前言：尋找寫作靈感？中文期刊網(wǎng)用心挑選的電子郵件的安全分析，希望能為您的閱讀和創(chuàng)作帶來靈感，歡迎大家閱讀并分享。

摘要：電子郵件的應(yīng)用使得人與人間的通訊變得快捷、方便，然而電子郵件的使用也帶來網(wǎng)絡(luò)安全的問題。攻擊者可通過釣魚郵件竊取用戶信息，給個(gè)人和公司帶來嚴(yán)重的經(jīng)濟(jì)損失。因此，保障電子郵件的安全非常重要。本文研究電子郵件存在的安全問題，并且給出對(duì)應(yīng)的解決方案。

關(guān)鍵詞：電子郵件；網(wǎng)絡(luò)安全；釣魚攻擊

0前言

隨著互聯(lián)網(wǎng)的發(fā)展，越來越多的組織機(jī)構(gòu)采取自動(dòng)化辦公。自動(dòng)化辦公使用計(jì)算機(jī)技術(shù)來替代傳統(tǒng)辦公方式，提高了組織機(jī)構(gòu)的辦公效率。其中，電子郵件的使用使得人與人間的通訊變得快捷、方便。然而電子郵件的使用也帶來網(wǎng)絡(luò)安全的問題。2016年3月19日，希拉里競(jìng)選團(tuán)隊(duì)主席約翰•波德斯塔收到了一封貌似來自Google的警告郵件，然而，該郵件卻是一封竊取個(gè)人信息的釣魚郵件。波德斯塔無意點(diǎn)擊了郵件中的惡意鏈接，其郵箱密碼就成了黑客的囊中之物，造成了后續(xù)一系列的惡劣影響。2018年3月，美國(guó)政府對(duì)一家伊朗研究所和10名伊朗黑客進(jìn)行制裁，并在聲明中指出，這些伊朗黑客對(duì)美國(guó)的144所大學(xué)，及澳洲、英國(guó)、加拿大等其它國(guó)家的176所大學(xué)發(fā)動(dòng)網(wǎng)絡(luò)攻擊，盜取了相當(dāng)于三個(gè)美國(guó)國(guó)會(huì)圖書館館藏的31TB資料，價(jià)值高達(dá)34億美元。這些黑客冒充其它大學(xué)的教授向受害者發(fā)送釣魚郵件，聲稱對(duì)他們的研究成果感興趣，并附上虛假網(wǎng)站的鏈接。鏈接點(diǎn)擊后，需要受害者重新輸入用戶名密碼，從而導(dǎo)致個(gè)人資料被竊取。釣魚郵件的成功會(huì)對(duì)個(gè)人和組織帶來嚴(yán)重的經(jīng)濟(jì)損失。因此，防御釣魚郵件是辦公自動(dòng)化的重要環(huán)節(jié)。

1電子郵件相關(guān)概念

1.1電子郵件的工作流程

如今的電子郵件系統(tǒng)建立在SMTP協(xié)議上運(yùn)行。SMTP全稱為SimpleMailTransferProtocol，即簡(jiǎn)單郵件傳輸協(xié)議。SMTP是電子郵件傳輸?shù)幕ヂ?lián)網(wǎng)標(biāo)準(zhǔn)協(xié)議。傳輸一封電子郵件需要三個(gè)主要步驟。第一，郵件從發(fā)送者的郵件用戶代理（MailUserAgent，MUA）中發(fā)出，通過STMP或HTTP/HTTPS傳輸?shù)桨l(fā)送方服務(wù)提供商的郵件提交代理（MailTransferA-gent，MTA）。MTA通過SMTP協(xié)議將消息發(fā)送給收件人的郵箱提供商。通過IMAP（InternetMessageAccessProtocol）、POP（PostOfficeProtocol）或HTTP/HTTPS，郵件傳遞代理（MailDe-liveryAgent，MDA）將消息傳遞給接收用戶。

1.2電子郵件安全協(xié)議

從SMTP的名字可看出，當(dāng)時(shí)該協(xié)議只考慮通訊的簡(jiǎn)單、快捷，并沒有考慮電子郵件傳輸?shù)陌踩?。在最初設(shè)計(jì)時(shí)，SMTP沒有任何安全驗(yàn)證機(jī)制來驗(yàn)證發(fā)件人的身份。因此，攻擊者可通過修改SMTP中的“MAILFROM”字段輕松地偽造電子郵件，以冒充/欺騙任意的發(fā)件人地址。電子郵件欺騙是網(wǎng)絡(luò)釣魚攻擊的一個(gè)關(guān)鍵步驟。通過冒充一個(gè)受信任的實(shí)體作為電子郵件發(fā)送者，攻擊者有更高的機(jī)會(huì)獲得受害者的信任。實(shí)際上，攻擊者通常通過建立他們自己的MTA服務(wù)器，利用SMTP來構(gòu)造釣魚郵件；另外，如果沒有合理配置合法的電子郵件服務(wù)器，攻擊者還可利用這點(diǎn)進(jìn)行構(gòu)造釣魚郵件。例如，如果一個(gè)服務(wù)器被配置為開放中繼，攻擊者可用該服務(wù)器偽造任何電子郵件地址。為了防范電子郵件欺騙攻擊，各種、各樣的安全擴(kuò)展協(xié)議被提出并標(biāo)準(zhǔn)化，包括發(fā)件人策略框架（SenderPolicyFramework，SPF）、域名密鑰郵件確認(rèn)（DomainKeysIdentifiedMail，DKIM）和基于域的消息，認(rèn)證，報(bào)告和一致性標(biāo)準(zhǔn)（Domain-basedMessaging，Authentication，ReportingandCon-formanceStandard，DMARC）。還有其它的協(xié)議，比如建立在SPF，DKIM，DMARC之上的BIMI和ARC。在本文中，主要介紹SPF、DKIM和DMARC，因?yàn)樗鼈冊(cè)趯?shí)踐中已在一定程度上被電子郵件服務(wù)商采用。BIMI和ARC還沒有完全標(biāo)準(zhǔn)化。SPF允許電子郵件服務(wù)商發(fā)布授權(quán)為其域發(fā)送電子郵件的ip列表。例如，如果一個(gè)域名“a.com”發(fā)布了它的SPF記錄，則接收郵件時(shí)可通過查看該記錄來匹配發(fā)送者IP地址和發(fā)送者郵箱地址。這樣，只有經(jīng)過授權(quán)的ip才能以“a.com”發(fā)送郵件；此外，SPF允許組織指定關(guān)于接收者應(yīng)該如何處理身份驗(yàn)證失敗的電子郵件的策略。DKIM采用基于公鑰的方式認(rèn)證郵件發(fā)送方。發(fā)件人的電子郵件服務(wù)提供商將在電子郵件頭中放置一個(gè)數(shù)字簽名，該簽名由與發(fā)件人域相關(guān)的私鑰簽名。接收服務(wù)提供商可從DNS檢索發(fā)送方的公鑰來驗(yàn)證簽名。為了從DNS查詢DKIM公鑰，不僅需要域名，還需要選擇器（DKIM簽名中的一個(gè)屬性）。選擇器用于允許同一域下的多個(gè)鍵，以實(shí)現(xiàn)更細(xì)粒度的簽名控制。DKIM沒有指定如果身份驗(yàn)證失敗接收者應(yīng)采取什么操作。DMARC建立在SPF和DKIM之上，它不是一個(gè)獨(dú)立的協(xié)議。DMARC允許域管理員所有者發(fā)布策略，指定當(dāng)收到的電子郵件未能通過SPF和DKIM檢查時(shí)接收者應(yīng)采取的操作；此外，DMARC使接收方向發(fā)送方的報(bào)告更加系統(tǒng)化。域名的DMARC記錄可在DNS的_dmarc.domain.com中找到。

2電子郵件中的安全問題

網(wǎng)絡(luò)釣魚是一種計(jì)算機(jī)攻擊，它通過電子通信渠道將社會(huì)工程設(shè)計(jì)的信息傳遞給人類，以說服他們?yōu)楣粽叩睦鎴?zhí)行某些行動(dòng)。網(wǎng)絡(luò)釣魚問題利用人類對(duì)電子通信渠道（如電子郵件、HTTP等）交互的無知或天真。釣魚郵件成功的原因有很多，本文就以下三點(diǎn)進(jìn)行展開說明。

2.1電子郵件安全協(xié)議在實(shí)際中應(yīng)用率不高

根據(jù)谷歌2015年的統(tǒng)計(jì)數(shù)據(jù)，大多數(shù)發(fā)給Gmails的入站電子郵件都有SPF（92%）或DKIM（83.0%），但只有一小部分（26.1%）有DMARC政策。最新的測(cè)量結(jié)果顯示，在互聯(lián)網(wǎng)主機(jī)中，SPF（44.9%）和DMARC（5.1%）的采用率較低。更重要的是，即使電子郵件無法通過SPF或者DKIM認(rèn)證，許多電子郵件提供商仍然選擇將偽造的電子郵件發(fā)送到收件箱。這是電子郵件安全性和電子郵件可用性之間的一個(gè)困難的權(quán)衡。如果電子郵件提供商阻止所有未經(jīng)驗(yàn)證的電子郵件，用戶很可能會(huì)丟失他們的電子郵件（例如，來自沒有發(fā)布SPF、DKIM或DMARC記錄的域名）。丟失合法的電子郵件是不可接受的電子郵件服務(wù)，這將很容易趕走用戶。

2.2電子郵件驗(yàn)證鏈中的不一致性

電子郵件系統(tǒng)的安全性依賴于由各種電子郵件服務(wù)提供商維護(hù)的多方信任鏈，這增加了其對(duì)網(wǎng)絡(luò)攻擊的系統(tǒng)性、脆弱性。正如木桶理論所揭示的那樣，木桶的容量是由其最短的間隔決定的。電子郵件的驗(yàn)證依賴于身份驗(yàn)證鏈中最薄弱的環(huán)節(jié)。即使是一個(gè)無害的問題，如果它被整合到一個(gè)更廣泛的系統(tǒng)中，也可能造成前所未有的損害。一般來說，電子郵件認(rèn)證鏈涉及多個(gè)協(xié)議、角色和服務(wù)，其中任何故障都可能破壞整個(gè)鏈的防御。由于電子郵件規(guī)范的模糊性、對(duì)最佳實(shí)踐的缺乏和MIME標(biāo)準(zhǔn)的復(fù)雜性，協(xié)議驗(yàn)證過程是認(rèn)證鏈中的薄弱環(huán)節(jié)之一。在SMTP通信過程中，協(xié)議的多個(gè)字段包含發(fā)送方的身份信息。這些字段的不一致性為電子郵件欺騙攻擊提供基礎(chǔ)。雖然SPF、DKIM和DMARC被標(biāo)準(zhǔn)化，以防止來自不同方面的電子郵件欺騙攻擊。然而，只有當(dāng)全部協(xié)議都執(zhí)行良好時(shí)，電子郵件系統(tǒng)才能防止電子郵件欺騙攻擊。在這種基于鏈的身份驗(yàn)證結(jié)構(gòu)中，任何鏈路的失敗都可能使身份驗(yàn)證鏈無效。在電子郵件系統(tǒng)中，驗(yàn)證發(fā)件人的身份是一個(gè)復(fù)雜的過程。它涉及四個(gè)重要的角色：發(fā)件人、接收器、轉(zhuǎn)發(fā)器和UI渲染器。標(biāo)準(zhǔn)安全模型的假設(shè)是每個(gè)角色適當(dāng)?shù)亻_發(fā)和實(shí)現(xiàn)相關(guān)的安全驗(yàn)證機(jī)制，以提供整體安全性。然而，許多電子郵件服務(wù)提供商并沒有在所有四個(gè)角色中實(shí)現(xiàn)正確的安全策略。許多電子郵件服務(wù)（如iCloud、Outlook、Yeah.com）在電子郵件轉(zhuǎn)發(fā)階段沒有注意到未經(jīng)授權(quán)的轉(zhuǎn)發(fā)攻擊造成的安全風(fēng)險(xiǎn)；此外，該規(guī)范并沒有明確說明在電子郵件安全方面的四種角色（即發(fā)件人、接收器、轉(zhuǎn)發(fā)器和UI渲染器）的任何責(zé)任。不同的電子郵件服務(wù)提供商通常有不同的配置和實(shí)現(xiàn)。一些服務(wù)提供商（例如Gmail，Yandex.com）禁止發(fā)送標(biāo)題模糊的電子郵件，但會(huì)容忍接收郵件。相反，一些公司（如Zoho、雅虎）傾向于允許發(fā)送帶有模糊標(biāo)題的電子郵件，但在電子郵件接收驗(yàn)證階段進(jìn)行非常嚴(yán)格的檢查。安全策略之間的差異使得攻擊者可從具有寬容發(fā)送策略的服務(wù)提供商將欺騙電子郵件發(fā)送到具有松散接收策略的服務(wù)提供商；此外，一些電子郵件提供商在處理標(biāo)題模糊的電子郵件時(shí)偏離了RFC的特色。當(dāng)MUA處理多個(gè)電子郵件頭時(shí)，一些服務(wù)提供商（如Outlook、Mail.ru）顯示第一個(gè)電子郵件頭，而其它服務(wù)提供商（如iCloud、yandex.com）顯示最后一個(gè)電子郵件頭；此外，不同的郵件安全提供商在不同程度上支持Unicode字符。一些供應(yīng)商（例如，21cn.com）已意識(shí)到由Unicode字符帶來的新的安全挑戰(zhàn)，但一些郵件安全提供商（例如，163.com，yeah.net）不知道。特別是，一些郵件安全提供商（如zoho.com，EwoMail）甚至還沒有支持Unicode字符的渲染。

2.3用戶的安全意識(shí)薄弱

無論檢測(cè)器的性能如何，用戶在防止攻擊方面都發(fā)揮重要的作用，因?yàn)楣粽呖烧业嚼@過檢測(cè)技術(shù)的方法。到目前為止，用戶都被認(rèn)為是網(wǎng)絡(luò)釣魚生態(tài)系統(tǒng)中最脆弱的鏈接。根據(jù)英特爾的一項(xiàng)研究，97%的人無法識(shí)別網(wǎng)絡(luò)釣魚郵件。

3電子郵件的安全對(duì)策

3.1準(zhǔn)確描述電子郵件安全協(xié)議，鼓勵(lì)電子郵件提供商采用安全協(xié)議

首先，電子郵件服務(wù)提供商應(yīng)考慮采用SPF、DKIM和DMARC。即使他們不能對(duì)所有傳入的電子郵件進(jìn)行身份驗(yàn)證，這些協(xié)議也允許電子郵件服務(wù)提供商做出更明智的決定；其次，需進(jìn)一步的研究來簡(jiǎn)化部署過程，并幫助避免對(duì)現(xiàn)有電子郵件操作的中斷。電子郵件服務(wù)提供商可能無法提供在電子郵件協(xié)議中定義不明確的電子郵件服務(wù)。因此，需要提供更準(zhǔn)確的電子郵件協(xié)議描述，以消除多方協(xié)議實(shí)踐中的不一致性。例如，添加DKIM簽名以提高電子郵件的可信度是合理的；然而，他們不應(yīng)在從未通過DKIM驗(yàn)證的電子郵件中添加DKIM簽名。因此DKIM標(biāo)準(zhǔn)中應(yīng)指定何時(shí)應(yīng)將DKIM簽名添加到轉(zhuǎn)發(fā)的電子郵件中。

3.2合理設(shè)計(jì)電子郵件UI呈現(xiàn)

一些視覺攻擊不能在協(xié)議級(jí)別上進(jìn)行防御。一種有效的防御方法是提供一個(gè)用戶友好的UI通知，并提醒用戶，他們收到的電子郵件可能是欺騙電子郵件。電子郵件UI呈現(xiàn)是影響用戶對(duì)電子郵件真實(shí)性感知的一個(gè)重要部分。不幸的是，大多數(shù)網(wǎng)絡(luò)郵件和電子郵件客戶端只顯示From頭，而沒有任何更多的身份驗(yàn)證細(xì)節(jié)。因此，普通用戶很難判斷電子郵件的真實(shí)性。如果電子郵件提供商決定將未經(jīng)驗(yàn)證的電子郵件發(fā)送到收件箱，筆者認(rèn)為有必要放置一個(gè)安全指示器來警告用戶。一個(gè)潛在的好處是，安全指示器可作為強(qiáng)制發(fā)送方域正確配置其SPF/DKIM/DMARC的功能。筆者認(rèn)為電子郵件服務(wù)提供商應(yīng)該為不同的接口制訂一致的安全指標(biāo)。目前，由于缺乏安全指標(biāo)，移動(dòng)用戶面臨更高的風(fēng)險(xiǎn)。另一個(gè)例子是，與使用Gmail界面的用戶相比，谷歌收件箱（Web）用戶受到的保護(hù)更少。最后，對(duì)具有未經(jīng)驗(yàn)證的發(fā)件人地址的電子郵件，應(yīng)禁用具有誤導(dǎo)性的UI元素，如“頭像照片”和“電子郵件歷史記錄”。這應(yīng)該適用于欺騙現(xiàn)有聯(lián)系人和欺騙同一電子郵件提供商中的用戶。

3.3檢測(cè)釣魚郵件

黑名單中保存以前檢測(cè)到的網(wǎng)絡(luò)釣魚鏈接、互聯(lián)網(wǎng)協(xié)議（IP）地址或關(guān)鍵詞的列表。另一方面，白名單中保存受信任的實(shí)體。黑名單和白名單的準(zhǔn)確率很高，且誤報(bào)率低。然而，黑名單不能提供防止零日網(wǎng)絡(luò)釣魚攻擊的保護(hù)，因?yàn)橐粋€(gè)網(wǎng)站需要先被發(fā)現(xiàn)才能被列入黑名單。這種延遲是個(gè)重大問題，因?yàn)?3%的網(wǎng)絡(luò)釣魚活動(dòng)在前2小時(shí)內(nèi)結(jié)束。反釣魚郵件軟件可安裝在客戶端或服務(wù)器端，通過不同的算法來檢查各種協(xié)議的有效負(fù)載。協(xié)議可以是HTTP、SMTP或其它任意協(xié)議。算法可是任何一種檢測(cè)或預(yù)防網(wǎng)絡(luò)釣魚攻擊的機(jī)制。啟發(fā)式算法通過尋找現(xiàn)實(shí)中釣魚攻擊中存在的特征來檢測(cè)釣魚郵件，但這些特征并不能保證總是存在于釣魚攻擊中。如果確定了一組通用的啟發(fā)式特征，就可檢測(cè)到零日的網(wǎng)絡(luò)釣魚攻擊（即以前沒有見過的攻擊），這是對(duì)黑名單的一個(gè)優(yōu)勢(shì)。因?yàn)楹诿麊涡杈_匹配，因此首先需觀察確切的攻擊才能將它們列入黑名單。然而，這種廣義啟發(fā)式也存在對(duì)合法內(nèi)容（如合法電子郵件或網(wǎng)站）進(jìn)行錯(cuò)誤分類的風(fēng)險(xiǎn)。將釣魚攻擊的檢測(cè)視為一個(gè)文檔分類或聚類問題，其中模型通過利用機(jī)器學(xué)習(xí)和聚類算法構(gòu)建，如k-近鄰算法（k-NearestNeighbor，k-NN）、C4.5、支持向量機(jī)（SVM）、k均值和基于密度的噪聲應(yīng)用空間聚類（DBSCAN）。k-NN在內(nèi)存中存儲(chǔ)訓(xùn)練實(shí)例，并表示為多維向量，其中每個(gè)向量分量表示從特定特征中提取的值（例如，電子郵件中的鏈接數(shù)量）。然后，通過類似地處理測(cè)試實(shí)例，并計(jì)算測(cè)試實(shí)例和其它訓(xùn)練實(shí)例間的距離（例如，歐氏距離）來執(zhí)行分類任務(wù)。當(dāng)K=3時(shí)，考慮3個(gè)最近鄰的類（如在訓(xùn)練階段獲得的）。當(dāng)任務(wù)是分類時(shí)，可用多數(shù)投票來確定測(cè)試實(shí)例的類別。像C4.5和SVM這樣的算法遵循一種不同的方法，它們推廣了一個(gè)分類模型（與k-NN相反，它不能推廣一個(gè)模型）。例如，C4.5構(gòu)造一個(gè)決策樹，它應(yīng)該足夠通用，可正確地分類看不見的實(shí)例。決策樹由具有分裂分支的節(jié)點(diǎn)組成。執(zhí)行拆分通常是為最大化拆分后的條件信息增益；另一方面，SVM的目的是通過分析訓(xùn)練實(shí)例，在向量空間中找到一個(gè)有效的分離平面。分離平面應(yīng)足夠通用，以便它仍然能分離看不見的實(shí)例。然而，聚類算法，如k均值和DBSCAN分區(qū)實(shí)例，以一種無監(jiān)督的方式（即知道類標(biāo)簽是不需要構(gòu)建集群的）。k均值算法的目的是將k個(gè)初始分區(qū)中心隨機(jī)設(shè)置為k個(gè)初始分區(qū)中心，然后迭代地將實(shí)例分配到離其中心距離最小（如歐幾里得距離）的分區(qū)上，然后將分區(qū)中心更新為同一分區(qū)中實(shí)例的平均值。重復(fù)這個(gè)迭代過程，直到集群收斂；另一方面，DBSCAN能根據(jù)實(shí)例的密度（即使用距離函數(shù)度量，如歐氏距離）對(duì)數(shù)據(jù)進(jìn)行分區(qū)。與k均值相反，DBSCAN不需事先知道應(yīng)找到的分區(qū)數(shù)，這是通過密度可達(dá)性的概念來實(shí)現(xiàn)的。

4結(jié)語(yǔ)

本文分析電子郵件的網(wǎng)絡(luò)安全問題和對(duì)應(yīng)的解決方案。釣魚郵件出現(xiàn)的根本原因是郵件傳輸協(xié)議存在漏洞。其次，各大電子郵件提供商沒有合理部署安全協(xié)議也給攻擊者可乘之機(jī)；最后，郵件用戶安全意識(shí)薄弱，無法識(shí)別釣魚郵件，使得釣魚郵件攻擊成功。因此，要想解決釣魚郵件問題，首先要完善電子郵件傳輸協(xié)議；其次，要明確電子郵件提供商的責(zé)任，鼓勵(lì)郵件提供商部署安全協(xié)議；最后，合理設(shè)置電子郵件的用戶接口，對(duì)釣魚郵件顯示告警信息。

作者：楊海明 單位：中國(guó)移動(dòng)通信集團(tuán)山西有限公司