網路安全是一個動態的概念,既有的威脅不斷演變,新的威脅不斷出現,SMTP 走私等威脅清楚提醒我們了解最新的網路安全威脅和防禦網路攻擊的方法的重要性。而 SMTP 走私到底是什麼?
什麼是 SMTP?
簡易郵件傳送通訊協定(SMTP)是一種 TCP/IP 網路協議,能幫助於在不同電腦和伺服器之間傳輸電子郵件。該協定的使用非常廣泛,SMTP 電子郵件用戶端包括 Gmail、Outlook、Yahoo 和 Apple。
所以,電子郵件中的 SMTP 到底是什麼?電子郵件在 Microsoft Outlook 等用戶端中完成編寫後就會被傳送到 SMTP 伺服器,該伺服器會查看收件者的網域以找到適當的電子郵件伺服器來傳送電子郵件。如果過程順利進行,收件者網域中的 SMTP 伺服器就會處理電子郵件,並傳送郵件或在傳送前使用 SMTP 藉由其他網路轉送郵件。
關於 SMTP 需要留意的重要事情是,其身份驗證能力一直以來都有所限制,因此造成電子郵件詐欺成為嚴重問題。攻擊者只需選擇正確的工具(可能是其他郵件用戶端、腳本或實用程式)即能讓其自行選擇所顯示的寄件者名稱。 然後,攻擊者使用電子郵件進行具有針對性的攻擊,假冒受信任的寄件者,並說服受害者採取指定的操作,例如:點擊網路釣魚連結或下載受到惡意軟體感染的檔案。
有多種防護措施能因應此漏洞(CVE-2023-51766),包括:
- 寄件者政策框架(SPF):此方法使用 DNS 記錄向接收郵件伺服器指示哪些 IP 位址有權從指定網域傳送電子郵件。
- 網域金鑰識別郵件(DKIM):此方法使用儲存在寄件者伺服器上的密鑰對向外寄送的電子郵件進行數位簽名,讓收件者伺服器使用傳送伺服器的公鑰驗證寄件者。
- 基於網域的訊息驗證、報告和一致性(DMARC):該協定根據 SPF 和/或 DKIM 驗證「寄件者」標頭中電子郵件的傳送網域,當不符合時,則無法通過 DMARC 檢查。然而,此協議並不常受到使用。
什麼是 SMTP 伺服器?
電腦網路中的 SMTP 伺服器意指能使用 SMTP 協定傳送和接收電子郵件的郵件伺服器。通常,此類伺服器在連接埠 25 或 587 上使用 TCP - 這些數字告訴伺服器應該對訊息使用哪些特定處理方式。電子郵件用戶端直接與電子郵件提供者的 SMTP 伺服器連線以傳送電子郵件。SMTP 伺服器上運行了多種軟體程式:
- 郵件提交代理(MSA):自電子郵件用戶端接收訊息
- 郵件傳輸代理(MTA):根據需要將電子郵件傳輸到下一個伺服器 - 此時,伺服器可能會進行對收件者網域的郵件交換(MX)DNS 記錄的 DNS 查詢
- 郵件投遞代理(MDA):接收電子郵件並儲存在收件者的收件匣中
什麼是 SMTP 走私?
SMTP 走私為一種網路攻擊,其透過欺騙性的電子郵件地址使郵件看似來自合法來源。此類網路攻擊的最終目標是執行某種形式的網路釣魚,並引誘受害者採取行動,例如:點擊惡意連結、開啟受到感染的附件,或甚至要求提供敏感資訊或金錢。
此類攻擊會利用送出和接收電子郵件伺服器處理資料結束程式碼序列方式之間的差異。其目的是使用「走私」的 SMTP 指定欺騙收件者的伺服器對郵件結尾進行其他判斷,讓電子郵件顯示為兩個不同的郵件。
SMTP 走私如何運作?
網路犯罪人士在進行攻擊時會「走私」不明確的 SMTP 指定來破壞電子郵件伺服器通訊的完整性,而此方式類似 HTTP 請求走私攻擊的原理。更具體而言,SMTP 伺服器一般使用 <CR><LF>.<CR><LF> 或 \r\n.\r\n 等代碼來指示訊息資料的結尾,其分別代表「回車」和「換行」,是標準的文字分隔符。
透過更改此程式碼序列,攻擊者能更改伺服器對訊息資料結束位置的理解。如果攻擊者能告訴送出的伺服器訊息在某個點結束,卻告訴接受的伺服器訊息一個較晚的結束點,如此一來就能為走私額外資料創造一個空間。
通常,欺騙性電子郵件是針對性網路釣魚攻擊的一部分。企業特別容易受到 SMTP 走私的影響,因為假冒其網域並使用社會工程手法來製作網路釣魚電子郵件或魚叉式網路釣魚攻擊更為容易。
如何防範 SMTP 走私電子郵件
儘管最受歡迎和最知名的郵件伺服器 Postfix、Exim 和 Sendmail 的製造商已經發布了修復程式和解決方法來打擊 SMTP 走私,但還是能採取其他數個方式來盡可能減少威脅:
- 為組織的基礎架構定期執行安全檢查,以監控潛在的攻擊媒介和漏洞。
- 檢查所使用的電子郵件路由軟體 - 如果已知軟體有漏洞,則需將其更新至最新版本並使用特別拒絕未經授權的管道傳輸的設定。
- 建議 Cisco 的電子郵件產品的使用者手動將「CR 和 LF 處理」的預設設定更新為「允許」,而非「清除」,以便伺服器僅判斷並傳送帶有 <CR><LF>.<CR><LF> 作為資料結尾序列的電子郵件代碼。
- 禁止代碼中沒有 <CR> 的 <LF>。
- 斷開傳送單純換行符的遠端 SMTP 用戶端。
- 定期對員工進行安全意識培訓,其中可能包括在採取任何進一步行動之前先驗證寄件者的電子郵件地址等。
SMTP 電子郵件假冒以什麼方式發生?
了解電子郵件假冒對預防 SMTP 走私的威脅有所幫助。電子郵件假冒有多種形式:
- 合法網域假冒:透過將公司的網域插入電子郵件的「寄件者」標頭來假冒企業的網域。其為 SPF、DKIM 和 DMARC 驗證方法試圖攔截的內容。企業應適當設定其郵件驗證,以盡可能降低攻擊者假冒其網域的能力。
- 顯示名稱假冒:假冒「寄件者」標題中電子郵件地址前顯示的寄件者姓名,通常使用企業員工的真實姓名。大多數電子郵件用戶端會自動隱藏寄件者的電子郵件地址並僅顯示其設定顯示的名稱,因此使用者應該在電子郵件看起來可疑時檢查其地址。該手法有多種形式,包括幽靈假冒和 AD 假冒。卡巴斯基安全郵件閘道(KSMG)能透過驗證寄件者真實性並確保郵件符合既定的電子郵件身分驗證標準,提供針對 AD 假冒攻擊的強大保護。
- 相似網域假冒:此方式更為複雜,攻擊者需要註冊與目標組織類似的網域並設定郵件、DKIM/SPF 簽章和 DMARC 驗證。此假冒手法也有多種類型,包括相似字(例如:合法公司網域的拼字錯誤)和 Unicode 假冒(用 Unicode 中外觀相似的字元替換網域中的 ASCII 字元)。KSMG 能透過驗證寄件者身分來降低假冒性電子郵件的風險,幫助組織抵禦相似網域假冒攻擊。
卡巴斯基端點安全榮獲 AV Comparisons 消費者「年度產品獎」https://www.av-comparatives.org/tests/summary-report-2023/。
相關文章和連結:
相關產品和服務: