设为首页 - 加入收藏 巴彦淖尔网 (http://www.0478zz.com)- 国内知名站长资讯网站,提供最新最全的站长资讯,创业经验,网站建设等!
热搜: 2018 4800 成功 记录
当前位置: 首页 > 运营中心 > 建站资源 > 策划 > 正文

企业邮件安全防护实践

发布时间:2019-10-26 16:53 所属栏目:[策划] 来源:haiczh
导读:【大咖·来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 邮件系统作为一种有效的内外部工作沟通平台,在企业内得到广泛使用。同时,广告邮件、垃圾邮件、钓鱼邮件等问题就成了企业邮件安全头号难题。所以我们的企业安全人员以往更多关注反垃圾邮
【大咖·来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》

邮件系统作为一种有效的内外部工作沟通平台,在企业内得到广泛使用。同时,广告邮件、垃圾邮件、钓鱼邮件等问题就成了企业邮件安全头号难题。所以我们的企业安全人员以往更多关注反垃圾邮件,向对数据保密,反钓鱼方向演进。

然而,从Email诞生到今天,SMTP协议没有根本性变化。这对攻击者而言是一个利好消息。因此,邮件成为了突破一家企业边界,发起网络攻击和信息窃取非常好的入口。我们看到,近年来随着技术水平的提升和利益的趋动,APT攻击、勒索软件开始流行起来。从美国大选,希拉里邮箱被黑客攻破到每一个人都遇到的Locky,Wannercry 勒索软件通过钓鱼邮件方式大量传播,很多企业用户中招导致文档被加密都有从侧面印证这一点。本文从作者从企业建设和个人日常邮件使用两个层面,既为企业邮件安全建设提出建议,也为个人日常邮件使用提供一些技巧,帮助企业减少邮件方面所面临的困扰。

一、企业建设

1. 服务器通用安全防护

大多邮件服务器同大多数企业自建立系统一样,很多客户的邮件也都有对外的WEB端,因此,对外发布后都有WEB应用系统所面临的攻击邮件系统都有可能遇到。如 anymacro邮件系统SQL注入: anymacro是国内较流行的一家企业级邮箱系统,客户主要为教育/政府机构。注入点存在的位置:https://mail.xxx.com/down.php?netdisk=1

企业邮件安全防护实践

企业邮件安全防护实践

企业邮件安全防护实践

因此,在基础防护这部分,建议企业在邮件系统防护过程中部署NF,IPS,WAF等安全防护设备,以保护邮件服务器的基础环境安全。

企业邮件安全防护实践

2. 邮件服务器特有威胁防护

(1) 发件人身份伪造防护

除了互联网或WEB业务通用的安全问题外,邮件还有其自身的一些性安全隐患,最为常见的是邮件发件人身份伪造。

邮件发件身份伪造攻击是指攻击者冒充、伪造或篡改真实的用户地址来发送邮件,以达到迷惑被攻击者,实现钓鱼或其他目的。也是近年来攻击者使用邮件进行攻击最为常用的方式。究其根本原因是SMTP协议本身的缺陷^1引起的。STMP协议被设计和制作时,鉴于历史原因,并没有考虑到身份认证等安全性问题。使用SMTP进行邮件发送时,其实是不需要进行发送者身份认证的,这可能和各位感受到的情况不一样,我们发送邮件时都需要登录呀,其实,这是邮件服务商来实现的,而并不是SMTP协议所必须的。鉴于这种缺陷,邮件发送人往往可以冒充他人的身份进行邮件发送。常见的防护方法有发件人策略框架(SPF)和域名密钥识别邮件(DKIM)两种,下面分别描述。

(2) SPF防邮件伪造

SPF(Sender Policy Framework) 是一种以IP地址认证电子邮件发件人身份的技术。其工作流程如下:

企业邮件安全防护实践

当企业定义了邮件域名的SPF记录之后,邮件接收方会在收到你的邮件后,首先检查域名对应的SPF记录(图中2步),来确定发送者的IP地址是否包含在SPF记录里(图中3步),从而判断邮件的真实发送源。如果发件IP存在于SPF记录中,就认为是一封正确的邮件(图中5步),否则会被认为是一封伪造的邮件进行退回或丢弃处理(图中6步)。SPF可以防止别人伪造你来发邮件,是一个反伪造性邮件的解决方案。设置正确的 SPF 记录可以提高邮件系统发送外域邮件的成功率,也可以一定程度上防止别人假冒你的域名发邮件。

设置SPF记录:

SPF 是通过「SPF 记录」和「TXT 记录」来检查的。使用 TXT 记录主要是兼容性的考量:一部分老的 DNS 服务器有可能不支持 SPF 记录,因此只能拿 TXT 记录来代替; OpenSPF 建议在这段过渡时期,SPF 记录和 TXT 记录都要添加,SPF 记和 TXT 记录因此也是非常相近的。 以阿里云图形化配置为例:

企业邮件安全防护实践

  • 记录类型:选择TXT;
  • 主机记录:一般是指子域名的前缀(如需为子域名为 mail.dns-example.com 添加 TXT 记录, 主机记录输入mail;如需为dns-example.com添加TXT记录,主机记录输入@),常见的作法是输入@为dns-example.com添加SPF记录;
  • 解析线路:默认为必选项,未设置会导致部分用户无法解析;
  • 记录值:最典型的 SPF 格式的 TXT 记录例子为“v=spf1 a mx ~all”,表示只有这个域名的 A 记录和 MX 记录中的 IP 地址有权限使用这个域名发送邮件。也要以使用IP来进行设置,格式如下:
    1. v=spf1?ip4:192.0.2.128?ip4:198.51.100.128?ip4:203.0.113.0/24?ip6:2001:db8::/32??all?

如果要让其他域名或其他公司的邮件系统可为代发邮件,可以加入其他域名,对应的IP或对应公司spf记录中的值,格式如下:

  1. v=spf1?include:spf-a.mail.qq.com?include:spf-b.mail.qq.com?include:spf-c.mail.qq.com?include:spf-d.mail.qq.com?include:spf-e.mail.qq.com?include:spf-f.mail.qq.com?-all?
  • TTL:为缓存时间,数值越小,修改记录各地生效时间越快,默认为10分钟。如果是使用的自建服务器,修改对应的配置文件即可,以BIND9为例^2,配置语法如下:
    1. qq.com.?3600?IN?TXT?"v=spf1?include:spf-a.mail.qq.com?include:spf-b.mail.qq.com?include:spf-c.mail.qq.com?include:spf-d.mail.qq.com?include:spf-e.mail.qq.com?include:spf-f.mail.qq.com?-all"?/*引用spf对应域名*/?
    2. spf-a.mail.qq.com.?3600?IN?TXT?"v=spf1?ip4:203.205.251.0/24?ip4:103.7.29.0/24?ip4:59.36.129.0/24?ip4:113.108.23.0/24?ip4:113.108.11.0/24?ip4:119.147.193.0/24?ip4:119.147.194.0/24?ip4:59.78.209.0/24??-all"????/*定义SPF域名所对应的IP*/?
    3. spf-b.mail.qq.com.?3600?IN?TXT?"v=spf1?补充为对应的A或AAAA记录"??/*定义SPF域名所对应的IP*/?
    4. ...??/*定义SPF域名所对应的IP*/?

(3) DKIM(DomainKeysIdentified Mail)防邮件做伪造

【免责声明】本站内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。

网友评论
推荐文章