2024-05-23 11:20:20
上海辰童科技有限公司
(1)邮件内容仿冒
在不仿冒域而正常发送欺诈邮件内容攻击电子邮件服务系统时,gmail和hotmail会拒收所有的恶意邮件,tutanota、inbox.lv 会将恶意邮件放入垃圾邮箱。大部分邮箱可以正常接收所有的恶意邮件(即在收件箱中出现,且没有恶意邮件标记),尤其是钓鱼URL和病毒附件这两种情况。
表5 邮件服务提供商仿冒邮件入侵响应策略 Table5 Intrusion response strategy of email providers on spoofing e-mail
| 邮件服务提供商 | 正常域 | 伪造域 | 伪造信头 | ||||||
| 正常邮件 | 空邮件 | 钓鱼url | 病毒附件 | 无DMARC | DMARC none | DMARC reject | 同域 | 不同域 | |
| 垃圾内容无SPFSPF~ | SPF-SPF~SPF- | SPF~SPF- | |||||||
| 126.com |  | ||||||||
| 139 com | |||||||||
| 263.net | |||||||||
| gmall.com | |||||||||
| rambler ru | |||||||||
| rediff.co in | |||||||||
| tocom | |||||||||
| yeah.nct | |||||||||
| tutanota.com | |||||||||
| protonmall.com | |||||||||
| inbox Iv | |||||||||
| seznam.cz | |||||||||
| runbox com | |||||||||
| p.pl | |||||||||
| interia.pl | |||||||||
| op.pl | |||||||||
| zoho.com | |||||||||
| email.hu | |||||||||
| onu com | |||||||||
| nall con | |||||||||
| fastmail com | |||||||||
| orlet | |||||||||
| 189cn | |||||||||
| foxmail.com | |||||||||
| qq.com | |||||||||
| 21cn.com | |||||||||
| mail,r | |||||||||
| aol.com | |||||||||
| yahoo.com | |||||||||
| yandex.com | |||||||||
| outlook.com | |||||||||
| aliyun.com | |||||||||
| juno.com | |||||||||
| excite.com | |||||||||
| sina.com | |||||||||
| 163.com | |||||||||
| naver com | |||||||||
| vip.sina.com | |||||||||
这表明电子邮件服务提供商使用的内容过滤机制为了避免过滤掉正常邮件,涉及的垃圾邮件特征词较少,或最终过滤参数值较低,造成收件箱收到大量垃圾邮件。
(2)域仿冒
使用域仿冒攻击电子邮件服务系统时,SPF策略为“fail”,DMARC 策略为“reject”时,邮件服务提供商大多启动响应系统拒绝接收仿冒邮件。然而当域仿冒没有使用严格的安全扩展协议策略时,有9个邮箱能正常接收到这些仿冒邮件且没有任何标记。而若发件域未配置任何安全扩展协议时,有 10 个邮箱可以正常接收到这些邮件,还有6个邮箱会将其放入垃圾邮箱中。因而攻击者非常喜欢仿冒未配置任何安全扩展协议的邮箱域名作为仿冒的发件域发送欺诈邮件,以跳过接收端邮件服务提供商的欺诈检测机制。实验过程中,还查看了这些邮箱的域仿冒邮件的头部信息,发现大部分有Authentication-Results字段,并且对该邮件的检测结果为欺诈检测失败或给予标记,然而在该邮件信头或信体并未发现任何提示信息。
(3)信头仿冒
使用信头仿冒攻击电子邮件服务系统时,同域、不同域仿冒信头,收件邮箱响应策略基本相同。并且这些仿冒邮件的接收率明显高于使用域仿冒策略的接收率,大部分邮件服务提供商采取将这些仿冒邮件放入垃圾邮箱或标记提醒的策略。
4.2.3 结果分析
本文实验有4个关键发现。首先,大多数流行的电子邮件服务提供商具有检测仿冒邮件的功能,但即使接收者执行了所有安全扩展协议检查(SPF、DKIM、DMARC),仍然有允许仿冒的电子邮件进入用户收件箱。其次,通过接收到的电子邮件头部信息发现即使电子邮件服务提供商检测到仿冒邮件,且发件域配置了严格有效的策略,接收域也未必按照发件域给定的策略拒绝接收电子邮件或对域检测失败的电子邮件进行标记。然后,就发送恶意邮件内容而言,大部分邮件服务提供商为了防止过滤掉正常邮件,设置的基于内容的垃圾邮件过滤策略强度很低,恶意邮件可以顺利进入用户收件箱,由用户对恶意邮件进行人工判别。最后,一旦电子邮件服务提供商收到仿冒的电子邮件,大多数提供商在用户收件箱界面不会向用户发出警告。
5 电子邮件安全扩展协议部署建议及对策
尽管电子邮件承载了一些用户最敏感的信息,但传统电子邮件协议最初并不包括对消息真实性的支持。在过去的20年中,邮件系统使用多种安全机制(包括 SPF、DKIM 和 DMARC)对传统电子邮件协议进行了改进。尽管这些身份检测协议可以识别电子邮件发件人真实性及电子邮件内容是否被篡改,但当前配置严格有效的安全扩展协议的邮箱域名较少,不能有效地防护钓鱼邮件攻击。为了强化电子邮件安全扩展协议检测技术的有效性,从而保护用户免遭钓鱼邮件攻击,本节提出以下几个电子邮件服务提供商防护建议。
1) 发布有效的SPF协议且SPF协议采用严格策略。结合相关RFC文件,部署SPF协议时建议使用“fail”或“softfail”策略,保证收到仿冒邮件时接收方可以有效过滤掉这些恶意邮件或对该邮件标注代发以警示接收者。
2) 发布有效的 DMARC 协议且标明安全扩展协议检测失败后通知警告的管理员邮箱。将仿冒邮件的发件人及使用的 IP 地址发送到管理员邮箱,以便管理员采取有效措施应对仿冒邮件,将恶意发件人及IP地址加入黑名单,也可降低其他邮箱接收恶意邮件的概率。
3)严格检查接入电子邮件的发件人身份信息。接收域的SMTP服务器实时监控和安全扫描技术对接入电子邮件进行安全检测,确定电子邮件身份来源,发现电子邮件异常情况,识别可能发生的攻击行为。严格采用发件域指定的策略过滤并提示电子邮件安全扩展协议检测失败的电子邮件,及时过滤掉仿冒邮件并向发件域管理员邮箱发送安全检测报告,将可疑IP列入黑名单。
4)收件箱界面给予用户安全警告信息。当接收域邮件服务器收到疑似欺诈邮件后,电子邮件服务提供商对该电子邮件应采取显著标记,警告收件账户发件人使用的发件地址与真实发件地址不匹配,安全扩展协议检测失败,根据关键词匹配该邮件为垃圾邮件或钓鱼邮件的概率是多少等,这样,接收者可以及时发现并自我判断该邮件是否为仿冒邮件,以减少被欺骗的可能。
6 结束语
尽管电子邮件中承载了大量用户敏感信息,然而,按照最初的设想,SMTP 协议(负责在邮件服务器之间中继邮件的协议)不对发送方进行欺诈检测,相反,邮件服务提供商通过一些扩展协议(SPF、DKIM、DMARC 等)支持这些功能,确保邮件传输通信双方的真实性。本文基于主被动协同的方法,通过构建属性图多表征融合标识邮箱域名,分析政府机构电子邮件服务提供商安全扩展协议的部署现状及仿冒邮件进入用户邮箱时,各邮箱给予的安全防护警告策略。实验结果表明,目前各国政府机构安全扩展协议采用率较低,尤其是DMARC 协议,当仿冒的电子邮件进入用户邮箱时,大多数电子邮件服务提供商缺少必要的警告机制来通知用户。希望通过阐述安全邮件面临的主要挑战,邮件服务提供商管理员可以采用有效的邮件服务保护措施,提升邮件服务系统部署安全性,以保护用户传输电子邮件的真实性,免受网络钓鱼攻击。