您現在的位置是:首頁 > 動作武俠首頁動作武俠
如何防範新型郵件發信人偽造攻擊?Coremail 分享最新研究成果
- 2022-03-30
偽造信件是什麼
8月26日,
2021北京網路安全大會
(簡稱BCS2021)以雲峰會形式盛大啟幕。
Coremail作為郵件行業領軍者受邀參會,Coremail技術副總裁林延中在線上進行了主題為
《郵件安全協議Bypass:新型電子郵件發信人偽造攻擊與防範的研究》
的分享。此次的分享,指出了當前的一系列
新型發件人偽造攻擊
問題,並給出了
關鍵的處理建議
。
Coremail具有豐富的郵件安全經驗。從2000年開始,Coremail一直致力於郵件反垃圾工作。CAC雲安全中心每日支撐服務客戶數量高達25000家,日均反垃圾分析請求量高達3千萬封,日均截獲高危惡意郵件超過100萬。
我們看到,郵件安全正面臨著嚴峻的形勢!根據
Coremail論客與奇安信統計的2020年全國企業級郵箱使用者收到釣魚郵件、病毒郵件的監測資料
:
2020年共收到垃圾郵件約3,946。4億封,約佔企業級使用者郵件收發總量的59。42%,其中包括病毒和釣魚郵件,僅有4成為正常郵件。
2017-2020年,釣魚郵件與病毒郵件的數量均呈逐年上升的趨勢;2020年收到釣魚郵件460。92億封,病毒郵件492。16封;預計2021年,兩者均會超過500億封!
在這樣嚴峻的背景下,釣魚郵件、病毒郵件如果偽裝成可信的發件人,攻擊力度將更為嚴重!
發信人偽造例子
WebUI不顯示任何欺騙警報
欺騙電子郵件透過所有電子郵件安全協議驗證
此前,Coremail與清華大學、奇安信等合著的論文
《Weak Links in Authentication Chains: A Large-scale Analysis of Email SenderSpoofing Attacks》(譯作《驗證鏈中的薄弱環節研究: 電子郵件發件人偽造攻擊的大規模分析》)
已對偽造發信人的釣魚郵件攻擊進行過研究。
值得一提的是,這一成果已發表於國際網路安全領域頂級會議
USENIX Security 2021
上。
該研究透過對30個目標電郵服務端的發件人攻擊實驗,
發現30家電子郵件服務商,以及多個郵件客戶端,都存在不同程度的缺陷,無法正確識別發信人偽造攻擊。
對於這一項研究結論,多個郵件服務商均給予了積極的迴應!
#1、阿里雲:
對這些研究中提到的攻擊很感興趣,並且現在已經認識到在沒有驗證的情況下就新增DKIM簽名的風險,並承諾會評估和修復此類問題。
#2、新浪郵箱:
將我們研究中提出的問題評估為高風險的脆弱性,並在內部評估相應的保護措施。並給予了一定的獎勵。
#3、Gmail:
對我們的研究內容表示贊同,並將在隨後的更新中修復相關問題。並且表示後續會聯絡我們,討論這些安全問題背後的基本原因。
#4、163、QQ郵箱
感謝我們在研究中的工作,並告知我們將透過反垃圾郵件策略來解決這些安全問題。
大會上,Coremail技術副總裁林延中先生基於Coremail對郵件安全技術的實踐,全面解析發信人偽造攻擊的根本原因,並提出了一系列處置建議。
Coremail研究發現,郵件發信人能偽造成功的根本原因有以下3點:
1、多協議之間的弱關聯
SPF、DKIM和DMARC被提出和標準化,以防止來自不同方面的電子郵件欺騙攻擊。然而,只有當所有協議都執行良好時,電子郵件系統才能防止電子郵件欺騙攻擊。在此基於鏈的身份驗證結構中,任何鏈路的失敗都會導致身份驗證鏈無效
2、多角色之間的弱關聯
身份驗證發件人的身份是一個複雜的過程。它涉及四個重要的角色:發件人、接收人、轉發器和UI渲染器。許多電子郵件服務並沒有在所有四個角色中實施正確的安全策略。
3、多服務之間的弱關聯
不同的電子郵件服務通常有不同的配置和實現。一些服務禁止傳送標題不明確的電子郵件,但可以接收它們。相反,另一些郵件允許傳送標題含糊的電子郵件,但在接收驗證階段進行非常嚴格的檢查。安全策略之間的差異使得攻擊者能夠從具有
鬆散傳送策略
的服務,向具有
鬆散接收策略
的服務傳送欺騙電子郵件
基於以上問題,我們需要:
1、更確切的標準
提供更準確的電子郵件協議描述,以消除多方協議實踐中的不一致性。例如,DKIM標準應指定何時應向轉發的電子郵件中新增DKIM簽名。轉發商新增DKIM簽名以提高電子郵件的可信度是合理的;但是,他們不應該向從未透過DKIM驗證的電子郵件中新增DKIM簽名。
2、更好的使用者介面通知
電子郵件UI需要呈現更多的身份驗證細節,幫助普通使用者很難判斷電子郵件的真實性。
所以,Coremail的建議防禦方案如下:
針對Mail From和From的不一致,由管理員配置是否允許
若郵件來源為空,SPF嚴格支援對HELO的校驗
可設定拒絕多個From的郵件,嚴格的協議解析
UI顯示郵件驗證的異常提示
目前,
Coremail 已經採用了此方案,並在郵件的網頁端和客戶端為使用者實施了該方案。
此外,研究團隊還在 Github 上釋出了測試工具,供電子郵件管理員評估和提高他們的安全性。
當然,想要更全面地防禦郵件安全攻擊,需要形成安全生態體系,沒有任何一家企業能夠獨立解決全部安全問題。同時,要形成全球同感知,需要更多研究者加入進來,共同研究郵件安全的狀態與趨勢。
上一篇:哼,什麼導演,就喜歡到處勾搭
下一篇:《逆風跑者》274章 最幸運的人