電子郵件的安全分析

前言：尋找寫作靈感？中文期刊網用心挑選的電子郵件的安全分析，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：電子郵件的應用使得人與人間的通訊變得快捷、方便，然而電子郵件的使用也帶來網絡安全的問題。攻擊者可通過釣魚郵件竊取用戶信息，給個人和公司帶來嚴重的經濟損失。因此，保障電子郵件的安全非常重要。本文研究電子郵件存在的安全問題，并且給出對應的解決方案。

關鍵詞：電子郵件；網絡安全；釣魚攻擊

0前言

隨著互聯網的發展，越來越多的組織機構采取自動化辦公。自動化辦公使用計算機技術來替代傳統辦公方式，提高了組織機構的辦公效率。其中，電子郵件的使用使得人與人間的通訊變得快捷、方便。然而電子郵件的使用也帶來網絡安全的問題。2016年3月19日，希拉里競選團隊主席約翰•波德斯塔收到了一封貌似來自Google的警告郵件，然而，該郵件卻是一封竊取個人信息的釣魚郵件。波德斯塔無意點擊了郵件中的惡意鏈接，其郵箱密碼就成了黑客的囊中之物，造成了后續一系列的惡劣影響。2018年3月，美國政府對一家伊朗研究所和10名伊朗黑客進行制裁，并在聲明中指出，這些伊朗黑客對美國的144所大學，及澳洲、英國、加拿大等其它國家的176所大學發動網絡攻擊，盜取了相當于三個美國國會圖書館館藏的31TB資料，價值高達34億美元。這些黑客冒充其它大學的教授向受害者發送釣魚郵件，聲稱對他們的研究成果感興趣，并附上虛假網站的鏈接。鏈接點擊后，需要受害者重新輸入用戶名密碼，從而導致個人資料被竊取。釣魚郵件的成功會對個人和組織帶來嚴重的經濟損失。因此，防御釣魚郵件是辦公自動化的重要環節。

1電子郵件相關概念

1.1電子郵件的工作流程

如今的電子郵件系統建立在SMTP協議上運行。SMTP全稱為SimpleMailTransferProtocol，即簡單郵件傳輸協議。SMTP是電子郵件傳輸的互聯網標準協議。傳輸一封電子郵件需要三個主要步驟。第一，郵件從發送者的郵件用戶代理（MailUserAgent，MUA）中發出，通過STMP或HTTP/HTTPS傳輸到發送方服務提供商的郵件提交代理（MailTransferA-gent，MTA）。MTA通過SMTP協議將消息發送給收件人的郵箱提供商。通過IMAP（InternetMessageAccessProtocol）、POP（PostOfficeProtocol）或HTTP/HTTPS，郵件傳遞代理（MailDe-liveryAgent，MDA）將消息傳遞給接收用戶。

1.2電子郵件安全協議

從SMTP的名字可看出，當時該協議只考慮通訊的簡單、快捷，并沒有考慮電子郵件傳輸的安全性。在最初設計時，SMTP沒有任何安全驗證機制來驗證發件人的身份。因此，攻擊者可通過修改SMTP中的“MAILFROM”字段輕松地偽造電子郵件，以冒充/欺騙任意的發件人地址。電子郵件欺騙是網絡釣魚攻擊的一個關鍵步驟。通過冒充一個受信任的實體作為電子郵件發送者，攻擊者有更高的機會獲得受害者的信任。實際上，攻擊者通常通過建立他們自己的MTA服務器，利用SMTP來構造釣魚郵件；另外，如果沒有合理配置合法的電子郵件服務器，攻擊者還可利用這點進行構造釣魚郵件。例如，如果一個服務器被配置為開放中繼，攻擊者可用該服務器偽造任何電子郵件地址。為了防范電子郵件欺騙攻擊，各種、各樣的安全擴展協議被提出并標準化，包括發件人策略框架（SenderPolicyFramework，SPF）、域名密鑰郵件確認（DomainKeysIdentifiedMail，DKIM）和基于域的消息，認證，報告和一致性標準（Domain-basedMessaging，Authentication，ReportingandCon-formanceStandard，DMARC）。還有其它的協議，比如建立在SPF，DKIM，DMARC之上的BIMI和ARC。在本文中，主要介紹SPF、DKIM和DMARC，因為它們在實踐中已在一定程度上被電子郵件服務商采用。BIMI和ARC還沒有完全標準化。SPF允許電子郵件服務商發布授權為其域發送電子郵件的ip列表。例如，如果一個域名“a.com”發布了它的SPF記錄，則接收郵件時可通過查看該記錄來匹配發送者IP地址和發送者郵箱地址。這樣，只有經過授權的ip才能以“a.com”發送郵件；此外，SPF允許組織指定關于接收者應該如何處理身份驗證失敗的電子郵件的策略。DKIM采用基于公鑰的方式認證郵件發送方。發件人的電子郵件服務提供商將在電子郵件頭中放置一個數字簽名，該簽名由與發件人域相關的私鑰簽名。接收服務提供商可從DNS檢索發送方的公鑰來驗證簽名。為了從DNS查詢DKIM公鑰，不僅需要域名，還需要選擇器（DKIM簽名中的一個屬性）。選擇器用于允許同一域下的多個鍵，以實現更細粒度的簽名控制。DKIM沒有指定如果身份驗證失敗接收者應采取什么操作。DMARC建立在SPF和DKIM之上，它不是一個獨立的協議。DMARC允許域管理員所有者發布策略，指定當收到的電子郵件未能通過SPF和DKIM檢查時接收者應采取的操作；此外，DMARC使接收方向發送方的報告更加系統化。域名的DMARC記錄可在DNS的_dmarc.domain.com中找到。

2電子郵件中的安全問題

網絡釣魚是一種計算機攻擊，它通過電子通信渠道將社會工程設計的信息傳遞給人類，以說服他們為攻擊者的利益執行某些行動。網絡釣魚問題利用人類對電子通信渠道（如電子郵件、HTTP等）交互的無知或天真。釣魚郵件成功的原因有很多，本文就以下三點進行展開說明。

2.1電子郵件安全協議在實際中應用率不高

根據谷歌2015年的統計數據，大多數發給Gmails的入站電子郵件都有SPF（92%）或DKIM（83.0%），但只有一小部分（26.1%）有DMARC政策。最新的測量結果顯示，在互聯網主機中，SPF（44.9%）和DMARC（5.1%）的采用率較低。更重要的是，即使電子郵件無法通過SPF或者DKIM認證，許多電子郵件提供商仍然選擇將偽造的電子郵件發送到收件箱。這是電子郵件安全性和電子郵件可用性之間的一個困難的權衡。如果電子郵件提供商阻止所有未經驗證的電子郵件，用戶很可能會丟失他們的電子郵件（例如，來自沒有發布SPF、DKIM或DMARC記錄的域名）。丟失合法的電子郵件是不可接受的電子郵件服務，這將很容易趕走用戶。

2.2電子郵件驗證鏈中的不一致性

電子郵件系統的安全性依賴于由各種電子郵件服務提供商維護的多方信任鏈，這增加了其對網絡攻擊的系統性、脆弱性。正如木桶理論所揭示的那樣，木桶的容量是由其最短的間隔決定的。電子郵件的驗證依賴于身份驗證鏈中最薄弱的環節。即使是一個無害的問題，如果它被整合到一個更廣泛的系統中，也可能造成前所未有的損害。一般來說，電子郵件認證鏈涉及多個協議、角色和服務，其中任何故障都可能破壞整個鏈的防御。由于電子郵件規范的模糊性、對最佳實踐的缺乏和MIME標準的復雜性，協議驗證過程是認證鏈中的薄弱環節之一。在SMTP通信過程中，協議的多個字段包含發送方的身份信息。這些字段的不一致性為電子郵件欺騙攻擊提供基礎。雖然SPF、DKIM和DMARC被標準化，以防止來自不同方面的電子郵件欺騙攻擊。然而，只有當全部協議都執行良好時，電子郵件系統才能防止電子郵件欺騙攻擊。在這種基于鏈的身份驗證結構中，任何鏈路的失敗都可能使身份驗證鏈無效。在電子郵件系統中，驗證發件人的身份是一個復雜的過程。它涉及四個重要的角色：發件人、接收器、轉發器和UI渲染器。標準安全模型的假設是每個角色適當地開發和實現相關的安全驗證機制，以提供整體安全性。然而，許多電子郵件服務提供商并沒有在所有四個角色中實現正確的安全策略。許多電子郵件服務（如iCloud、Outlook、Yeah.com）在電子郵件轉發階段沒有注意到未經授權的轉發攻擊造成的安全風險；此外，該規范并沒有明確說明在電子郵件安全方面的四種角色（即發件人、接收器、轉發器和UI渲染器）的任何責任。不同的電子郵件服務提供商通常有不同的配置和實現。一些服務提供商（例如Gmail，Yandex.com）禁止發送標題模糊的電子郵件，但會容忍接收郵件。相反，一些公司（如Zoho、雅虎）傾向于允許發送帶有模糊標題的電子郵件，但在電子郵件接收驗證階段進行非常嚴格的檢查。安全策略之間的差異使得攻擊者可從具有寬容發送策略的服務提供商將欺騙電子郵件發送到具有松散接收策略的服務提供商；此外，一些電子郵件提供商在處理標題模糊的電子郵件時偏離了RFC的特色。當MUA處理多個電子郵件頭時，一些服務提供商（如Outlook、Mail.ru）顯示第一個電子郵件頭，而其它服務提供商（如iCloud、yandex.com）顯示最后一個電子郵件頭；此外，不同的郵件安全提供商在不同程度上支持Unicode字符。一些供應商（例如，21cn.com）已意識到由Unicode字符帶來的新的安全挑戰，但一些郵件安全提供商（例如，163.com，yeah.net）不知道。特別是，一些郵件安全提供商（如zoho.com，EwoMail）甚至還沒有支持Unicode字符的渲染。

2.3用戶的安全意識薄弱

無論檢測器的性能如何，用戶在防止攻擊方面都發揮重要的作用，因為攻擊者可找到繞過檢測技術的方法。到目前為止，用戶都被認為是網絡釣魚生態系統中最脆弱的鏈接。根據英特爾的一項研究，97%的人無法識別網絡釣魚郵件。

3電子郵件的安全對策

3.1準確描述電子郵件安全協議，鼓勵電子郵件提供商采用安全協議

首先，電子郵件服務提供商應考慮采用SPF、DKIM和DMARC。即使他們不能對所有傳入的電子郵件進行身份驗證，這些協議也允許電子郵件服務提供商做出更明智的決定；其次，需進一步的研究來簡化部署過程，并幫助避免對現有電子郵件操作的中斷。電子郵件服務提供商可能無法提供在電子郵件協議中定義不明確的電子郵件服務。因此，需要提供更準確的電子郵件協議描述，以消除多方協議實踐中的不一致性。例如，添加DKIM簽名以提高電子郵件的可信度是合理的；然而，他們不應在從未通過DKIM驗證的電子郵件中添加DKIM簽名。因此DKIM標準中應指定何時應將DKIM簽名添加到轉發的電子郵件中。

3.2合理設計電子郵件UI呈現

一些視覺攻擊不能在協議級別上進行防御。一種有效的防御方法是提供一個用戶友好的UI通知，并提醒用戶，他們收到的電子郵件可能是欺騙電子郵件。電子郵件UI呈現是影響用戶對電子郵件真實性感知的一個重要部分。不幸的是，大多數網絡郵件和電子郵件客戶端只顯示From頭，而沒有任何更多的身份驗證細節。因此，普通用戶很難判斷電子郵件的真實性。如果電子郵件提供商決定將未經驗證的電子郵件發送到收件箱，筆者認為有必要放置一個安全指示器來警告用戶。一個潛在的好處是，安全指示器可作為強制發送方域正確配置其SPF/DKIM/DMARC的功能。筆者認為電子郵件服務提供商應該為不同的接口制訂一致的安全指標。目前，由于缺乏安全指標，移動用戶面臨更高的風險。另一個例子是，與使用Gmail界面的用戶相比，谷歌收件箱（Web）用戶受到的保護更少。最后，對具有未經驗證的發件人地址的電子郵件，應禁用具有誤導性的UI元素，如“頭像照片”和“電子郵件歷史記錄”。這應該適用于欺騙現有聯系人和欺騙同一電子郵件提供商中的用戶。

3.3檢測釣魚郵件

黑名單中保存以前檢測到的網絡釣魚鏈接、互聯網協議（IP）地址或關鍵詞的列表。另一方面，白名單中保存受信任的實體。黑名單和白名單的準確率很高，且誤報率低。然而，黑名單不能提供防止零日網絡釣魚攻擊的保護，因為一個網站需要先被發現才能被列入黑名單。這種延遲是個重大問題，因為63%的網絡釣魚活動在前2小時內結束。反釣魚郵件軟件可安裝在客戶端或服務器端，通過不同的算法來檢查各種協議的有效負載。協議可以是HTTP、SMTP或其它任意協議。算法可是任何一種檢測或預防網絡釣魚攻擊的機制。啟發式算法通過尋找現實中釣魚攻擊中存在的特征來檢測釣魚郵件，但這些特征并不能保證總是存在于釣魚攻擊中。如果確定了一組通用的啟發式特征，就可檢測到零日的網絡釣魚攻擊（即以前沒有見過的攻擊），這是對黑名單的一個優勢。因為黑名單需精確匹配，因此首先需觀察確切的攻擊才能將它們列入黑名單。然而，這種廣義啟發式也存在對合法內容（如合法電子郵件或網站）進行錯誤分類的風險。將釣魚攻擊的檢測視為一個文檔分類或聚類問題，其中模型通過利用機器學習和聚類算法構建，如k-近鄰算法（k-NearestNeighbor，k-NN）、C4.5、支持向量機（SVM）、k均值和基于密度的噪聲應用空間聚類（DBSCAN）。k-NN在內存中存儲訓練實例，并表示為多維向量，其中每個向量分量表示從特定特征中提取的值（例如，電子郵件中的鏈接數量）。然后，通過類似地處理測試實例，并計算測試實例和其它訓練實例間的距離（例如，歐氏距離）來執行分類任務。當K=3時，考慮3個最近鄰的類（如在訓練階段獲得的）。當任務是分類時，可用多數投票來確定測試實例的類別。像C4.5和SVM這樣的算法遵循一種不同的方法，它們推廣了一個分類模型（與k-NN相反，它不能推廣一個模型）。例如，C4.5構造一個決策樹，它應該足夠通用，可正確地分類看不見的實例。決策樹由具有分裂分支的節點組成。執行拆分通常是為最大化拆分后的條件信息增益；另一方面，SVM的目的是通過分析訓練實例，在向量空間中找到一個有效的分離平面。分離平面應足夠通用，以便它仍然能分離看不見的實例。然而，聚類算法，如k均值和DBSCAN分區實例，以一種無監督的方式（即知道類標簽是不需要構建集群的）。k均值算法的目的是將k個初始分區中心隨機設置為k個初始分區中心，然后迭代地將實例分配到離其中心距離最小（如歐幾里得距離）的分區上，然后將分區中心更新為同一分區中實例的平均值。重復這個迭代過程，直到集群收斂；另一方面，DBSCAN能根據實例的密度（即使用距離函數度量，如歐氏距離）對數據進行分區。與k均值相反，DBSCAN不需事先知道應找到的分區數，這是通過密度可達性的概念來實現的。

4結語

本文分析電子郵件的網絡安全問題和對應的解決方案。釣魚郵件出現的根本原因是郵件傳輸協議存在漏洞。其次，各大電子郵件提供商沒有合理部署安全協議也給攻擊者可乘之機；最后，郵件用戶安全意識薄弱，無法識別釣魚郵件，使得釣魚郵件攻擊成功。因此，要想解決釣魚郵件問題，首先要完善電子郵件傳輸協議；其次，要明確電子郵件提供商的責任，鼓勵郵件提供商部署安全協議；最后，合理設置電子郵件的用戶接口，對釣魚郵件顯示告警信息。

作者：楊海明 單位：中國移動通信集團山西有限公司