網絡安全是一個動態環境,舊威脅不斷演變,新威脅不斷湧現,SMTP 走私等威脅清楚地提醒我們及時瞭解網絡安全威脅和防禦網絡攻擊方法的重要性。但究竟甚麼是 SMTP 走私,它是如何運作的?
甚麽是 SMTP?
簡單郵件傳輸協定(SMTP)是一種 TCP/IP 網絡協定,可促進不同電腦和伺服器之間的電子郵件傳輸。此協定的使用非常廣泛,SMTP 電子郵件用戶端包括如 Gmail、Outlook、Yahoo 和 Apple 等。
那麼,電子郵件中的 SMTP 究竟是甚麼?在 Microsoft Outlook 等用戶端撰寫電子郵件後,電子郵件會被傳送到 SMTP 伺服器,該伺服器會查看收件者的網域,查找要將電子郵件傳送到的相應電子郵件伺服器。如果該過程運行順利,收件者所在網域中的 SMTP 伺服器將處理電子郵件,並將郵件傳送或在傳送之前使用 SMTP 透過另一個網絡轉發郵件。
關於 SMTP 需要注意的一件重要事情是它的身份驗證能力向來受到限制。因此,電子郵件詐欺已成為一個嚴重的問題。攻擊者只需選擇正確的工具(可能是另一個郵件用戶端、腳本或實用程式)即可選擇寄件者的姓名。 然後,攻擊者會透過電子郵件進行針對性的攻擊,冒充受信任的發件者並說服收件人採取指定的行動,例如點擊網絡釣魚連結或下載感染了惡意軟件的檔案。
我們設計了多種保護措施來修補這個固有漏洞 (CVE-2023-51766),包括:
- 寄件者策略框架(SPF):此方法使用 DNS 記錄向接收郵件服務指示哪些 IP 位址有權從指定網域發送電子郵件。
- 網域金鑰辨識郵件(DKIM):此方法使用儲存在寄件者伺服器上的私鑰對外發電子郵件進行數碼簽名,從而允許收件者伺服器使用發送伺服器的公鑰驗證寄件者。
- 網域型訊息驗證、報告和符合(DMARC):此協定根據 SPF 和/或 DKIM 驗證電子郵件在「寄件者」信件標頭中的發送網域 -- 如果不匹配,則 DMARC 檢查為失敗。但是,此協定並未被普遍使用。
甚麼是 SMTP 伺服器?
電腦網絡中的 SMTP 伺服器是可以使用 SMTP 協定發送和接收電子郵件的郵件伺服器。通常,這些伺服器在埠 25 或 587 上使用 TCP,這些數字告訴伺服器要對訊息使用哪些特定流程。電子郵件用戶端直接與電子郵件供應商的 SMTP 伺服器連接來發送電子郵件。SMTP 伺服器上執行多種不同的軟件程式:
- 郵件提交代理(MSA):從電子郵件用戶端接收郵件
- 郵件傳送代理(MTA):根據需要將電子郵件傳送到下一個伺服器 -- 在此處,伺服器可能會對收件者網域的郵件交換(MX)DNS 記錄啟動 DNS 查詢
- 郵件投遞代理(MDA):接收要儲存在收件者收件匣中的電子郵件
甚麽是 SMTP 走私?
SMTP 走私是指讓使用欺騙電郵地址的網絡攻擊的訊息看起來像是從合法來源發送的。這些網絡攻擊的最終目標是執行某種形式的網絡釣魚並促使目標採取行動,例如點擊惡意連結、打開受感染的附件,甚至發送敏感資訊或金錢。
這些攻擊利用外送和內送電子郵件伺服器處理數據結束代碼序列的方式之間的差異。其目的是使用「走私」SMTP 命令欺騙收件者的伺服器對郵件結尾進行不同的解釋,令電子郵件顯示為兩封單獨的郵件。
SMTP 走私如何運作?
為了進行攻擊,網絡犯罪分子會「走私」模棱兩可的 SMTP 命令,破壞電子郵件伺服器通訊的完整性 -- 這是受到 HTTP 請求走私攻擊運作方式的啟發。更具體地說,SMTP 伺服器傳統上使用代碼 <CR><LF>.<CR><LF> 或 \r\n.\r\n 來註明訊息數據的結尾。這些代碼分別代表「回車」和「換行」,是標準文字分隔符。
透過更改此代碼序列,攻擊者可以更改伺服器對訊息數據結束位置的理解。如果它們可以告訴外送伺服器訊息在某一點結束,同時告訴內送伺服器訊息稍後結束,就能創造一個用於走私額外數據的口袋。
通常,這些欺騙性電子郵件是有針對性的網絡釣魚攻擊的一部分。公司特別容易受到 SMTP 走私的攻擊,因為更容易欺騙他們的網域並使用社會工程來製作網絡釣魚電子郵件或魚叉式網絡釣魚攻擊。
如何避免 SMTP 走私電子郵件
雖然最受歡迎和最著名的郵件伺服器 Postfix、Exim 和 Sendmail 的製造商已經發佈了修補程式和解決方法來對抗走私攻擊,但你仍可以採取其他幾個步驟來嘗試將威脅降至最低:
- 在組織的基礎設施內定期運行安全檢查,監控可能的攻擊媒介和漏洞。
- 檢查正在使用的電子郵件路由軟件 -- 如果已知該軟件易受攻擊,請更新到最新版本,並使用專門用於拒絕未經授權管道的設定。
- 建議 Cisco 電子郵件產品的使用者手動將「CR and LF Handling」 的預設設定更新為「Allow」 而不是「Clean」,以便伺服器僅解釋和傳送 <CR><LF>.<CR><LF> 作為數據結束序列代碼的電子郵件。
- 禁止在代碼中使用 <LF> 而沒有使用 <CR>。
- 切斷與傳送僅有換行符的遠端 SMTP 用戶端的連接。
- 定期對員工進行安全意識培訓,其中可能包括在採取任何進一步行動之前驗證發件者的電子郵件位址。
SMTP 電子郵件欺詐是甚麽模樣的?
要警惕 SMTP 走私的威脅,瞭解欺騙性電子郵件可能有的模樣或許有所幫助。欺騙性電子郵件可能會有多種形式:
- 合法網域詐騙:簡單來說就是將冒充的公司網域插入電子郵件「發件者」標題來進行詐騙。這就是 SPF、DKM 和 DMARC 身份驗證方法試圖捕捉的內容。公司應適當設定其郵件身份驗證,盡量減少攻擊者冒充其網域的能力。
- 顯示姓名詐騙:在這種情況下,寄件者的姓名(顯示在「發件者」標頭中的電郵地址之前)是冒充的,通常會使用公司員工的真實姓名。大多數電子郵件用戶端會自動隱藏寄件者的電郵地址,只顯示姓名,因此如果電子郵件看起來可疑,使用者應該檢查電郵地址。這種欺騙有幾種形式,包括幽靈欺騙(Ghost Spoofing) 和廣告欺騙(AD Spoofing)。Kaspersky Secure Mail Gateway(KSMG) 透過驗證發件者真實性並確保郵件符合既定的電子郵件身份驗證標準,提供強大的保護,防止廣告欺騙(AD Spoofing)攻擊。
- 相似網域欺騙:這種更複雜的方法要求攻擊者註冊一個與目標組織的網域相似的網域,並設定郵件、DKIM/SPF 簽名和 DMARC 身份驗證。同樣,這種形式的欺騙有幾種類型,包括主部分相似( Primary Lookalike)(例如,合法公司網域的錯誤拼寫)和 Unicode 欺騙(將網域名稱中的 ASCII 字元替換為 Unicode 中外觀相似的字元)。KSMG 可以透過驗證發件者身份和降低欺騙性電子郵件的風險來幫助組織抵禦相似網域欺騙攻擊。
Kaspersky Endpoint Security 榮獲 AV Comparatives 的消費者「年度產品獎」https://www.av-comparatives.org/tests/summary-report-2023/。
相關文章和連結:
相關產品和服務:
