新年伊始,新风险也随之而来。2024年才刚开始,但已经很明显,我们将面临的威胁之一是SMTP走私。这种技术让攻击者通过篡改电子邮件头部,将恶意邮件悄悄绕过安全检查。这是一种巧妙的黑客手段,能够欺骗系统,将伪造的消息直接送达你的收件箱,而忽略通常的保护措施,如SPF、DKIM和DMARC。
更多关于SMTP走私:它是如何运作的
SMTP走私是一种相当复杂的技巧。攻击者精心制作电子邮件,并对SMTP头部进行调整——这些代码片段告诉服务器电子邮件的来源和去向。他们在这些头部中插入额外的命令,欺骗接收服务器将一封邮件视为两封邮件。
整个过程如下。精心制作的电子邮件到达服务器,服务器在走私命令的误导下将电子邮件分成两部分。第一部分是诱饵,非常正常。它通过了所有安全检查,没有发出任何警报。然而,第二部分携带恶意负载。它绕过了 SPF、DKIM 和 DMARC 等常见防御措施,直接进入目标的收件箱。
这种技术的关键在于利用不同服务器对电子邮件结束时间的解释差异。攻击者会造成这样一种情况:发件人的服务器看到一条连续的消息,而收件人的服务器却被欺骗看到两条单独的消息。结果呢?危险的电子邮件绕过了企业通常为保护员工而采取的安全措施。它将有害内容传递到攻击者想要的地方。
主要漏洞:目前已知的情况
据悉,微软、GMX、思科等主流平台的SMTP服务器均存在SMTP走私攻击风险,攻击者可以通过绕过上述安全防护措施,发起更为隐蔽的钓鱼攻击。
Microsoft 和 GMX 已经解决了这些问题,并针对其 SMTP 服务器中发现的漏洞实施了修复。思科表示,他们不认为这是一个漏洞。问题是,他们的安全电子邮件解决方案中的易受攻击的功能可以禁用。您只需将 CR 和 LF 处理更改为“拒绝”(而不是“清除”)。这可以在侦听器设置中完成。
有什么解决方案吗?
安全专家推荐了几种针对SMTP走私攻击的防护方法。
- 正确的配置和更新
保持 SMTP 服务器配置为最新,并确保它们正确配置以安全地处理 SMTP 命令。服务器必须正确解释数据结束序列以防止走私。
- 先进的电子邮件安全解决方案
部署提供高级保护功能的电子邮件安全解决方案,包括检测和阻止 SMTP 走私企图的能力。能够对电子邮件标头和有效负载进行深度检查的解决方案可能是最有效的。
- 多层安全措施
不要仅仅依赖 SPF、DKIM 和 DMARC。将它们与端点保护和入侵检测系统等其他安全层相结合。