2024-05-22 10:41:20
上海辰童科技有限公司
邮件服务是互联网最基础的服务之一,在互联网通信中有着不可替代的作用。近年来,鱼叉式网络钓鱼持续威胁用户和组织,账号密码被钓鱼等恶性事件层出不穷。根据 2019 年赛门铁克《互联网威胁安全报告》,每412封电子邮件中就有1封包含恶意软件攻击,每月有7 710个组织受到“商务电子邮件”攻击。根据沃通报告, 2019 年商务电子邮件泄露攻击给组织机构造成约17.7亿美元的损失,针对商务电子邮件攻击,黑客最常用的手段就是冒充企业高管给员工发送电子邮件,指示员工执行某项操作。2020年2月7 日,国家互联网应急中心发出预警,通报网络不法分子利用2019新型冠状病毒相关题材,冒充国家卫生健康委员会等疫情防控部门,向我国部分单位和用户投放与新型肺炎疫情相关的钓鱼邮件。造成这些恶性事件的原因大多数是攻击者应用欺骗技术模仿受信任的实体,以进行具有高度欺骗性的网络钓鱼攻击,因此电子邮件身份验证十分重要。
针对电子邮件身份验证主要有3个安全扩展协议:发件人策略框架(SPF,sender policy framework)、域名密钥识别邮件标准(DKIM, domain keys identified mail)和基于域的邮件验证、报告和一致性(DMARC,domain-based message authentication,reporting and conformance)。SPF协议负责检查发件人是否仿冒了邮箱域名,DKIM 协议不仅可以检查发件人身份信息,还可以检测邮件内容是否被篡改,然而 SPF和DKIM协议只负责检测发件人身份,对于检测结果的处理并不明确,狡猾的攻击者很快发现并利用这些安全协议的不足之处,继续制造和发送钓鱼邮件。DMARC 协议是基于现有的 SPF 和DKIM 两大主流电子邮件安全协议发展而来的,与上面两种协议不同的是,DMARC 协议在检测发件人身份信息后要求生成一份检测结果报告发送到指定的管理员邮箱,以便管理员对钓鱼邮件及发件人信息做定期检查处理。基于3种安全扩展协议,可以确保消息的真实性,防止攻击者篡改或仿冒电子邮件。然而,2015 年进行的Realworld测量显示,在Alexa Top1Million域中,仅有40%具有SPF协议,1%具有DMARC协议,并且很多配置上存在格式错误或缺少版本信息等问题[1,2]。
在政企类机构中,邮件服务作为主要的交互手段,其承载了大量的高价值信息,是黑客发起网络攻击和信息窃取的主要入口,因此对于政企类机构,验证传入电子邮件的真实身份信息尤为重要。为了分析特定企业邮箱域名安全扩展协议部署策略,需要全面获取邮箱域名并对邮箱域名属性进行标识。邮箱域名发现与标识方法有主动采集、被动获取、主被动协同3种。主动采集法通过网络爬虫直接从相关网站上获取所需数据,获取的数据可知可溯源,易于标识属性信息。但该方法多数情况下只能获得企业网站域名,发现的数据有限。被动获取的方法全面依赖于网络中已有的流量,涉及范围大,数量多,可以对主动采集中缺少的数据予以补充,通过特征匹配识别邮箱域名与网站域名之间的关系。但被动数据关联性弱,缺少邮箱域名属性信息。主被动协同的方法可以结合主动测量可知可溯源性及被动测量的广泛性全面采集并标识邮箱域名。
本文主要研究现有安全扩展协议安全配置现状。首先基于主被动协同的方法,多表征融合标识邮箱域名。其次,基于邮件信源认证机制,对政府机构所使用的电子邮件服务提供商的安全扩展协议的采用率进行测量分析比较。最后,从邮件内容仿冒、域仿冒、信头仿冒3方面研究构建电子邮件仿冒模型,模拟端到端的仿冒邮件实验,探究邮件服务提供商如何在电子邮件可用性与安全性之间进行权衡,及邮件服务提供商检测策略与客户端真实通知之间的差距,全面分析邮件安全扩展协议部署效果。
本文的主要贡献有3项。
1) 基于主被动协同的方法多表征融合标识邮箱域名。
2) 基于属性图标识邮件安全扩展协议部署策略。
3) 基于欺诈邮件原理,提出多维度仿冒邮件策略,揭示电子邮件提供商如何处理仿冒电子邮件,如何在电子邮件可用性和安全性之间达到权衡。
2 相关工作
电子邮件系统是基于简单邮件传输协议(SMTP,simple mail transfer protocol)[1]构建的,该协议最初设计时并未考虑安全性。后来引入了众多安全扩展协议,以提供机密性、完整性和真实性[2]。本文主要关注电子邮件的真实性,网络钓鱼攻击者通常滥用该属性对用户进行欺诈攻击。下面将首先介绍电子邮件真实性检测协议发展历程及本文测量涉及的电子邮件安全扩展协议,然后介绍电子邮件安全扩展协议的研究现状及不足。
域名安全扩展协议采用的策略及配置有效性,具体步骤如下。
1) 发送请求。安全扩展协议主要包括SPF、DKIM、DMARC这3个,因此依次向DNS服务器发起3个请求Rspf、Rdkim、Rdmarc,查询邮箱域名的SPF、DKIM与DMARC记录。
2) 标记安全扩展协议查询结果,如图2 所示。安全扩展协议查询结果标记分3方面进行。首先标记Rspf请求结果,Rspf请求结果包括邮箱域名允许发送的 IP 段 SPF_ip,协议检测失败推荐给接收者使用的策略 SPF_strategy 等,并与邮箱域名节点 V 建立λ(SPF)。然后标记 Rdkim请求结果,请求Rdkim时要提供邮箱域名的Selector(选择器)信息,Rdkim查询结果主要为邮件加密公钥pkT,并与邮箱域名节点 V 建立λ(DKIM)。最后标记Rdmarc请求结果,Rdmarc请求结果主要包括协议检测失败推荐给接收者使用的策略DMARC_strategy,以及发送报告的管理员邮箱信息 DMARC_report,并与邮箱域名节点 V 建立λ(DMARC)。
图2
图2 邮箱域名标识属性图(样例2) Figure 2 Property graph of e-mail domain identification (sample 2)
3) 解析安全扩展协议部署策略。提取SPF_strategy和DMARC_strategy节点,解析SPF、DMARC协议安全扩展协议检测策略strategy(Di)。
3.3 端到端的电子邮件仿冒策略
为了检测不同安全扩展协议对电子邮件的发送结果的影响,本文依照不同维度,设计了三大类电子邮件仿冒策略,包括邮件内容仿冒、域仿冒、信头仿冒。为了增强实验结果的说服力,每种策略都会发送若干封正常邮件做对比实验。
(1)邮件内容仿冒
电子邮件内容仿冒主要包括空白邮件blank_email、垃圾邮件内容spam、钓鱼URL及病毒附件virus_attach。由于电子邮件内容会影响垃圾邮件过滤器处理电子邮件的方式。不同的关键字对垃圾邮件过滤器的权重可能不同,从而影响测量结果,因此针对邮件内容仿冒的每种形式分别发送 5 封邮件做实验,保证实验的准确率。
(2)域仿冒
域仿冒策略是发件人通过远程访问被攻击邮箱的MX记录指向的邮件服务器,无须账户密码验证,直接仿冒mail from字段的发件人地址,模仿受信实体,将仿真邮件发送给接收者邮箱,进行网络钓鱼,如图3所示。域仿冒策略的发件域选择主要采用以下 7 种形式:① 没有 SPF、DMARC 记录;② SPF 策略为“soft fail”、无DMARC记录;③ SPF策略为“soft fail”、DMARC记录为“none”;④ SPF策略为“soft fail”、DMARC记录为“reject”;⑤ SPF策略为“fail”、无DMARC记录;⑥ SPF 策略为“fail”、DMARC 记录为“none”;⑦ SPF策略为“fail”、DMARC记录为“reject”。
(3)信头仿冒
信头仿冒策略是发件人通过账号密码登录自己的邮箱,仿冒邮件头部from字段,将仿真邮件发送给接收者邮箱,进行网络钓鱼,如图4所示。由于接收人在接收邮件时只能看到信头的发件人,而一般不会刻意检查邮件头部信息,也就无法了解真实的发件人,因而该手段也是黑客进行网络钓鱼的一个策略。在设计欺骗邮件时,信头仿冒主要采取了两种形式:同域(如a@163.com仿冒为b@163.com)和不同域(如a@163.com仿冒为b@qq.com)。
4 电子邮件安全扩展协议测量结果
4.1 电子邮件安全扩展协议采用率
在政府机构中电子邮件不仅承载着一种沟通的需要,更多的时候是作为一种发布告知及传达国家机密消息的工具来使用,本节针对目前全球政府机构电子邮件安全扩展协议采用率做全面测量,分析电子邮件安全扩展协议在政府机构中的部署现状,为电子邮件提供商检测欺诈邮件策略提供背景。
图3
图3 域仿冒发送电子邮件原理 Figure 3 The principle of sending e-mail by domain phishing
图4
图4 信头仿冒发送电子邮件原理 Figure 4 The principle of sending e-mail by letterhead phishing
4.1.1 数据集情况
基于多通道采集技术、主被动结合,提取属性图中邮箱类别标识为政府的邮箱域名节点。这些节点的数据分别来自:① Alexa网站,首先按类别获得各国政府网站域名,再从Alexa排名前100 万的域名中,依据域名后缀特征提取各国政府域名(中国.gov.cn,美国.gov、.mil,日本.go.jp、.lg.jp,俄罗斯.gov.ru、.mid.ru、.mil.ru);② 各国政府官网,经过邮件交换(MX,mail exchanger)记录筛选,统计到的数据情况如表2所示。
表2 邮箱域名个数统计 Table 2 E-mail domain number statistics
| 国家 | 邮箱域名个数/个 |
| 中国 | 750 |
| 美国 | 2 392 |
| 日本 | 360 |
| 俄罗斯 | 164 |
4.1.2 测量结果
测量过程中,由于DKIM记录需要提供每个域的选择器信息,而选择器信息仅出现在电子邮件头部的DKIM签名中,而非公共信息,因此本文不做大规模的DKIM测量。测量过程通过属性图标识邮箱域名安全扩展协议,分析各国政府机构是否配置安全扩展协议、采用的策略及配置有效性。
(1)SPF协议部署情况(如表3所示)
SPF 协议部署率方面,中国政府机构的邮件系统SPF协议部署率明显偏低,仅有40%的域部署了SPF记录,其他国家的SPF记录配置率达到了70%以上,日本的政府邮件系统的SPF记录配置率达到93.33%,配置率较高。
有效性方面,无效的SPF记录一方面是管理员配置错误,如将 SPF 记录配置为 DKIM 或DMARC记录,或未标明SPF记录版本号,或者SPF 记录配置为乱码;另一方面是因为管理员配置时未采用“严格”策略,使接收者仍能接收到SPF 检测失败的邮件。实验结果显示,美国政府邮件系统的无效SPF记录约7.68%,部署有效性较弱。
SPF记录配置策略方面,中国的政府邮件系统都采取拒绝和标记策略,正确配置了 SPF 策略的邮件系统都是严格有效的。美国的政府邮件系统SPF记录配置上有10.17%采用了“?”的形式,这表示如果发送者的邮件服务器 IP 地址未命中mechanism中标记的允许发送的IP地址范围,也会送达收件人的邮箱中,这同样存在安全隐患。
(2)DMARC协议部署情况(如表4所示)
总体上看,各国的DMARC记录配置率都很低,尤其是日本的所有一级行政区政府邮件系统都没配置 DMARC 记录。美国和俄罗斯的DMARC协议部署率较其他国家相对高些,然而,部署率也不到30%,DMARC协议的部署需要引起各国邮件服务管理员的高度重视。
表3 各国政府机构SPF协议配置策略 Table 3 SPF strategy of government strategies in different countries
| 国家 | 有SPF记录 | SPF记录无效 | SPF策略为“-” | SPF策略为“~” | SPF策略为“?” | SPF策略为“+” |
| 中国 | 40.00% | 3.23% | 55.64% | 44.36% | 0.00% | 0.00% |
| 美国 | 74.72% | 7.68% | 44.07% | 45.49% | 10.17% | 0.27% |
| 日本 | 93.33% | 1.19% | 58.01% | 41.39% | 0.60% | 0.00% |
| 俄罗斯 | 72.56% | 2.52% | 42.27% | 54.64% | 2.06% | 1.03% |
表4 各国政府机构DMARC协议配置策略 Table 4 DMARC strategy of government strategies in different countries
| 国家 | 有DMARC记录 | DMARC记录无效 | DMARC策略为none | DMARC策略为quarantine | DMARC策略为reject |
| 中国 | 3.20% | 0.00% | 95.83% | 0.00 | 4.1% |
| 美国 | 26.66% | 9.58% | 38.85% | 6.83% | 54.30% |
| 日本 | 5.83% | 28.57% | 75.00% | 0.00% | 25.00% |
| 俄罗斯 | 21.34% | 20.00% | 41.18% | 14.71% | 44.12% |
有效性方面,在配置了DMARC记录的邮箱域名中,有9.28%的域名将DMARC记录内容配置成SPF记录内容,另有2.90%格式错误,这些无效的DMARC记录占比非常高。
DMARC 记录配置策略方面,目前配置了DMARC策略的邮件系统有40.71%的邮箱域名采用严格有效策略,绝大部分采用的是若 SPF、DKIM检测失败,仍然将该邮件发到接收者邮箱,这并不代表该配置是不安全的,因为只要配置了rua 和 ruf 字段,管理员仍能看到这部分 SPF 或DKIM检测失败的发送域和IP。这样配置是因为担心SPF或DKIM错误检测的正常邮件退回,若反馈到管理员邮箱的某个IP地址超过一定次数,并确定该IP发送的邮件均为垃圾或钓鱼邮件,再将其策略设置为“reject”。
4.2 端到端的电子邮件仿冒实验
电子邮件是网络钓鱼和社会工程攻击的主要目标。然而,根据 4.1 节电子邮件安全扩展协议采用率的测量结果显示,邮件服务提供商SPF和DMARC 的采用率较低。另外,即使部署了安全扩展协议,也有很多未采用严格有效的策略。对于电子邮件服务提供商来说,可靠地验证所有传入电子邮件仍然是挑战。下文将模拟端到端的电子邮件欺骗实验以检测当电子邮件欺诈检测失败时,电子邮件服务提供商会采取哪些措施应对这些攻击,如何在电子邮件传递和安全性之间进行权衡。
4.2.1 数据集情况
本文选用常用电子邮箱进行端到端的电子邮件仿冒实验,有3个原因:① 据统计,超过10亿用户在注册私人电子邮箱时首选公共电子邮件服务提供商,如Yahoo Mail和Gmail,它们的安全策略和设计选择会影响更多的人;② 很多政府机构没有专门的邮件服务管理员搭建管理自己的邮件系统,因而,普遍选择租用公共邮件服务提供商的邮件服务器或直接使用公共邮箱收发邮件;③ 公共电子邮件服务对外开放,使用户可以创建一个账户作为接收者,从接收端搜集数据分析。依据 OnlineEmailVerify提供的全球 Top100 的常用邮箱列表,成功注册其中的 38 个电子邮箱账户。实验中,将这38个邮箱账户作为电子邮件接收端,建立了一个实验服务器,将不同策略仿冒的电子邮件发送到接收者账户,如图5所示。该服务器运行Postfix邮件服务,使SMTP直接与目标邮件服务器进行交互。通过登录这些邮箱账户观察仿冒电子邮件接收结果,推断目标电子邮件服务提供商内部的决策过程。
4.2.2 实验结果
了邮件服务提供商针对欺诈邮件入侵的响应结果。其中○代表正常接收;∞代表该邮件进入垃圾邮箱;∆代表标记代发;●表拒绝接收。
图5
实验结果显示,除gmail.com、hotmail.com、tutanota.com外,其余35个邮箱都接收到至少一封仿冒邮件。
(1)邮件内容仿冒
在不仿冒域而正常发送欺诈邮件内容攻击电子邮件服务系统时,gmail和hotmail会拒收所有的恶意邮件,tutanota、inbox.lv 会将恶意邮件放入垃圾邮箱。大部分邮箱可以正常接收所有的恶意邮件(即在收件箱中出现,且没有恶意邮件标记),尤其是钓鱼URL和病毒附件这两种情况。