网络与信息安全学报 ›› 2023, Vol. 9 ›› Issue (3): 90-101.doi: 10.11959/j.issn.2096-109x.2023041
袁静怡, 李子川, 彭国军
Jingyi YUAN, Zichuan LI, Guojun PENG
摘要:
电子邮件是人们日常生活、工作中非常重要的通信手段,往往被攻击者作为钓鱼攻击的入口,而发件人伪造则是实现邮件钓鱼攻击的关键步骤。为防止发件人伪造攻击,邮件厂商往往会部署 SPF、DKIM和 DMARC 等邮件安全协议来验证发件人身份,除此之外,部分厂商会在前端添加代发提醒机制辅助用户判断邮件的真实来源,以降低用户受到钓鱼邮件威胁的可能。但是业界并没有统一标准对代发提醒机制的实现进行规范,各厂商的代发提醒机制实现各不相同,其实现上能否有效防止发件人伪造攻击仍缺少测试和验证。对邮件服务厂商代发提醒机制进行研究,旨在评估厂商邮件代发提醒机制的安全性,消除攻击者绕过代发提醒机制实现发件人伪造的潜在安全威胁。对10个国内外邮件厂商进行调研,其中有7个厂商部署了代发提醒机制。在测试基础上提出了一种新型发件人伪造攻击——EN-Bypass 攻击,该攻击通过构造和变换邮件头中的From和Sender字段,绕过邮件代发提醒机制以实现发件人伪造。为了自动化验证代发提醒机制的安全性和可靠性,基于EN-Bypass攻击的思路实现了工具EmailSenderChecker,用于对厂商代发提醒机制进行自动化测试。实验结果表明,7 个厂商的代发提醒机制均存在不同程度的安全漏洞,攻击者通过构造特殊的邮件头部可以绕过代发提醒机制,实现发件人伪造攻击。最后,为了提高邮件服务的安全性,就邮件厂商代发提醒机制存在的问题,向邮件服务厂商提出了安全建议。
中图分类号:
|