,包括文件行为、进行行为、网络行为、注册表行为、内存行为、内部调用、敏感操作、应用内API调用检查等,根据分析规则分析是否为恶意文件。这类技术对于传统的杀毒软件是一个很好的补充,不足是检测效率和误报问题。
结语
邮件千万条,安全第一条,操作不规范,自己两行泪。邮件安全的维度比较广,本文只是抛砖引玉,希望大家对邮件安全的重视起来。
限时特惠:本站每日持续更新海量各大内部网赚创业教程,会员可以下载全站资源点击查看详情
站长微信:11082411
