毕业论文
您现在的位置: 电子信箱 >> 电子信箱资源 >> 正文 >> 正文

如何防范新型邮件发信人伪造攻击Corem

来源:电子信箱 时间:2024/9/23

8月26日,北京网络安全大会(简称BCS)以云峰会形式盛大启幕。

Coremail作为邮件行业领军者受邀参会,Coremail技术副总裁林延中在线上进行了主题为《邮件安全协议Bypass:新型电子邮件发信人伪造攻击与防范的研究》的分享。此次的分享,指出了当前的一系列新型发件人伪造攻击问题,并给出了关键的处理建议。

Coremail具有丰富的邮件安全经验。从年开始,Coremail一直致力于邮件反垃圾工作。CAC云安全中心每日支撑服务客户数量高达家,日均反垃圾分析请求量高达3千万封,日均截获高危恶意邮件超过万。

我们看到,邮件安全正面临着严峻的形势!根据Coremail论客与奇安信统计的年全国企业级邮箱用户收到钓鱼邮件、病毒邮件的监测数据:

年共收到垃圾邮件约3,.4亿封,约占企业级用户邮件收发总量的59.42%,其中包括病毒和钓鱼邮件,仅有4成为正常邮件。

-年,钓鱼邮件与病毒邮件的数量均呈逐年上升的趋势;年收到钓鱼邮件.92亿封,病毒邮件.16封;预计年,两者均会超过亿封!

在这样严峻的背景下,钓鱼邮件、病毒邮件如果伪装成可信的发件人,攻击力度将更为严重!

发信人伪造例子

WebUI不显示任何欺骗警报

欺骗电子邮件通过所有电子邮件安全协议验证

此前,Coremail与清华大学、奇安信等合著的论文《WeakLinksinAuthenticationChains:ALarge-scaleAnalysisofEmailSenderSpoofingAttacks》(译作《验证链中的薄弱环节研究:电子邮件发件人伪造攻击的大规模分析》)已对伪造发信人的钓鱼邮件攻击进行过研究。

值得一提的是,这一成果已发表于国际网络安全领域顶级会议USENIXSecurity上。

该研究通过对30个目标电邮服务端的发件人攻击实验,发现30家电子邮件服务商,以及多个邮件客户端,都存在不同程度的缺陷,无法正确识别发信人伪造攻击。

对于这一项研究结论,多个邮件服务商均给予了积极的回应!

#1

阿里云:

对这些研究中提到的攻击很感兴趣,并且现在已经认识到在没有验证的情况下就添加DKIM签名的风险,并承诺会评估和修复此类问题。

#2

新浪邮箱:

将我们研究中提出的问题评估为高风险的脆弱性,并在内部评估相应的保护措施。并给予了一定的奖励。

#3

Gmail:

对我们的研究内容表示赞同,并将在随后的更新中修复相关问题。并且表示后续会联系我们,讨论这些安全问题背后的基本原因。

#4

、QQ邮箱

感谢我们在研究中的工作,并告知我们将通过反垃圾邮件策略来解决这些安全问题.

大会上,Coremail技术副总裁林延中先生基于Coremail对邮件安全技术的实践,全面解析发信人伪造攻击的根本原因,并提出了一系列处置建议。

Coremail研究发现,邮件发信人能伪造成功的根本原因有以下3点:

1、多协议之间的弱关联

SPF、DKIM和DMARC被提出和标准化,以防止来自不同方面的电子邮件欺骗攻击。然而,只有当所有协议都执行良好时,电子邮件系统才能防止电子邮件欺骗攻击。在此基于链的身份验证结构中,任何链路的失败都会导致身份验证链无效

2、多角色之间的弱关联

身份验证发件人的身份是一个复杂的过程。它涉及四个重要的角色:发件人、接收人、转发器和UI渲染器。许多电子邮件服务并没有在所有四个角色中实施正确的安全策略。

3、多服务之间的弱关联

不同的电子邮件服务通常有不同的配置和实现。一些服务禁止发送标题不明确的电子邮件,但可以接收它们。相反,另一些邮件允许发送标题含糊的电子邮件,但在接收验证阶段进行非常严格的检查。安全策略之间的差异使得攻击者能够从具有松散发送策略的服务,向具有松散接收策略的服务发送欺骗电子邮件

基于以上问题,我们需要:

1、更确切的标准

提供更准确的电子邮件协议描述,以消除多方协议实践中的不一致性。例如,DKIM标准应指定何时应向转发的电子邮件中添加DKIM签名。转发商添加DKIM签名以提高电子邮件的可信度是合理的;但是,他们不应该向从未通过DKIM验证的电子邮件中添加DKIM签名。

2、更好的用户界面通知

电子邮件UI需要呈现更多的身份验证细节,帮助普通用户很难判断电子邮件的真实性。

所以,Coremail的建议防御方案如下:

针对MailFrom和From的不一致,由管理员配置是否允许

若邮件来源为空,SPF严格支持对HELO的校验

可设置拒绝多个From的邮件,严格的协议解析

UI显示邮件验证的异常提示

目前,Coremail已经采用了此方案,并在邮件的网页端和客户端为用户实施了该方案。此外,研究团队还在Github上发布了测试工具,供电子邮件管理员评估和提高他们的安全性。

当然,想要更全面地防御邮件安全攻击,需要形成安全生态体系,没有任何一家企业能够独立解决全部安全问题。同时,要形成全球同感知,需要更多研究者加入进来,共同研究邮件安全的状态与趋势。

转载请注明:http://www.0431gb208.com/sjslczl/7837.html