邮件保护技术

    电子邮件（Email）也是整个互联网业务重要的组成部分，作为企业重要沟通工具关键程度日益提升，同时安全问题也日益突出。

    电子邮件系统主要面临的安全威胁有两种：一种是电子邮件系统自身问题，作为提供互联网服务服务器，可能会存在着配置和误操作上的安全威胁和隐患，没有合理配置服务器的相关配置文件中的重要选项等，极有可能造成潜在的安全隐患，如错误的邮件中继会造成电子邮件系统的滥用。另外一种是垃圾邮件问题，这是让互联网邮件运营商和用户都头疼的问题，只要开放在互联网上每天就会收到成千上万的垃圾邮件。

    在2002年5月20日中国教育和科研计算机网公布的《关于制止垃圾邮件的管理规定》中，垃圾邮件（Spam）的定义是“凡是未经用户请求强行发到用户信箱中的任何广告、宣传资料、病毒等内容的电子邮件”，一般具有批量发送的特征。主要的垃圾邮件的种类如下：

• 邮件广告（Email Advertising）是指通过未经许可而收到的电子邮件广告发到用户电子邮箱的网络广告形式。

• 邮件炸弹（Email bombs）是指不断批量地向同一地址发送电子邮件，直到耗尽接受者的邮箱容量，使其无法正常提供服务。

• 邮件病毒（Email virus）是指病毒通过电子邮件方式传播，一般是在邮件的附件中，如勒索病毒，需要用户执行，附件中的病毒程序才会运行。

• 网络钓鱼（Phishing）是指攻击者通过伪造邮件，利用社工的方式诱骗受害者点击某个链接或执行附件，获取用户名、密码和信用卡等个人敏感信息的一种方式。

    垃圾邮件将占用大量网络带宽，浪费存储空间，影响网络传输和运算速度，造成邮件服务器拥堵，降低了网络的运行效率，严重影响正常的邮件服务。可能会严重干扰用户的正常生活，侵犯收件人的隐私权和信箱空间，并耗费收件人的时间、精力和金钱。用户如被黑客利用，可能会造成病毒泛滥，被网络钓鱼，造成个人敏感信息及企业机密数据被窃取，或被勒索病毒攻击的问题。

反垃圾邮件技术

    反垃圾邮件技术（Anti-spam Techniques）是指针对垃圾邮件的对抗技术，主要的反垃圾邮件技术有：

• SPF
  

    发件人策略框架（Sender Policy Framework，SPF）是为了防范垃圾邮件而提出来的一种DNS记录类型，SPF是一种TXT类型的记录，SPF的本质是告诉接收方的邮件服务器，此域名列表清单上所列IP所发出的邮件都是合法的，并非冒充的垃圾邮件。

    如果SPF TXT配置正确，并且使用SPF中的邮件服务器发送邮件，接收的邮件服务器检查SPF返回结果正确,此邮件被接收。若发送邮件服务器并非SPF中配置的，SPF返回结果错误，则判定为垃圾邮件，那么此邮件将被拒收，这样就在一定程度防止接收到伪造的垃圾邮件。

• DKIM

    域密钥识别邮件标准（DomainKeys Identified Mail，DKIM）是为了防范垃圾邮件而提出来的一种DNS记录类型，DKIM是一种TXT类型的记录，本质是通过在每封邮件上增加加密标志，收件服务器通过非对称加密算法解密并进行hash值比对，从而判断邮件是否伪造的方法。

    DKIM的基本工作原理，它是基于密钥认证方式生成一组密钥对：公钥(public key)和私钥(private key)。公钥将发布在DNS中，私钥会存放在寄信服务器中。发邮件时，发送方会在电子邮件的标头插入DKIM签名。而收件人邮件服务器收到邮件后，会通过DNS获得DKIM公钥，利用公钥解密邮件头中的DKIM信息中的哈希值，收件服务器计算收到邮件的哈希值，两个值进行比较，如果一致则证明邮件合法，此邮件被接收。如果验证为不合法，则判定为垃圾邮件，此邮件被拒收。由于数字签名是无法仿造的，因此这项技术对于垃圾邮件效果极好。

• DMARC

    基于域的消息身份验证、报告和一致性协议（Domain-based Message Authentication、Reporting and Conformance，DMARC）是为了防范垃圾邮件而提出来的一种DNS记录类型，DMARC同样也是一种TXT类型的记录，是基于现有SPF和DKIM协议的可扩展电子邮件认证协议，目的是给电子邮件域名所有者保护他们的域名的能力，SPF和DKIM缺少反馈机制,这两个协议未定义如何处理伪造邮件。DMARC的主要用途在于设置相应的处理策略,当收件服务接收到来自某个域未通过身份验证的邮件时，应执行规定的处理机制(如拒绝邮件或标记为垃圾邮件等)。

    DMARC协议基于现有的DKIM和SPF两大主流电子邮件安全协议，由邮件发送方在DNS里声明自己采用该协议。当邮件接收方（需支持DMARC协议）收到该域发送过来的邮件时，则进行DMARC校验，若校验失败还需发送一封报告到指定邮箱地址。

反垃圾邮件网关

    反垃圾邮件网关（Anti-Spam Gateway）是指设置在邮件系统服务器之前的程序、系统、产品或设备，它的作用是当接收所到进入邮件系统的邮件时，对邮件进行处理，过滤垃圾邮件，让正常邮件进入邮件服务器，如图13-7所示。

目前，反垃圾邮件网关通常采用以下技术实现：

• 过滤技术

    过滤技术是一种相对来说最简单却很直接的处理垃圾邮件技术。这种技术主要用于接收系统来辨别和处理垃圾邮件。这种技术也是使用最广泛的，比如很多邮件服务器上的反垃圾邮件插件、反垃圾邮件网关、客户端上的反垃圾邮件功能等，都是采用的过滤技术。

• 反向查询技术

    类似于MX记录，反向查询解决方案就是定义反向的MX记录，用来判断是否邮件的指定域名和IP地址是完全对应的。垃圾邮件一般都是使用伪造的发送者地址，而伪造邮件的地址是不会真实来自RMX地址，因此可以判断是否伪造。另外还可以使用黑白名单情报，这就能够识别哪些是伪造的邮件，哪些是合法的邮件。

• 挑战技术

    邮件系统保留着许可发送者的列表，当一个新的邮件发送邮件时要求邮件发送者先返回一封包含挑战的邮件。当完成挑战后，新的发送者则被加入到许可发送者列表中。对于那些使用不是真实邮件地址的垃圾邮件来说，它们不可能接收到挑战。挑战技术是通过延缓邮件处理过程，将可以阻碍大量垃圾邮件的发送。那些只发送少量邮件的正常用户不会受到明显的影响。

• 密码技术

    通过使用密码技术来验证邮件发送者的方案，比如服务器使用SSL证书，客户端使用数字证书，这种使用加密传输的方式，或者电子证书方式，来提供可信的证明，如果没有适当的证书，伪造的邮件就很容易被识别出来。

• 邮件指纹技术

    类似于杀毒软件的基于特征检测方式，但无法识别最新出现的垃圾邮件，但是对于那些大量发送的相同的垃圾邮件，这种方法却具有最高的效率，而且这种方法几乎不会产生误报。

• 意图分析技术

    通过对垃圾邮件里URLS地址进行整理，并形成特定数据库，通过对比邮件中的URL链接，确定邮件是否为垃圾邮件。

• 贝叶斯过滤技术

    这是一种智能够自动学习新的垃圾邮件智能技术，通过调整字词频度表，使得系统始终维持较高的过滤水准，并可以满足不同邮件用户个性化的需求，不仅可以设置个人黑白名单，同时可以通过调整并培训自己的分用户贝叶斯数据库，就可以简单的实现这一功能。

• 评分系统

    基于规则，将每一条规则对应一定的评分，将一封邮件与规则库进行比较，每符合一条规则加上该规则评分，获得的分数越高，该邮件是垃圾邮件的可能性就越高。如果一封邮件超过一定阈值，判定该邮件为垃圾邮件。

    总之，针对邮件系统的保护还应采用一个多层次的防护方案实现，配合多种手段共同防护，如对邮件服务器进行基线标准化安装，合理配置邮件服务的相关配置，部署反垃圾邮件网关，从国内外反垃圾邮件组织获得黑名单列表，通过威胁情报识别垃圾邮件来源IP、邮件内容中URL等，使用模拟沙箱对邮件附件文件进行识别，配合杀毒软件进行查杀，实现对邮件系统的层级防护措施，才能全方位保障邮件业务的安全。

原文始发于微信公众号（安全管理杂谈）：邮件保护技术