全部标签
写点什么
MySQLOpenHarmony云计算程序员行业资讯算法Python人工智能区块链Linux前端个人成长面试架构师编程企业动态新基建敏捷安全读书笔记高效工作团队管理创业生涯规划知识管理运维产品经理 查看更多

他居然发邮件请我去吃饭——邮件伪造那些事儿

作者:Regan Yue
  • 2022 年 8 月 14 日
    湖南

  • 本文字数:1701 字

    阅读完需:约 6 分钟

他居然发邮件请我去吃饭——邮件伪造那些事儿

他居然发邮件请我去吃饭——邮件伪造那些事儿


今天中午吃午饭的时候,突然收到一封邮件,我一看,不得了啊,居然是美国前总统给我发来的邮件,还说要我助他一臂之力成为新总统。下午再看他的新闻,感觉他现在都自身难保了,怎么会请我吃饭呢?于是怀疑这封邮件是伪造的...

第一阶段:怀疑“李鬼”域名

刚开始我想是不是有人注册了和真实域名看起来很像的域名。通过比对这些字符的 ASCII 码,发现没问题啊,不是“李鬼”啊。


第二阶段:查看邮件真面目


先导出 eml 文件,然后双击打开看看。



看不出什么啊,这是因为打开方式不对啊。


用记事本打开,或者直接点击**【显示邮件原文】**。



初步看起来没什么问题,难道这封邮件是真的?还是他们的邮箱系统被黑客控制了?

第三阶段:原来是 SMTP 的锅~

其实这是利用了简单邮件传输协议 (SMTP) 中的漏洞,因为简单邮件传输协议 (SMTP) 不提供地址验证机制。尽管已经开发了电子邮件地址身份验证协议和机制来对抗这些邮件伪造,但这些机制的效率很低。


通常攻击者会伪造“From” , “Return-path”和 “Reply-to”字段,如果没有启用验证机制,那么你的邮箱就会直接解析这些字段。



图片来源:What is SMTP: Types, Components, & How it Works


https://www.mailmodo.com/guides/smtp/


那么 SMTP 发送邮件的流程是怎么样的呢?


如何使用 SMTP 发送电子邮件?通过 SMTP 端口发送电子邮件的过程包括以下连续的步骤。首先在邮件传输代理(MTA)程序的帮助下,用户发送一封电子邮件。邮件的内容由两部分组成,即邮件标题和邮件正文。标题是邮件的主题,而正文是主要内容。发件人和收件人地址也在邮件头部分。标头就像一个信封,装着信件(信息)。然后邮件客户端(邮件用户代理,MUA)使用 TCP 端口 587 或传统端口 25 的 SMTP 将邮件提交给邮件服务器(被称为邮件提交代理,MSA)。MSA 进一步将邮件传递给其邮件传输代理,MTA。电子邮件地址有两个部分分别是收件人的用户名和域名。例如,test@gmail.com,'test'是用户名,而'gmail.com'是域名。


如果收件人的电子邮件地址的域名与发件人的域名不一致,那么邮件提交代理(MSA)将把邮件发送到(MTA)。MTA 将搜索特定的域名来转发该邮件,分为下面两个步骤:


  • 首先,检查域名系统(DNS)的 MX 记录以获得目标域。MX 记录包含收件人的域名和 IP 地址。

  • 一旦找到,MTA 就与交换服务器建立连接并转发件。这种从一个 SMTP 服务器到另一个 SMTP 服务器的邮件传输被称为 SMTP 中继。而为了保持你的邮件顺利送达,有较高的送达率,可能需要 SMTP 中继服务。

第四阶段:怎么防范?

域名所有者也可采取措施来防止攻击者从其域发送消息。为此,组织可创建专用于身份验证的域名系统(DNS)记录。有三种主流的安全措施:


  • SPF

  • DKIM

  • DMARC


发件人策略框架(SPF)是 Sender Policy Framework 的缩写,是一种依据 IP 地址进行认证的机制。邮件接收方会列出该邮件发送方域名被授权的服务器 IP,并判断发送方 IP 是否在该列表中,如果在,就接收,不在,就退回。



我们能够看到发送邮件的服务器 IP 是来自杭州的,老川现在还在美国惹上麻烦事了,应该不会用阿里云的服务器做邮箱服务器吧~


域名密匙确认邮件(DKIM)使用一对密钥来进行身份验证,将公钥放置在 DKIM 记录中,然后发送方对 DKIM 头使用私钥进行数字签名。如果是假冒的,DKIM 记录中的公钥就能确实私钥是错误的,邮件是伪造的。


基于域名的消息认证报告与一致性(DMARC)记录(Domain-based Message Authentication, Reporting & Conformance)是一种基于现有的 SPF 和 DKIM 协议的可扩展电子邮件认证协议。其核心思想是邮件的发送方通过特定方式(DNS)公开表明自己会用到的发件服务器(SPF)、并对发出的邮件内容进行签名(DKIM),而邮件的接收方则检查收到的邮件是否来自发送方授权过的服务器并核对签名是否有效。对于未通过前述检查的邮件,接收方则按照发送方指定的策略进行处理,如直接投入垃圾箱或拒收。从而有效识别并拦截欺诈邮件和钓鱼邮件,保障用户个人信息安全。


参考:


https://www.mailmodo.com/guides/smtp/


https://www.cloudflare.com/zh-cn/learning/email-security/what-is-email-spoofing/


https://www.usenix.org/conference/usenixsecurity21/presentation/shen-kaiwen


https://xz.aliyun.com/t/6325/

划线
评论
复制
发布于: 刚刚阅读数: 3

版权声明: 本文为 InfoQ 作者【Regan Yue】的原创文章。

原文链接:【http://xie.infoq.cn/article/3325cf094b9ab901d619e2b80】。

本文遵守【CC-BY 4.0】协议,转载请保留原文出处及本版权声明。

网络安全8月日更8月月更邮件伪造
用户头像

Regan Yue

关注

还未添加个人签名 2020.08.12 加入

对Go、Python、网络安全、区块链感兴趣. · 华为云云享专家 · 掘金资讯创作者

评论

发布
暂无评论
Copyright © 2022, Geekbang Technology Ltd. All rights reserved. 极客邦控股(北京)有限公司 | 京 ICP 备 16027448 号 - 5京公网安备京公网安备 11010502039052号
他居然发邮件请我去吃饭——邮件伪造那些事儿_网络安全_Regan Yue_InfoQ写作社区