企業郵件安全防護實踐
郵件系統作為一種有效的內外部工作溝通平臺,在企業內得到廣泛使用。同時,廣告郵件、垃圾郵件、釣魚郵件等問題就成了企業郵件安全頭號難題。所以我們的企業安全人員以往更多關注反垃圾郵件,向對數據保密,反釣魚方向演進。
然而,從Email誕生到今天,SMTP協議沒有根本性變化。這對攻擊者而言是一個利好消息。因此,郵件成為了突破一家企業邊界,發起網絡攻擊和信息竊取非常好的入口。我們看到,近年來隨著技術水平的提升和利益的趨動,APT攻擊、勒索軟件開始流行起來。從美國大選,希拉里郵箱被黑客攻破到每一個人都遇到的Locky,Wannercry 勒索軟件通過釣魚郵件方式大量傳播,很多企業用戶中招導致文檔被加密都有從側面印證這一點。本文從作者從企業建設和個人日常郵件使用兩個層面,既為企業郵件安全建設提出建議,也為個人日常郵件使用提供一些技巧,幫助企業減少郵件方面所面臨的困擾。
一、企業建設
1. 服務器通用安全防護
大多郵件服務器同大多數企業自建立系統一樣,很多客戶的郵件也都有對外的WEB端,因此,對外發布后都有WEB應用系統所面臨的攻擊郵件系統都有可能遇到。如 anymacro郵件系統SQL注入: anymacro是國內較流行的一家企業級郵箱系統,客戶主要為教育/政府機構。注入點存在的位置:https://mail.xxx.com/down.php?netdisk=1
因此,在基礎防護這部分,建議企業在郵件系統防護過程中部署NF,IPS,WAF等安全防護設備,以保護郵件服務器的基礎環境安全。
2. 郵件服務器特有威脅防護
(1) 發件人身份偽造防護
除了互聯網或WEB業務通用的安全問題外,郵件還有其自身的一些性安全隱患,最為常見的是郵件發件人身份偽造。
郵件發件身份偽造攻擊是指攻擊者冒充、偽造或篡改真實的用戶地址來發送郵件,以達到迷惑被攻擊者,實現釣魚或其他目的。也是近年來攻擊者使用郵件進行攻擊最為常用的方式。究其根本原因是SMTP協議本身的缺陷^1引起的。STMP協議被設計和制作時,鑒于歷史原因,并沒有考慮到身份認證等安全性問題。使用SMTP進行郵件發送時,其實是不需要進行發送者身份認證的,這可能和各位感受到的情況不一樣,我們發送郵件時都需要登錄呀,其實,這是郵件服務商來實現的,而并不是SMTP協議所必須的。鑒于這種缺陷,郵件發送人往往可以冒充他人的身份進行郵件發送。常見的防護方法有發件人策略框架(SPF)和域名密鑰識別郵件(DKIM)兩種,下面分別描述。
(2) SPF防郵件偽造
SPF(Sender Policy Framework) 是一種以IP地址認證電子郵件發件人身份的技術。其工作流程如下:
當企業定義了郵件域名的SPF記錄之后,郵件接收方會在收到你的郵件后,首先檢查域名對應的SPF記錄(圖中2步),來確定發送者的IP地址是否包含在SPF記錄里(圖中3步),從而判斷郵件的真實發送源。如果發件IP存在于SPF記錄中,就認為是一封正確的郵件(圖中5步),否則會被認為是一封偽造的郵件進行退回或丟棄處理(圖中6步)。SPF可以防止別人偽造你來發郵件,是一個反偽造性郵件的解決方案。設置正確的 SPF 記錄可以提高郵件系統發送外域郵件的成功率,也可以一定程度上防止別人假冒你的域名發郵件。
設置SPF記錄:
SPF 是通過「SPF 記錄」和「TXT 記錄」來檢查的。使用 TXT 記錄主要是兼容性的考量:一部分老的 DNS 服務器有可能不支持 SPF 記錄,因此只能拿 TXT 記錄來代替; OpenSPF 建議在這段過渡時期,SPF 記錄和 TXT 記錄都要添加,SPF 記和 TXT 記錄因此也是非常相近的。 以阿里云圖形化配置為例:
- 記錄類型:選擇TXT;
- 主機記錄:一般是指子域名的前綴(如需為子域名為 mail.dns-example.com 添加 TXT 記錄, 主機記錄輸入mail;如需為dns-example.com添加TXT記錄,主機記錄輸入@),常見的作法是輸入@為dns-example.com添加SPF記錄;
- 解析線路:默認為必選項,未設置會導致部分用戶無法解析;
- 記錄值:最典型的 SPF 格式的 TXT 記錄例子為“v=spf1 a mx ~all”,表示只有這個域名的 A 記錄和 MX 記錄中的 IP 地址有權限使用這個域名發送郵件。也要以使用IP來進行設置,格式如下:
- v=spf1 ip4:192.0.2.128 ip4:198.51.100.128 ip4:203.0.113.0/24 ip6:2001:db8::/32 ?all
如果要讓其他域名或其他公司的郵件系統可為代發郵件,可以加入其他域名,對應的IP或對應公司spf記錄中的值,格式如下:
- v=spf1 include:spf-a.mail.qq.com include:spf-b.mail.qq.com include:spf-c.mail.qq.com include:spf-d.mail.qq.com include:spf-e.mail.qq.com include:spf-f.mail.qq.com -all
- TTL:為緩存時間,數值越小,修改記錄各地生效時間越快,默認為10分鐘。如果是使用的自建服務器,修改對應的配置文件即可,以BIND9為例^2,配置語法如下:
- qq.com. 3600 IN TXT "v=spf1 include:spf-a.mail.qq.com include:spf-b.mail.qq.com include:spf-c.mail.qq.com include:spf-d.mail.qq.com include:spf-e.mail.qq.com include:spf-f.mail.qq.com -all" /*引用spf對應域名*/
- spf-a.mail.qq.com. 3600 IN TXT "v=spf1 ip4:203.205.251.0/24 ip4:103.7.29.0/24 ip4:59.36.129.0/24 ip4:113.108.23.0/24 ip4:113.108.11.0/24 ip4:119.147.193.0/24 ip4:119.147.194.0/24 ip4:59.78.209.0/24 -all" /*定義SPF域名所對應的IP*/
- spf-b.mail.qq.com. 3600 IN TXT "v=spf1 補充為對應的A或AAAA記錄" /*定義SPF域名所對應的IP*/
- ... /*定義SPF域名所對應的IP*/
(3) DKIM(DomainKeysIdentified Mail)防郵件做偽造
域名密鑰識別郵件(DKIM)是一種防范電子郵件欺詐的驗證技術。其 使用一對密鑰(一個私鑰和一個公鑰)來驗證郵件內容是否被篡改或偽造,主要通過以下步驟來實現。
- 將與郵件服務器匹配的公鑰添加到郵件域名系統 (DNS) 記錄中,通常通過TXT記錄來實現。
- 發件服務器使用私鑰對所有外發的郵件中添加加密標頭。
- 收件方電子郵件服務器從DNS記錄中獲取公鑰,并使用此公鑰解密郵件標頭,來驗證郵件來源。
其工作原理及流程如下圖:
配置DKIM:
DKIM的設置比較簡單,從其工作原理來看,只需要如下3點即可:
為您的網域生成域名密鑰。生成密鑰時有兩點需要注意,如你使用的DNS的txt記錄為256位,DKIM密鑰長度要選擇1024位,如果沒有此限制,則可以選擇2048位密鑰。如果注冊商支持 2048 位的密鑰,我們建議您使用該長度的密鑰。如果您先使用 1024 位密鑰,后期切換到 2048 位密鑰,也不會有任何影響。可以使用 openssl 工具生成一對公鑰和密鑰,Windows 和 Linux 都可以操作,請自行搜索方法; 或者在
http://dkimcore.org/tools/網站在線生成。
向網域的 DNS 記錄添加公鑰。電子郵件服務器可使用此密鑰讀取郵件 DKIM 標頭。
開啟 DKIM 簽名功能以開始將 DKIM 簽名添加到所有外發郵件中。
配置DKIM操作示例:
具體操作步驟根據郵件服務商的不同而略有不同,以下以Winmail為例進行說明^3:第1步,在”反垃圾設置”/”SMTP設置”下, 選擇”啟用 DKIM (DomainKeys Identified Mail) 檢查”。
第2步:Winmail 里設置域名發件使用 DKIM 數字簽名在要設置的域名 abc.com 屬性的 DKIM 標簽里點擊”生成私鑰”
“選擇器”一定要有,默認是: mail,可以自己設置,完整拷貝上面的 “TXT 記錄”,例如:
- mail._domainkey.abc.com TXT k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQ...
Winmail 會從私鑰自動生成公鑰進而生成 TXT 記錄值,所以只輸入私鑰就可以了。 第三步. 在域名服務商域名解析系統里增加一條 TXT 記錄,例如:
- 記錄類型 主機記錄 記錄值
- TXT mail._domainkey k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQ...
增加 TXT 記錄后,需要一段時間(10分鐘-24小時)才能生效,可以使用命令行查詢:
- nslookup -q=txt mail._domainkey.abc.com
如果已經生效,會顯示:
- mail._domainkey.abc.com text = "k=rsa\; p=MIGfMA0GCSqGSIb3...
第四步.如果 Winmail 里有多域名,DKIM 要生成不同的密鑰分別設置,也可以有的設置有的不設置第五步接收郵件測試,確認 DKIM 檢查生效可以使用 qq 郵箱發進來一封郵件,查看 Winmail 里的 smtp 日志,會有出現 DKIM verifying enabled 或 啟用 DKIM 驗證 字樣。第六步發送郵件測試,確認每封郵件信頭里存在 DKIM 數字簽名字串發一封郵件到內部郵箱,發給自己也可以,查看 Winmail 里的 smtp 日志,會有出現 DKIM signing enabled、啟用 DKIM 簽名 字樣。 在 Webmail 里查看這封郵件,選擇”更多”-”郵件源碼”,在郵件頭里會出現一段如下文字:
- DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
- d=abc.com; s=mail; t=1458090487; h=Date:From:To:
- Reply-To:Subject:Message-ID:Content-Type:MIME-Version; bh=RBrzM2
- ccFCYSkSJUKwSj5FQ/IQj6UrOI1/+rZiw0+aI=; b=Esn3j84HzzVC+VbRgf/i7N
- ...
- SWtPgVyJx91CJKFGbVaFI=
外發一封郵件到外網郵箱,查看 Winmail 里的 smtp 日志,會有出現 DKIM signing enabled、啟用 DKIM 簽名 字樣。 如果是發到 qq.com, 在 QQ Webmail 打開這封郵件,選擇
- “顯示郵件原文”,在郵件頭里會出現一段如下文字:
- DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
- d=abc.com; s=mail; t=1458091059; h=Date:From:To:
- Reply-To:Subject:Message-ID:Content-Type:MIME-Version; bh=JtLpkA
- GBbI9j6KEs01UI/CKmX5rvvrJ6O9QcCgb5i1I=; b=J5xXBMdm8Q5Y66orv+Skoq
- ...
- cT/oVvXPMvEbi+mJwoqbM=
4、基于域的消息認證,報告和一致性(DMARC)
那在配置了SPF和DKIM后,如何讓外界得知旗下域名的電子郵件提供何種方式認證身份?是使用SPF,DKIM,還是兩者都使用?如果寄件者身份未能得到百分之百確認,收件者可以如何處理郵件?是放進垃圾箱,還是直接回絕?有沒有一種機制可以讓郵件管理員了解此時此此刻是否有第三者正在偽冒其網域身份發送電子郵呢?帶著這些問題,我們了解一下DMARC。基于域的消息認證,報告和一致性(DMARC,Domain-based Message Authentication, Reporting and Conformance)是一套以 SPF防郵件偽造DKIM(DomainKeysIdentified Mail)防郵件做偽造為基礎的電子郵件認證機制,可以檢測及防止偽冒身份、對付網絡釣魚或垃圾電郵。^4郵件管理員可以通過在網域的 DNS 記錄中添加 DMARC 政策,從而啟用基于網域的消息認證、報告和一致性 (DMARC) 驗證機制。該策略同樣使用采用 DNS TXT 記錄形式,指定您的網域如何處理可疑電子郵件。DMARC 政策支持三種處理可疑電子郵件的方式:
- 不對郵件采取任何操作,僅將其記錄在每日報告中。
- 將郵件標記為垃圾郵件。Gmail 會將這些郵件放入收件人的垃圾郵件文件夾。
- 通知接收郵件的服務器拒絕郵件。這也會導致 SMTP 將郵件退回給發件人。
DMARC TXT 記錄值:
DMARC 政策示例:
注:要將報告發送到多個電子郵件地址,請使用英文逗號分隔電子郵件地址。
添加 TXT 記錄以啟用 DMARC
在_dmarc處添加一條 DNS 記錄
TXT record name(TXT 記錄名稱):在 DNS 主機名下方的第一個字段中輸入:
- _dmarc.abc.com
TXT record value(TXT 記錄值):在第二個字段中輸入指定您的 DMARC 政策的值,例如:
- v=DMARC1; p=reject; rua=mailto:postmaster@qq.com, mailto:dmarc@qq.com
注:以上解析將實現“拒絕所有未通過 DMARC 檢查的郵件。將每日報告發送到以下兩個地址:postmaster@qq.com 和 dmarc@qq.com。SMTP 將未通過檢查的郵件退回給發件人”政策。
3. 小結
對大部分企業來講,通過以上步驟的加固和優化,可以大幅度提升企業郵件安全性,有效防止被偽造,即便是被偽造,由于以上配置的成功引用可以讓大部分偽造郵件退回或當作垃圾郵件處理,強烈自建郵箱系統的用戶通過以上配置加強郵件系統。另外,如果你的郵箱配置了SPF或DKIM后,大部分公網郵箱也會將您企業郵箱的信任程度提升,這將有助于提高郵箱發信成功率。
4. 企業郵件系統配置
第一部分主要向大家介紹了郵件系統所面臨的一些技術漏洞和所需要采取的措施,這部分將從郵件系統配置和使用方面來幫助企業進行郵件系統加固。這里的配置主要是加強郵件日常使用的安全性,降低用戶在日常使用過程中信息泄露風險或是在密碼泄露后,盡可能地將損失降至最低。
(1) 收發信密碼獨立設置
攻擊者對于日常郵件系統的攻擊,最主要的是針對郵件密碼的攻擊。通過獲得郵箱密碼來進行信息竊取或者以被攻擊郵箱為工具進行其他攻擊。建議企業在日常的郵件設置中,將收件密碼和發件密碼獨立設置。此時,如果收件密碼泄露后,攻擊者并不能使用該郵箱進行發件操作,進行釣魚郵件發送或病毒木馬投遞,有效保護郵件和其他通訊錄成員的安全。
(2) 收件密碼采用雙因素認證
前面說到,日常郵件使用過程中,郵件登錄密碼(通常是收信密碼)比較容易被攻擊者拿到。建議企業將收發信密碼獨立后,對于收信密碼進行雙因子強認證,盡可能降低密碼泄露的風險。同時,由于SMTP協議的局限性,收信密碼攻擊者可以通過相關工具進行暴力破解。如果有員工使用了弱口令,則很容易被攻擊者拿下。這里多說一下,很多企業認為自己的WEB郵箱有驗證碼等方式,可以防止暴力破解,其實這種限制僅在WEB層面有效,如果攻擊者直接使用SMTP協議認證工具進行暴力破解或密碼猜測,就直接繞過了WEB層的驗證碼。
(3) 配置防猜解防攻擊
上面說過,基于SMTP協議本身的局限性,登錄密碼很有可能被暴力破解,雖然大多數郵件系統自帶的防猜解并不能抵御所有的暴力猜解,但在此仍建議企業開戶此類防護手段。例如限定每分鐘或一段時間內每個IP可以登錄失敗的次數,限定每分鐘或一段時間內每個郵箱賬戶登錄失敗的次數,限定每分鐘或一段時間內每個用戶SMTP認證次數等等。
(4) 關閉非SSL服務及不安全的 SSL,TLS 版本且關閉 R**
使用SSL加密可以有效防止中間人攻擊,以及對郵件和監聽和篡改。并且為了加密保護的有效性,請關閉不安全的SSL,TLS版本,且關閉R**。如果開啟了WEB服務,請在WEB服務處關閉對應的不安全SSL和TLS版本及R**。
(5) 限制分配群發權限或限制用戶單日可發郵件數目上限
攻擊者通常拿到一個郵箱登錄權限后,并不滿足于當前郵箱中的內容。會通過該郵箱進行戰果擴大,常見的作法是通過群發郵件來進行向企業其他員工發送釣魚郵件,獲得更多的郵箱登錄權限。如果是其他反動組織,也會用此郵箱進行反動內容的群發。由于互聯網郵箱郵件在發送數目,實名等方面的問題,所以郵件發送無上限的企業郵箱通是這類組織進行反動內容宣傳的首選。因此,建議企業在為同工開通群發權限時,謹慎設計,例如收件人超過10人時,可以提示請減少發件人或分批發送。對于工作中確實有群有需要的員工,可以進行單獨的權限設定,也可以以建立特殊郵件組的方式規避群發的使用。同時,企業需要定期清理不使用的群發權限。在我從業10年的經歷中,群發功能也就使用過一次,可以推而廣之,很多企業的員工,群發權限并不必要。另外,對于一個郵箱單日可以發送的郵件數目上限也建議進行限定,以提高攻擊成本。
(6) 定期對郵件進行歸檔
定期對郵件進行歸檔,可以防止攻擊者拿到收件密碼后,過多的收取郵件內容。如果以年為單位進行歸檔。攻擊者就算拿到收件密碼,也僅能收取當年度的郵件,這樣就可以有效控制數據的泄露范圍。如果歸檔時間更短,則泄密范圍就會更小。建議以180天為歸檔周期,因為企業很少有員工半年不收一次郵件。
(7) 進階1:部署沙箱等產品對郵件附件進行深度檢測
企業通過部署郵件網關,可以反垃圾、防病毒、防釣魚等,但實際工作中還是會有放進來的情況,我們建議有條件的企業,將郵件網關投遞到企業郵件服務器的流量丟到沙箱進行分析,如果前面網關沒攔截而沙箱有發現問題,可以針對性的在郵件網關進行加強,如此查漏補缺不斷改進,安全能力肯定也會越來越強。
(8) 進階2:將沙箱情報對接實現安全運營
不管是前面的沙箱發現病毒,郵件管理員主動采取措施處理,還是員工中毒后管理員被動著手處理,都已經無法滿足現有企業對于信息安全日常小時化應急響應的需求。目前,比較熱的概念是將沙箱,情報,本地安全設備進行連動,共同協同實現郵件安全實時防護,工作流程如下。
每一份郵件接收,自動進行本地和云端情報判定,對于惡意郵件進行處理,并根據是否有用戶點擊或安裝,對具體的終端進行針對性防護或隔離。從這個場景圖可以看出企業在建設企業安全運營平臺的價值,對于平臺建設而言,不一定要高大上,多美觀酷炫,能夠結合企業目前實際安全現狀,針對性的解決企業安全所面臨的問題即為有用的平臺。而且,平臺建設也不一定要大而全,符合自己的場景的小而美的平臺有時候更有價值。
二、個人郵件使用
1. 使用客戶端收取郵件
個人在郵件使用過程中,盡可能的使用客戶端收取郵件。通過客戶端收取郵件后郵件大部分多保留在本地,為加密存儲提供便利。另外,我們也要看到很多企業的郵件就沒有WEB界面,如果站在企業安全的角度講,可以減少企業的被攻擊面。
2. 將郵件存放在加密盤
很多時間郵件內容的泄露大多是本地計算機出問題導致的,如電腦被盜或遺失。攻擊者通過簡單的操作就可以讀取硬盤中的內容。因此建議員工將郵件及其附件都存放在加密盤中,以防止硬盤內容的未授權讀取。
3. 郵件內容不要保存副本在服務器
如果使用outlook郵件客戶端,請選擇不要保存副本在服務器。因為保存副本在服務器,如果企業沒有進行過郵件歸檔,攻擊者拿到收信密碼后,可以收取你在服務器上保存的所有郵件。從而造成郵件內容泄密,這一點非常重要。
4. 對郵件內容進行核實
雖然前面講了各種手段進行郵件內容防偽造,但仍然沒有辦法完全杜絕郵件內容的偽造。如果收件人沒有技術能力進行郵件內容及發件人的核實,建議發件人通過其他聯系方式聯系發件人以核實郵件內容,確保郵件內容的真實性,避免上當。在信息對抗日益激烈的今天,學會懷疑和多渠道確認是很有效的一種反詐騙技藝。
5. 其他
對于像弱口令,所有系統使用通用密碼這類問題并不是郵件系統的獨有問題,是個人在使用信息系統時必須 的安全意識,這里就不再贅述。
6. 最重要的一點
通過以上技術仍然不能規避所有的郵件偽造,例如A公司的域www.a.com根本就沒有郵件服務器,攻擊者假裝A公司給A公司的客戶發送郵件時,以上所有的技術手段來講都是無效的。因此,對于可疑郵件內容進行其他渠道的確認,如電話、微信、客服等進行二次內容核實是非常必要的,也是最有效的防止釣魚的方式。
