SPF难以解决邮件伪造的现状以及方案
郵件偽造的現(xiàn)狀
仿冒域名
私搭郵服仿冒域名:
例如某公司企業(yè)的域名是example.com,那么攻擊者可以搭建一個(gè)郵服,也把自己的域名配置為example.com,然后發(fā)郵件給真實(shí)的企業(yè)員工xxx@example.com,就可能導(dǎo)致偽造。
這個(gè)例子可以參考我的博客郵件欺詐與SPF防御
匿名發(fā)送
登錄郵服匿名發(fā)送:
例如攻擊者在公司內(nèi)網(wǎng),內(nèi)網(wǎng)的smtp服務(wù)器打開了匿名發(fā)送郵件的功能。只需要telnet到smtp.example.com,ehlo example.com然后就可以以域內(nèi)任何人的名義(xxx@example.com)發(fā)送給域內(nèi)任何人(yyy@example.com)
它域代發(fā)
利用它域偽造發(fā)件:
攻擊者可以在內(nèi)網(wǎng)也可以在公網(wǎng),攻擊者可以利用任何郵箱服務(wù)器(包括自己搭建的),利用任何域名(包括不存在的)發(fā)送郵件,但是在郵件數(shù)據(jù)部分中的FROM字段進(jìn)行替換偽造,也就是說MAIL_FROM與FROM不一致。
SPF的困境
沒有配置SPF的域名
除了商業(yè)運(yùn)營的頂級(jí)域,和部分大企業(yè)事業(yè)單位,還有大量的企業(yè)郵箱或者組織內(nèi)郵箱是沒有配置SPF的
SPF匹配后的動(dòng)作困境
由于種種原因,目前SPF的困境在于如果配置開啟硬拒絕,就會(huì)有大量的郵件被丟棄或者隔離,影響辦公效率甚至耽誤重大事項(xiàng);如果開啟軟阻斷或者不阻斷,就會(huì)導(dǎo)致大量應(yīng)該被攔截的郵件直接進(jìn)來,基本宣告SPF無效;
建議解決方案
建議對(duì)公司內(nèi)部的郵件域名進(jìn)行配置SPF并設(shè)置硬阻斷,對(duì)其他所有域名不開啟SPF檢測(cè)(需要支持類似功能的郵件網(wǎng)關(guān)),關(guān)閉匿名發(fā)送功能,或限制開放匿名發(fā)送功能;在郵服前面配置過濾產(chǎn)品,解析MAIL_FROM和FROM字段,檢查不匹配的直接告警。
轉(zhuǎn)載于:https://www.cnblogs.com/KevinGeorge/p/8950211.html
總結(jié)
以上是生活随笔為你收集整理的SPF难以解决邮件伪造的现状以及方案的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 理解数据类型与数学运算:求和、温度转换2
- 下一篇: 常用依赖/开源库归类