企业邮件安全防护实践
|
副标题[/!--empirenews.page--]
【大咖·来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》
邮件系统作为一种有效的内外部工作沟通平台,在企业内得到广泛使用。同时,广告邮件、垃圾邮件、钓鱼邮件等问题就成了企业邮件安全头号难题。所以我们的企业安全人员以往更多关注反垃圾邮件,向对数据保密,反钓鱼方向演进。 然而,从Email诞生到今天,SMTP协议没有根本性变化。这对攻击者而言是一个利好消息。因此,邮件成为了突破一家企业边界,发起网络攻击和信息窃取非常好的入口。我们看到,近年来随着技术水平的提升和利益的趋动,APT攻击、勒索软件开始流行起来。从美国大选,希拉里邮箱被黑客攻破到每一个人都遇到的Locky,Wannercry 勒索软件通过钓鱼邮件方式大量传播,很多企业用户中招导致文档被加密都有从侧面印证这一点。本文从作者从企业建设和个人日常邮件使用两个层面,既为企业邮件安全建设提出建议,也为个人日常邮件使用提供一些技巧,帮助企业减少邮件方面所面临的困扰。 一、企业建设 1. 服务器通用安全防护 大多邮件服务器同大多数企业自建立系统一样,很多客户的邮件也都有对外的WEB端,因此,对外发布后都有WEB应用系统所面临的攻击邮件系统都有可能遇到。如 anymacro邮件系统SQL注入: anymacro是国内较流行的一家企业级邮箱系统,客户主要为教育/政府机构。注入点存在的位置:https://mail.xxx.com/down.php?netdisk=1
因此,在基础防护这部分,建议企业在邮件系统防护过程中部署NF,IPS,WAF等安全防护设备,以保护邮件服务器的基础环境安全。
2. 邮件服务器特有威胁防护 (1) 发件人身份伪造防护 除了互联网或WEB业务通用的安全问题外,邮件还有其自身的一些性安全隐患,最为常见的是邮件发件人身份伪造。 邮件发件身份伪造攻击是指攻击者冒充、伪造或篡改真实的用户地址来发送邮件,以达到迷惑被攻击者,实现钓鱼或其他目的。也是近年来攻击者使用邮件进行攻击最为常用的方式。究其根本原因是SMTP协议本身的缺陷^1引起的。STMP协议被设计和制作时,鉴于历史原因,并没有考虑到身份认证等安全性问题。使用SMTP进行邮件发送时,其实是不需要进行发送者身份认证的,这可能和各位感受到的情况不一样,我们发送邮件时都需要登录呀,其实,这是邮件服务商来实现的,而并不是SMTP协议所必须的。鉴于这种缺陷,邮件发送人往往可以冒充他人的身份进行邮件发送。常见的防护方法有发件人策略框架(SPF)和域名密钥识别邮件(DKIM)两种,下面分别描述。 (2) SPF防邮件伪造 SPF(Sender Policy Framework) 是一种以IP地址认证电子邮件发件人身份的技术。其工作流程如下:
当企业定义了邮件域名的SPF记录之后,邮件接收方会在收到你的邮件后,首先检查域名对应的SPF记录(图中2步),来确定发送者的IP地址是否包含在SPF记录里(图中3步),从而判断邮件的真实发送源。如果发件IP存在于SPF记录中,就认为是一封正确的邮件(图中5步),否则会被认为是一封伪造的邮件进行退回或丢弃处理(图中6步)。SPF可以防止别人伪造你来发邮件,是一个反伪造性邮件的解决方案。设置正确的 SPF 记录可以提高邮件系统发送外域邮件的成功率,也可以一定程度上防止别人假冒你的域名发邮件。 设置SPF记录: SPF 是通过「SPF 记录」和「TXT 记录」来检查的。使用 TXT 记录主要是兼容性的考量:一部分老的 DNS 服务器有可能不支持 SPF 记录,因此只能拿 TXT 记录来代替; OpenSPF 建议在这段过渡时期,SPF 记录和 TXT 记录都要添加,SPF 记和 TXT 记录因此也是非常相近的。 以阿里云图形化配置为例:
如果要让其他域名或其他公司的邮件系统可为代发邮件,可以加入其他域名,对应的IP或对应公司spf记录中的值,格式如下:
(3) DKIM(DomainKeysIdentified Mail)防邮件做伪造 (编辑:江门站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
