扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
企业信息按其存在形态,分为结构化数据和非结构化数据。在企业所有信息中,80% 左右的信息是非结构化数据(包括电子邮件、图像、视频、文档、社会媒体等) ,而非结构化数据中,将企业的电子邮件数据作为其中最主要的数据信息,相信无人会反对。但是,当电子邮件发错对象时,因为邮件系统在SMTP连接阶段,会检查收件人是否存在,如果收件人不存在,或是接收端因为某种原因而不能接收,邮件系统将自动生成退信信息(NDR【Non-Delivery Report】),并自动发送给发件人。这只是一个再正常不过的邮件服务之一,但已被SPAMMER用来成为一种常见的攻击武器,退信已不再仅仅只是退信,已然成为了一种网路上攻击邮件服务器的手段,甚至防不胜防。
那先跟随我们的脚步,了解下退信攻击的流程吧。Invalid Non-Delivery Report Messages,垃圾邮件退信攻击,是将欲攻击的对象伪装成发件人地址,收件人地址则选用一个(或一组)其他单位不存在的账号,然后通过僵尸计算机Botnet,发送大量伪装邮件,因为该收件人账号不存在,所以,邮件主机会退信给被伪装的发件人地址,造成被伪冒的公司邮件主机收到大量的退信通知邮件,不但增加系统Loading,也会容易使该公司变成垃圾邮件黑名单的一员。
从上图我们可以看到,“退信“成为了一把双面刃。只要一次发信的动作,可以同时攻击两台邮件服务器。他对企业来说,就会造成很多不利影响,诸如:
1. 企业员工休假或出差在外,若是因为公司邮件服务器备退信攻击导致无法正常收发邮件,无法第一时间立即处理客户邮件,导致订单流失。
2. 因为退信攻击导致IP被加进RBL,变得无法正常收发邮件。
上述两种状况,都是会影响公司订单,大笔交易金额资讯的传达或是工作信息的发布,都是影响重大的。以本例来说,近来笔者常常看到许多企业的邮箱,被退送邮件塞爆,影响公司正常运作,经了解原因后,发现是有人假冒公司账号大量发送垃圾邮件。例如某广告垃圾邮件发送者,伪造发件人的字段为我们公司账号(spam@softnext.com.cn),并大量发送垃圾邮件,但是由于收件人可能有做阻挡防御(字典挡、限制内部收件人最大人数….),造成寄送邮件无法顺利送达,而发生退信情况。这时候邮件系统(不论是本机账号或非本机账号)会收到许多的退信,有可能会造成使用者困扰也可能影响整个公司邮件寄送正常运作。
退信攻击在程度上有所区别,上面介绍的这种攻击,被攻击者可能一天之内收到数百上千封各种退信。
一般用户碰到的退信攻击属于骚扰性质,垃圾邮件发送者在发送垃圾邮件时,常常随机的设置发件人,例如其中包括bobo@abc.com,当大量发送垃圾邮件时, 有些邮件可能是以bobo@abc.com发送的,则bobo就可能收到退信,有时一天只有几封或几十封,但总是不断,让人十分郁闷。
退信信息通常比较有规律,例如发件人为空,或者为MAILER-DAEMON@xxx.com,主题一般为Undelivered Mail Returned等。有些用户采用关键词的技术将退信予以阻断,或者干脆限定阻止空发件人,但是这经常会把正常的退信也阻止掉,导致信息不畅。一般而言,退信占一个公司的邮件量5%以上,这其中绝大部分是垃圾退信。如何防止收到这种垃圾退信,避免退信攻击呢?遇到这样的问题,有没有什么样的方式可以解决呢?
若要防止这种状况,就大部分的技术来说,要设置相关对应的条件,就比较复杂,而市场上防范垃圾邮件产品常见的做法之一是设置SPF验证,但遗憾的是很多服务器不做SPF验证,因此,即使某些企业设置了SPF记录,也依然无法阻挡退信造成的垃圾邮件威胁;另一些产品采用回复邮件的验证机制,需要在外发邮件时加入时间标示和密钥,且邮件外发后产生的退信中,也需要包括发送时的时间标示和密钥,若没有上述信息,则说明该邮件不是由本机发出的,就被列为退信垃圾,并将其阻挡。如此设置每一封邮件,这对管理人员来说,是否麻烦了些呢?而就Softnext守内安的产品就无需如此繁复的设置,只需轻点鼠标勾选即可,对管理人员来说较为简单,又更容易上手。
如图做法,只需设置邮件大小,若有需要,加入允许退信的IP掩码加入,设置就搞定了,再多的“退信”攻击也不会入侵企业内部。Softnext守内安企业邮件内容管理系统,不但解决邮件非结构化数据的安全防范、采集、管理、利用、传递,更可从中获取业务连续性管理的洞察力和竞争力,并将不必要的风险性做到更及时的可控性。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者