【信息安全】深度分析邮件安全及钓鱼攻击防范

本博文共计3100余字,预计需阅读20分钟

【邮件安全建设】

一、前言

        邮件系统作为企业办公网络架构中重要的组成部分,同时也是业务高频使用的办公应用,一旦出现安全问题,业务将会被严重干扰甚至中断,本篇博客通过攻守两个方面,深度介绍邮件系统安全防御的内容。

        邮件服务通常受到以下几个方面的安全威胁或干扰:

  1. 垃圾广告邮件
  2. 诈骗类钓鱼邮件攻击
  3. 携带勒索病毒附件邮件攻击
  4. 邮件发件人伪造
  5. 邮件服务器本身的安全漏洞

        通过部署合理的安全防护架构和加固邮件服务器可以大幅度降低以上风险,下面的内容也主要从这两方面展开,当然做完这两项工作并不能代表邮件安全从此“高枕无忧”,安全工作像是垒积木,安全架构的部署只是垒积木的第一步,安全建设永远是动态的,没有一劳永逸的安全解决方案。

二、Gartner - 如何构建有效的电子邮件安全体系结构

        全球技术权威咨询机构Gartner最早在2018年提出电子邮件防御的安全体系架构(How to Build an Effective Email Security Architecture)。

        Gartner指出邮件安全防护是一个系统工程,涉及的内容包括网络、协议、应用、终端等多个方面

        在本篇博客中我们重点探讨网络架构和安全配置方面可以有效提升邮件安全的动作,因为这对任何一个企业都是较为简单但是安全防护收益最大。

三、快速构建基础的邮件安全防护架构

        传统的邮件安全防护体系包含邮件安全网关、邮件沙箱、邮件服务器三个重要的组件。

        邮件安全网关作为连接外部互联网和内部DMZ区的第一道屏障,承载了垃圾邮件、广告钓鱼邮件、病毒特征较明显的攻击邮件的第一层过滤任务。

        对于一些经过携带自签名、免杀处理附件的“安全邮件”,常规的邮件安全网关往往无法拦截,这一类邮件危险系数极大,通常是攻击者实施的精准钓鱼攻击,攻击附件一般是经过伪装的勒索加密程序或者远控木马程序,一旦被企业员工点击运行,将会对内网造成毁灭性风险。

        为应对此类潜在的安全风险,邮件沙箱出现在较多的安全解决方案中,邮件沙箱的基本技术原理在于可以动态分析邮件中携带的链接、文件附件,通过模拟运行的方式检测安全性,检测通过的邮件放行,异常邮件隔离。避免恶意文件被投递到员工PC端。

        通过这种层层过滤、安全检测的机制可以大幅度减低恶意邮件攻击带来的风险,当然这不代表没有恶意邮件漏过,对于钓鱼邮件安全防御的内容在下一章节【钓鱼邮件防范】重点介绍。

 四、邮件安全认证技术

        当前 Email 通信,还是在使用 SMTP 这个协议,SMTP协议工作在应用层,使用25端口。SMTP 的全称为 Simple Mail Transfer Protocol,即简单邮件传输协议。SMTP 实际上是一个非常简单(甚至简陋)的传输协议,本身并没有很好的安全措施。为提升邮件服务的安全性,这里介绍三个重要的邮件安全认证技术:

       4.1、SPF,全称为 Sender Policy Framework,发件人策略框架使用SPF记录

        (1)域名所有者在他们的DNS服务器上注册一个TXT记录,与DKIM记录托管密钥信息的方式相同。TXT信息列出了所有被批准代表域发送电子邮件的电子邮件服务器。如果攻击者使用欺骗的消息头,SPF记录使接收方的电子邮件服务器能够检测欺诈消息,并阻止它们到达预期受害者的收件箱。 SPF记录只能确保欺骗的电子邮件消息不能发送给接收方,但它不能保证攻击者没有篡改消息。

        (2)SPF记录语法介绍

        SPF语法主要包含以下几类参数:

all | ip4 | ip6 | a | mx | ptr | exists | include

        每个参数有四种类型的前缀:

"+"  Pass(通过)
"-"  Fail(拒绝)
"~"  Soft Fail(软拒绝)
"?"  Neutral(中立)

       验证SPF的返回值,可以判断SPF的配置是否规范:

结果含义服务器处理动作
Pass发件IP是合法的接受投递信件
Fail发件IP是非法的拒收投递信件
Soft Fail发件IP是非法的接受信件,但会做标记
NeutralSPF记录中没有发件IP是否合法的信息接受投递信件
None服务器没有设定SPF记录接受来信
PermError发生了严重错误(例如配置语法错误)接受/拒绝,状态不可控
TempError发生了临时错误(例如DNS查询失败)接受/拒绝,状态不可控

          示例语法:  

       只允许在 192.168.0.1 ~ 192.168.255.255 范围内的 IP    

"v=spf1 ip4:192.168.0.1/16 -all"

    它表示支持当前域名的 a 记录和 mx 记录,同时支持一个给定的 IP 地址;其他地址则拒绝:

v=spf1 a mx ip4:182.126.82.125 -all

  

         4.2、DKIM(域名密钥识别邮件,DomainKeys Identified Mail))

       (1) DKIM协议允许组织通过以邮箱提供商可以验证的方式签署消息来承担传输责任。DKIM记录验证通过加密认证成为可能。 实现像DKIM这样的电子邮件认证技术是保护您的员工和客户免受有针对性的电子邮件攻击的最佳方法之一。

      (2)配置DKIM记录的流程

        a.生成密钥对,首先在邮件服务器上使用相关套件生成公私钥,公钥用于验证邮件真实性,私钥用于对邮件进行签名。

        b.将公钥以TXT记录的形式添加到域名的DNS配置中。

        c.配置邮件服务器的DKIM配置,如导入私钥。

        4.3、DMARC(基于域的消息认证、报告和一致性认证,Domain-based Message Authentication, Reporting & Conformance)

        该认证记录也是TXT记录中的一种,是一种基于现有的SPF和DKIM协议的可扩展电子邮件认证协议,其核心思想是邮件的发送方通过特定方式(DNS)公开表明自己会用到的发件服务器(SPF)、并对发出的邮件内容进行签名(DKIM),而邮件的接收方则检查收到的邮件是否来自发送方授权过的服务器并核对签名是否有效。

      

【钓鱼邮件防范】

一、依托安全防护组件进行防范

        通过部署基础的邮件安全网关、邮件安全沙箱完成第一阶段的安全防护架构部署,通过引入终端杀毒/本地HIDS终端防护/数据防泄漏,进行第二阶段的安全防护结构部署。

二、加入反网络钓鱼联盟

        依托一些成熟的国际/国内 反网络钓鱼联盟小组可以共享安全情报,达成分钟级的数据共享,可以有效防范网络钓鱼。

       这里介绍 反网络钓鱼工作组(APWG) ,作为一个国际联盟,致力于消除网络钓鱼及相关事件引起的欺诈和身份盗窃它汇集了受网络钓鱼攻击影响的企业:安全产品和服务公司、执法部门机构、政府机构、行业协会、区域性国际条约组织和通公司。

        APWG由David Jevans于 2003 年创立,拥有来自全球 1700 多家公司和机构的 3200 多名成员。成员包括卡巴斯基实验室、BitDefender、赛门铁克、McAfee、VeriSign、IronKey和Internet Identity等领先的安全公司。金融业成员包括ING 集团、VISA、万事达卡和美国银行家协会。

三、邮件相关服务的加固

        严格检查邮件服务的安全配置是否规范,检查内容包括邮件域的SPF配置、DKIM配置和DMARC配置。

        邮件服务器本身的安全漏洞检查,非必要端口的关闭,服务收敛等基本安全防护操作。

四、安全意识培训、宣传

        千里之堤毁于蚁穴,钓鱼邮件之所以被攻击者高频使用,就是因为攻击成本非常低,但是攻击收益非常高,从内部提升员工的安全意识,拉高员工安全防护意识的”整体水位“是长期但有效的方式。

        可以通过定期的安全意识培训、培训考核、公司内部安全意识材料分发、安全意识海报的张贴等方式,进行安全意识宣贯。

        企业现在做的一场培训在未来可能就会挽救一次网络安全危机,这是对未来的投资。

本文完,感谢阅读!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/620025.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

腾讯云的域名使用阿里云服务器配置

因为近期云服务器到期了,之前的域名已经完成了备案不想轻易回收。于是就换了个厂商,从腾讯云换到了阿里云。但是因为两个厂商不互通。我又不想把域名转入到阿里云。所以就开启了配置之路,一路磕磕绊绊。给大家整理一份顺序,一步到…

Qt6安装教程

由于QT在5.14版本后不再有离线安装版本,均需要通过在线安装 1.下载exe安装包 打开Open Source Development | Open Source License | Qt,往下拉,找到红框所示的按钮 点进去后点击Download即可 2 安装 下载完成后可得到qt-unified-windows…

[情商-11]:人际交流的心理架构与需求层次模型

目录 前言: 一、心理架构 1.1 个体生理层 1.2 个体心理层 1.3 点对点人际交流层 1.4 社会网络层 1.5 社会价值层 二、人的需求层次模型 2.1 需求(欲望)层次模型 2.2 基因与人需求之间的关系 2.3 个体生理需求 2.4 个体的心理需求…

部署Tomcat

Tomcat简介 名称由来:Tomcat最初是由 Sun的软件构架师詹姆斯邓肯戴维森开发的,后来他帮助将其变 为开源项目,并由Sun贡献给Apache软件基金会,由于大部分开源项目OReilly都会出一本相关的 书,并且将其封面设计成某个动物…

计算机毕业设计 基于Java的综合小区管理系统的设计与实现 Java实战项目 附源码+文档+视频讲解

博主介绍:✌从事软件开发10年之余,专注于Java技术领域、Python人工智能及数据挖掘、小程序项目开发和Android项目开发等。CSDN、掘金、华为云、InfoQ、阿里云等平台优质作者✌ 🍅文末获取源码联系🍅 👇🏻 精…

“一键转换PNG至BMP:轻松批量处理,高效优化图片管理“

在数字世界中,图片格式的转换是日常工作中不可或缺的一部分。你是否经常遇到需要将PNG格式的图片转换为BMP格式的需求?是否在处理大量图片时,希望能够实现一键批量转换,提高工作效率? 首先,我们进入首助编…

Dell 机架式服务器 - 高级定制

Dell 机架式服务器 - 高级定制 1. Dell Technologies2.1. Servers & Storage (服务器及存储) -> Servers2.2. Rack Servers (机架式服务器)2.3. Shop2.4. PowerEdge Rack Servers (PowerEdge 机架式服务器)2.5. PowerEdge R760 Rack Server (PowerEdge R760 机架式服务器…

本地通过代码安装禅道系统,解决nginx“504 Gateway Time-out”错误

第一步:下载源码 在官网下载代码包: 下载地址:源码包下载我下载的是PHP7.0版,大家下载随自己喜好下载第二步:安装 安装环境:php(7.0)mysql(8.0)nginx(1.21.1) 由于我在本地安装了BT宝塔面板,所以我以宝塔面板安装演示为例: 创建成功后去 C:\Windows\Syst…

【DDR】基于Verilog的DDR控制器的简单实现(一)——初始化

在FPGA中,大规模数据的存储常常会用到DDR。为了方便用户使用,Xilinx提供了DDR MIG IP核,用户能够通过AXI接口进行DDR的读写访问,然而MIG内部自动实现了许多环节,不利于用户深入理解DDR的底层逻辑。 本文以美光(Micro…

Matlab:isomorphism

语法: P isomorphism(G1,G2) %计算图G1和G2之间的图同构等价关系(如果存在)。若不存在同构,则P为空数组 P isomorphism(___,Name,Value) %使用一个或多个名称-值对组参数指定其他选项 [P,edgeperm] isomorph…

Spark原理——Shuffle 过程

Shuffle 过程 Shuffle过程的组件结构 从整体视角上来看, Shuffle 发生在两个 Stage 之间, 一个 Stage 把数据计算好, 整理好, 等待另外一个 Stage 来拉取 放大视角, 会发现, 其实 Shuffle 发生在 Task 之间, 一个 Task 把数据整理好, 等待 Reducer 端的 Task 来拉取 如果更细…

Jenkins配置发邮件

Jenkins配置发邮件 账号设置 首先这个邮箱账号要支持发邮件,QQ邮箱开通SMTP即可之后要认证 企业微信邮箱 开启IMAP/SMTP服务开启POP/SMTP服务 无论是企业微信邮箱还是QQ邮箱都是SSL协议,在下面的配置中我都会勾选上!!&#xff0…

掌握WPF控件:熟练常用属性(一)

WPF布局常用控件(一) Border Border控件是一个装饰控件,用于围绕其他元素绘制边框和背景。它提供了一种简单的方式来为其他控件添加边框和背景样式,而无需自定义控件的绘制逻辑。 常用属性描述Background用于设置背景颜色或图像…

数据结构链表完整实现(负完整代码)

文章目录 前言引入1、链表定义及结构链表的分类3、单向不带头链表实现实现完整代码 4、带头双向循环链表实现实现完整代码 前言 引入 在上一篇文章中,我们认识了顺序表,但是在许多情况中,顺序表在处理一些事件时还存在许多问题,比…

【书生·浦语】大模型实战营——第四课笔记

教程链接:https://github.com/InternLM/tutorial/blob/main/xtuner/README.md 视频链接:https://www.bilibili.com/video/BV1yK4y1B75J/?vd_source5d94ee72ede352cb2dfc19e4694f7622 本次视频的内容分为以下四部分: 目录 微调简介 微调会使…

计算机体系结构----存储系统

本文严禁转载,仅供学习使用。参考资料来自中国科学院大学计算机体系结构课程PPT以及《Digital Design and Computer Architecture》、《超标量处理器设计》、同济大学张晨曦教授资料。如有侵权,联系本人修改。 1.1 引言 1.1.1虚拟和物理内存 程序员看到…

【科研技巧】如何判断某个期刊是什么类别及影响因子?是否是顶会?如何期刊内检索?AI写综述?AI做PPT?

相关链接 查找和免费下载文献的方式汇总国内外各大期刊关系、如何查看期刊等级以及查看某篇论文属于哪个期刊登录和访问EI(Engineering Village)数据库查找文献 1 如何判断某个期刊是什么类别及影响因子 https://sci.justscience.cn/ IFold是影响因子 期刊类别为SCIE、查看…

(收藏)数据治理:一文讲透数据安全

数据治理:一文讲透数据安全 数据安全是数据治理的核心内容之一,随着数据治理的深入,我不断的碰到数据安全中的金发姑娘问题(指安全和效率的平衡)。 DAMA说,降低风险和促进业务增长是数据安全活动的主要…

ssm基于JAVA的酒店客房管理系统论文

摘 要 现代经济快节奏发展以及不断完善升级的信息化技术,让传统数据信息的管理升级为软件存储,归纳,集中处理数据信息的管理方式。本酒店客房管理系统就是在这样的大环境下诞生,其可以帮助管理者在短时间内处理完毕庞大的数据信息…

IT从业人员如何养生?

目前,电脑对人体生理和心理方面的负面影响已日益受到人们的重视。为此科学使用电脑,减少电脑和网络的危害是十分必要的。好代码网总结了一些it从业人员的保健知识,分享给大家。 一是要增强自我保健意识 工作间隙注意适当休息,一般…