8月26日，

2021北京網路安全大會

（簡稱BCS2021）以雲峰會形式盛大啟幕。

Coremail作為郵件行業領軍者受邀參會，Coremail技術副總裁林延中在線上進行了主題為

《郵件安全協議Bypass：新型電子郵件發信人偽造攻擊與防範的研究》

的分享。此次的分享，指出了當前的一系列

新型發件人偽造攻擊

問題，並給出了

關鍵的處理建議

。

Coremail具有豐富的郵件安全經驗。從2000年開始，Coremail一直致力於郵件反垃圾工作。CAC雲安全中心每日支撐服務客戶數量高達25000家，日均反垃圾分析請求量高達3千萬封，日均截獲高危惡意郵件超過100萬。

我們看到，郵件安全正面臨著嚴峻的形勢！根據

Coremail論客與奇安信統計的2020年全國企業級郵箱使用者收到釣魚郵件、病毒郵件的監測資料

：

2020年共收到垃圾郵件約3，946。4億封，約佔企業級使用者郵件收發總量的59。42%，其中包括病毒和釣魚郵件，僅有4成為正常郵件。

2017-2020年，釣魚郵件與病毒郵件的數量均呈逐年上升的趨勢；2020年收到釣魚郵件460。92億封，病毒郵件492。16封；預計2021年，兩者均會超過500億封！

在這樣嚴峻的背景下，釣魚郵件、病毒郵件如果偽裝成可信的發件人，攻擊力度將更為嚴重！

發信人偽造例子

WebUI不顯示任何欺騙警報

欺騙電子郵件透過所有電子郵件安全協議驗證

此前，Coremail與清華大學、奇安信等合著的論文

《Weak Links in Authentication Chains: A Large-scale Analysis of Email SenderSpoofing Attacks》（譯作《驗證鏈中的薄弱環節研究: 電子郵件發件人偽造攻擊的大規模分析》）

已對偽造發信人的釣魚郵件攻擊進行過研究。

值得一提的是，這一成果已發表於國際網路安全領域頂級會議

USENIX Security 2021

上。

該研究透過對30個目標電郵服務端的發件人攻擊實驗，

發現30家電子郵件服務商，以及多個郵件客戶端，都存在不同程度的缺陷，無法正確識別發信人偽造攻擊。

對於這一項研究結論，多個郵件服務商均給予了積極的迴應！

#1、阿里雲：

對這些研究中提到的攻擊很感興趣，並且現在已經認識到在沒有驗證的情況下就新增DKIM簽名的風險，並承諾會評估和修復此類問題。

#2、新浪郵箱：

將我們研究中提出的問題評估為高風險的脆弱性，並在內部評估相應的保護措施。並給予了一定的獎勵。

#3、Gmail:

對我們的研究內容表示贊同，並將在隨後的更新中修復相關問題。並且表示後續會聯絡我們，討論這些安全問題背後的基本原因。

#4、163、QQ郵箱

感謝我們在研究中的工作，並告知我們將透過反垃圾郵件策略來解決這些安全問題。

大會上，Coremail技術副總裁林延中先生基於Coremail對郵件安全技術的實踐，全面解析發信人偽造攻擊的根本原因，並提出了一系列處置建議。

Coremail研究發現，郵件發信人能偽造成功的根本原因有以下3點：

1、多協議之間的弱關聯

SPF、DKIM和DMARC被提出和標準化，以防止來自不同方面的電子郵件欺騙攻擊。然而，只有當所有協議都執行良好時，電子郵件系統才能防止電子郵件欺騙攻擊。在此基於鏈的身份驗證結構中，任何鏈路的失敗都會導致身份驗證鏈無效

2、多角色之間的弱關聯

身份驗證發件人的身份是一個複雜的過程。它涉及四個重要的角色：發件人、接收人、轉發器和UI渲染器。許多電子郵件服務並沒有在所有四個角色中實施正確的安全策略。

3、多服務之間的弱關聯

不同的電子郵件服務通常有不同的配置和實現。一些服務禁止傳送標題不明確的電子郵件，但可以接收它們。相反，另一些郵件允許傳送標題含糊的電子郵件，但在接收驗證階段進行非常嚴格的檢查。安全策略之間的差異使得攻擊者能夠從具有

鬆散傳送策略

的服務，向具有

鬆散接收策略

的服務傳送欺騙電子郵件

基於以上問題，我們需要：

1、更確切的標準

提供更準確的電子郵件協議描述，以消除多方協議實踐中的不一致性。例如，DKIM標準應指定何時應向轉發的電子郵件中新增DKIM簽名。轉發商新增DKIM簽名以提高電子郵件的可信度是合理的；但是，他們不應該向從未透過DKIM驗證的電子郵件中新增DKIM簽名。

2、更好的使用者介面通知

電子郵件UI需要呈現更多的身份驗證細節，幫助普通使用者很難判斷電子郵件的真實性。

所以，Coremail的建議防禦方案如下:

針對Mail From和From的不一致，由管理員配置是否允許

若郵件來源為空，SPF嚴格支援對HELO的校驗

可設定拒絕多個From的郵件，嚴格的協議解析

UI顯示郵件驗證的異常提示

目前，

Coremail 已經採用了此方案，並在郵件的網頁端和客戶端為使用者實施了該方案。

此外，研究團隊還在 Github 上釋出了測試工具，供電子郵件管理員評估和提高他們的安全性。

當然，想要更全面地防禦郵件安全攻擊，需要形成安全生態體系，沒有任何一家企業能夠獨立解決全部安全問題。同時，要形成全球同感知，需要更多研究者加入進來，共同研究郵件安全的狀態與趨勢。