网络安全领域正在不断变化,旧的威胁在持续演变,新的威胁又层出不穷,SMTP 走私这类威胁就是鲜明的警示,提醒人们必须时刻关注网络安全威胁和防御网络攻击的方法。但 SMTP 走私到底是什么,它是如何运作的?
什么是 SMTP?
简单邮件传输协议 (SMTP) 是一种 TCP/IP 网络协议,用于在不同的计算机和服务器之间传输电子邮件。这种协议的使用非常广泛,SMTP 电子邮件客户端包括 Gmail、Outlook、Yahoo 和 Apple。
那么,SMTP 在电子邮件中的作用是什么呢?用户在 Microsoft Outlook 等客户端撰写完电子邮件后,电子邮件会被发送到 SMTP 服务器,该服务器会查看收件人的域,以查找并将电子邮件投递给合适的电子邮件服务器。如果过程顺利,收件人域中的 SMTP 服务器会处理该电子邮件,之后要么直接将电子投递给收件人,要么使用 SMTP 通过另一个网络转发后投递。
关于 SMTP 必须注意一点,其身份验证能力历来都很有限。因此,电子邮件欺骗成为一个严重问题。攻击者只需使用合适的工具,比如其他邮件客户端、脚本或实用程序,就可以选择发件人的姓名。 然后,他们通过电子邮件实施针对性攻击,冒充受信任的发件人,说服收件人采取指定的行动,如点击网络钓鱼链接或下载感染了恶意软件的文件。
为修复这一固有漏洞 (CVE-2023-51766),人们设计了多项防护措施,其中包括:
- 发件人策略框架 (SPF):它利用 DNS 记录,向接收邮件的服务器指明哪些 IP 地址有权从指定域发送电子邮件。
- 域名密钥识别邮件 (DKIM):这种方法使用存储在发件人服务器上的私人密钥,对发出的电子邮件进行数字签名,可让收件人服务器使用发件人服务器的公共密钥来验证发件人的身份。
- 基于域名的邮件身份验证、报告和符合性 (DMARC):该协议对照 SPF 和/或 DKIM 来验证“发件人”标头中的电子邮件发送域名。如果不匹配,DMARC 检查就会失败。然而,该协议并不常用。
什么是 SMTP 服务器?
计算机网络中的 SMTP 服务器是可以使用 SMTP 协议发送和接收电子邮件的邮件服务器。一般来说,这些服务器使用 25 或 587 端口上的 TCP,这些端口号指示服务器应使用哪些特定程序来处理邮件。电子邮件客户端直接连接电子邮件提供商的 SMTP 服务器来发送电子邮件。SMTP 服务器上运行着几种不同的软件程序:
- 邮件提交代理 (MSA):从电子邮件客户端接收邮件
- 邮件传输代理 (MTA):根据情况将电子邮件传输给下一个服务器。在这种情况下,服务器可能会启动 DNS 查询,查询收件人域名的邮件交换 (MX) DNS 记录
- 邮件投递代理 (MDA):接收电子邮件,并将其存储在收件人的收件箱中
什么是 SMTP 走私?
SMTP 走私是指仿冒电子邮件地址,使邮件看似发送自合法来源的网络攻击。这类网络攻击的最终目的是实施某种形式的网络钓鱼,并诱骗目标采取行动,例如点击恶意链接、打开受感染的附件,甚至发送敏感信息或转账。
这些攻击利用了出站和入站电子邮件服务器对于数据结束代码序列处理方式的差异。其目的是利用“走私”的 SMTP 命令,欺骗收件人的服务器对邮件结束做出不同的解释,从而使电子邮件看起来像是两封独立的邮件。
SMTP 走私是如何运作的?
为了实施攻击,网络犯罪分子会“走私”模棱两可的 SMTP 命令,从而破坏电子邮件服务器通信的完整性,这种方式借鉴了 HTTP 请求走私攻击的运作方式。更具体地说,SMTP 服务器历来使用代码 <CR><LF>.<CR><LF> 或 \r\n.\r\n 表示邮件数据的结束。这些代码分别代表“回车”和“换行”,是标准的文本分隔符。
通过更改这种代码序列,攻击者可以改变服务器对邮件数据结束位置的理解。如果他们可以告诉出站服务器邮件在某个点结束,同时告诉入站服务器邮件在更晚的位置结束,这就为走私额外数据创造了条件。
通常,这些仿冒的电子邮件是有针对性的网络钓鱼攻击中的一环。企业特别容易受到 SMTP 走私的攻击,因为仿冒企业的域名和使用社会工程来创建网络钓鱼电子邮件或鱼叉式网络钓鱼攻击可能会更加容易。
如何避免 SMTP 走私电子邮件
虽然主流邮件服务器 Postfix、Exim 和 Sendmail 的制造商已经发布了修复和解决方法来抵御走私攻击,但还可以采取其他几项措施来尽量缓解这种威胁带来的风险:
- 定期对组织的基础设施进行安全检查,监控潜在攻击媒介和漏洞。
- 检查正在使用的电子邮件路由软件:如果已知该软件存在漏洞,请将其更新到最新版本,并使用专用于拒绝未经授权的流水线操作的设置。
- 建议 Cisco 电子邮件产品的用户将“CR 和 LF 处理”的默认配置手动更新为“允许”,而不是“清除”,这样服务器就只能解释和发送以 <CR><LF>.<CR><LF> 作为数据结束序列码的电子邮件。
- 禁止在代码中使用不含 <CR> 的 <LF>。
- 断开发送裸换行符的远程 SMTP 客户端的连接。
- 定期对员工进行安全意识培训,培训内容可包括在采取任何进一步行动之前验证发件人的电子邮件地址。
SMTP 电子邮件欺骗是什么样的?
要警惕 SMTP 走私的威胁,需要了解仿冒的电子邮件是什么样的。仿冒的电子邮件可能有以下几种形式:
- 合法域名欺骗:正如字面意思,这是通过在电子邮件的“发件人”标头中插入公司的域名来进行仿冒。这正是 SPF、DKM 和 DMARC 身份验证方法试图检测的行为。企业应适当采用邮件身份验证方法,以最大限度地降低攻击者仿冒其域名的可能性。
- 显示名称欺骗:在这种情况下,“发件人”标头中电子邮件地址前显示的发件人名称(通常使用的是企业员工的真实姓名)会被仿冒。大多数电子邮件客户端会自动隐藏发件人的电子邮件地址,仅显示其显示名称,因此,如果电子邮件看起来可疑,用户必须检查地址的真实性。这种威胁有多种形式,包括幽灵欺骗和广告欺骗。卡巴斯基网络安全解决方案 - 邮件网关 (KSMG) 通过验证发件人的真实性并确保邮件符合既定的电子邮件身份验证标准,可提供强大的保护,防止广告欺骗攻击。
- 仿冒域名欺骗:这种方法更为复杂,要求攻击者注册一个与目标组织相似的域名,并设置邮件、DKIM/SPF 签名和 DMARC 身份验证。同样,这种形式的欺骗也有多种类型,包括外观欺骗(例如,拼写错误的合法公司域名)和统一码欺骗(用统一码中外观相似的字符替换域名中的 ASCII 字符)。KSMG 可以通过验证发件人身份和降低欺骗性电子邮件的风险,帮助企业抵御仿冒域名欺骗攻击。
Kaspersky Endpoint Security 荣获 AV Comparatives 颁发的消费类 “年度产品奖”( https://www.av-comparatives.org/tests/summary-report-2023/)。
相关的文章和链接:
相关产品和服务:
