电子邮件协议威胁及分析Word文档格式.docx
《电子邮件协议威胁及分析Word文档格式.docx》由会员分享,可在线阅读,更多相关《电子邮件协议威胁及分析Word文档格式.docx(15页珍藏版)》请在冰点文库上搜索。
3.3内容过滤处理
参考文献...................................................
一、电子邮件系统的基本概念
电子邮件是一种用电子手段提供信息交换的现代邮政通信方式,电子邮件让人们能方便快捷地传递信息,让世界各地的人们之间能够轻松地交流。
1.1ISO/OSI电子邮件系统
MOTIS电子邮件系统分为两部分:
用户代理UA:
为用户提供良好的操作界面,并负责生成与处理消息;
信息传输代理MTA:
主要负责消息传输,即所谓的“电子邮局”。
在电子邮件系统的具体实现中,UA一般位于个人计算机内,而MTA一般位于邮件服务器中。
MOTIS的电子邮件传输是存储转发型的,其中的MTA扮演网关的角色,邮件经逐个MTA传输直至信宿用户所在的MTA。
图1MOTIS电子邮件系统的模型
1.2TCP/IP电子邮件系统
TCP/IP电子邮件系统在概念上也分为用户界面和邮件传输两部分,但邮件传输部分并未独立出来,形成一个类似MOTIS中MTA的组件,这是因为TCP/IP自始至终坚持端到端的思想,TCP/IP电子邮件系统也采用端到端的传输方式。
TCP/IP中采用spoolin(g
假脱机)缓冲技术来解决延迟传递(delayeddelivery)
问题,将用户收发邮件与实际的邮件传输区别开来。
图2采用spooling技术的电子邮件系统
二、电子邮件协议
收发电子邮件在的过程中,要遵循一些基本协议和标准,这些协议和标准保证电子邮件在各种不同的网络与操作系统之间能够正确地进行传输。
常见的电子邮件传输协议主要有以下三种
●SMTP(简单邮件传输协议):
最常用的电子邮件传送协议;
●POP3(邮局协议):
最常用的电子邮件接收协议;
●IMAP4(网络邮件访问协议):
POP3的一种替代协议,提供了邮件检索和邮件处理的新功能。
2.1SMTP协议
SMTP协议的作用是:
当发送方计算机与支持SMTP协议的电子邮件服务器连接时,将电子邮件由发送方计算机准确无误地传送到接收方的电子邮箱中。
SMTP的一个重要特点是它能够在传送中接力传送邮件,即邮件可以通过不同网络上的主机接力式传送。
SMTP一个相对简单的基于文本的协议。
通过SMTP发送的所有电子邮件都是普通文本格式的,它不能直接传输图像、声音等非文本信息,但可以应用MIME标准将二进制文件编码后再通过SMTP传输。
由于SMTP使用客户服务器方式,因此负责发送邮件的SMTP进程就是
SMTP客户,而负责接收邮件的SMTP进程就是SMTP服务器。
SMTP规定了
14条命令和21种应答信息。
每条命令用4个字母组成,而每一种应答信息一
般只有一行信息,由一个3位数字的代码开始,后面附上(也可不附上)很简
单的文字说明。
常用SMTP命令一览表
命令
描述
HELO
用于启动邮件传输过程
MAIL
用于初始化邮件传输
RCPT
用于标识单个邮件接收人,在MAIL命令后面可有多个
RCPT命令
DATA
用于将邮件报文发送给服务器
QUIT
用于终止客户端与服务器之间的连接
RSET
用于中止当前的邮件事务并使两端复位
VRFY
用于验证指定的用户/邮箱是否存在,即验证接收方地址
是否正确
NOOP
空操作命令
SMTP应答码
代码
211
系统状态或系统帮助响应
500
命令不可识别或语法错
214
帮助信息
501
参数语法错
220
服务准备就绪
502
命令不支持
221
关闭连接
503
命令顺序错
250
请求操作就绪
504
命令参数不支持
251
非本地用户,转发到
<
forward-path>
550
操作未执行:
邮箱不可用
354
开始邮件输入,以
CR-LF>
.<
结束
551
非本地用户,请尝试
421
服务不可用
552
操作中止:
存储空间不足
450
邮箱忙
553
邮箱名不正确
451
本地错误
554
传输失败
452
2.1.1漏洞和攻击:
(1)基于头部的攻击
基于头部的攻击不是很常见,因为头部较简单,任何无效的命令和回应都会被忽略。
早期版本的电子邮件服务器遭受过缓冲区溢出的攻击,早期的实现对于SMTP命令和回应有固定的缓冲区大小,有几个很有名的攻击就是通过发送过长的命令来攻击固定的缓冲区的。
现在的电子邮件服务器已经进行了修补,设计上可以接受任意长度的输入信息,一般是通过倒腾的方式在固定长度的缓冲区上处理所有输入的命令和回应。
然而,仍然有一种攻击代码,通过命令行缓冲区溢出攻击SMTP服务器。
对某些特别的服务或协议发动的攻击,其中的大多数还无法防范,这使得对一个网络的防护更加困难。
(2)基于协议的攻击
基于协议的攻击与基于指令~回应方式的协议攻击相比不是很常见,因为协议消息的时序和顺序是有控的且任何冲突都会被忽略。
(3)基于验证的攻击
对电子邮件的攻击最常见的类型是基于验证的攻击,这是因为大多数SMTP协议中缺少验证。
最常见的SMTP验证攻击是采用伪冒发送者进行直接或间接的过程调用中继手段,这类攻击称为电子邮件欺骗。
客户端负责告诉服务器发送者的电子邮件地址,但没有过程或协议来验证电子邮件消息的f发送者。
唯一被广泛采纳的对策是检查发送者的域看是否有效,这是c采用域名服务中的域名查询协议来实现的。
电子邮件地址欺骗也用于垃圾邮件和其他恶意邮件消息。
有几种方法可以用于发送带有欺骗地址的电子邮件,其中包括在UA中返回地址。
垃圾邮件发送者使用与MTA交互的客户软件,这里的MTA使用SMTP协议。
由于UA只对用户显示了精简的头部,因此用户并不能很容易地看出消息中包含的是欺骗的发送者的地址。
如果攻击者在返回时使用的地址是实际存在的地址,将导致过多的电子邮件流量发送到被伪冒的地址,致使电子邮件服务器系统磁盘存储空间被填充。
这种攻击被认为是基于流量的攻击。
电子邮件系统的另一个缺点是允许远程用户伪造返回地址。
这使得连接到一个单独的电子邮件服务器的UA可以有一个机构的返回地址,而不是发送者的计算机地址。
另一个基于验证的攻击是用户名探测,这类攻击很容易实施,但很少有安全隐患。
如果用户不是有效的,那么RCPTTO:
命令返回知道错误,这可以用于发现用户名,至少用于验证用户名。
如果攻击者没有关于目标的信息,那么使用SMTP猜测用户名将是很浪费时间的,同时会被记载。
大多数时间,电子邮件用户名是大家都知道的,因此通过探测用户名不会给攻击者带来更多的额外信息。
(4)基于流量的攻击
除了基于验证的攻击,还有对电子邮件系统实施的基于流量的攻击。
最常见的攻击是用大量的信息消耗磁盘空间而导致电子邮件服务器崩溃。
随着磁盘空间的增加,这类攻击不怎么起作用了。
另外一个常见的雪崩攻击是事故性的,并发生在某个用户使用中继给一批用户发送邮件时。
另外一个基于流量的攻击是嗅探SMTP流量。
有互联网嗅探流量是很困难的,但攻击者如果能访问机构内的网络,则他可以嗅探就够内的流量。
SMTP协议时不加密的,所以攻击者可以读取电子邮件的消息。
2.2POP3协议和IMAP协议(InternetMessageAccessProtocol)
POP3是一种邮件接收协议,其作用是:
当用户计算机与支持POP协议的电子邮件服务器连接时,把存储在该服务器的电子邮箱中的邮件准确无误地下载到用户的计算机中。
POP3属于离线式协议,即不能对邮件进行在线操作,必须下载到本地才能进行处理。
离线工作方式适合于那些从固定计算机上接收邮件的用户使用,因为邮件必须从服务器上删除。
POP协议已发展到第三版,称作POP3
POP3与SMTP一样都是请求响应协议,命令与响应也都是用NVTASCII格式的文本表示。
POP3响应由一个状态码和其后的附加信息组成,只有两种状态码:
“+OK”(正确)和“-ERR”(失败)。
常用POP3命令
命令及格式
USERusername
指定用户名
PASSpassword
指定密码
STAT
询问邮箱状态(如邮件总数和总字节数等)
LIST[Msg#]
列出邮件索引(邮件数量和每个邮件的大小)
RETR[Msg#]
取回指定的邮件
DELE[Msg#]
删除指定的邮件
空操作
重置所有标记为删除的邮件,用于撤消DELE命令
提交修改并断开连接
IMAP(InternetMessageAccessPotocol)是一种用于邮箱访问的协议,使用IMAP协议可以在Client端管理Server上的邮箱,它与pop不同,邮件是保留在服务器上而不是download到本地,在这一点上IMAP是与Webmail相似的。
但IMAP有比Webmail更好的地方,它比webmail更高效和安全,可以离线阅读等等,如果想试试可以用OutlookExpress,只要配好一个帐号,将我的邮件接收服务器设置为IMAP服务器就可以了。
IMAP(Internet消息访问协议)是与POP3对应的另一种协议,为美国斯坦福大学在1986年开始研发的多重邮箱电子邮件系统。
它能够从邮件服务器上获取有关E-mail的信息或直接收取邮件,具有高性能和可扩展性的优点。
IMAP为很多客户端电子邮件软件所采纳,如OutlookExpress、NetscapeMessenger等,支持IMAP的服务器端的软件也越来越多,如CriticalPath、Eudora、iPlanet、Sendmail等。
IMAP提供操作的三种模式
●在线方式:
邮件保留在Mail服务器端,客户端可以对其进行管理。
其使用方式与WebMail相类似。
●离线方式:
这与POP协议一样。
●分离方式:
邮件的一部分在Mail服务器端,一部分在客户端。
这与一些成熟的
组件包应用(如LotusNotes/Domino)的方式类似。
IMAP最大的好处就是用户可以在不同的地方使用不同的计算机随时上网阅读和处理自己的邮件。
IMAP还允许收件人只读取邮件中的某一个部分。
例如,收到了一个带有视像附件(此文件可能很大)的邮件。
为了节省时间,可以先下载邮件的正文部分,待以后有时间再读取或下载这个很长的附件。
IMAP的缺点是如果用户没有将邮件复制到自己的PC机上,则邮件一直是存放在IMAP服务器上。
因此用户需要经常与IMAP服务器建立连接。
IMAP4提供了相当强大的功能,非常适合于需要工作在多个不同计算机上的移动用户,或需要访问和维护多个不同邮箱的用户使用。
由于IMAP4比较复杂,给开发者开发客户端和服务器的软件带来一些难题,因而目前商用的实现方案还不多,要像POP3那样得到广泛应用还需要一段时间。
2.2.1漏洞、攻击:
(1)基于头部和针对协议的攻击
如今并没有发现POP和IMAP协议太多的头部和协议漏洞,这两份协议都很简单,且头部都是非限制性的自由文本格式。
(2)基于验证的攻击
POP3允许用户不受限制地登录,针对POP3和IMAP协议进行密码猜测攻击代码是很容易的,但攻击的成功概率很低。
对于远程用户验证还没有什么好的对策,一种方法是限制用户的验证,如从用户计算机的IP地址入手。
还可以通过不允许POP3和IMAP协议跨过网络边界来实现,网络边界要使用防火墙或过滤路由器。
(3)基于流量的攻击
POP3和IMAP协议也会遭受针对流量的攻击,但是受害程度有限。
一个攻击者很难组织流量去压垮POP3和IMAP协议,因为对于每一个用户连接请求,新的服务随后就跟上了。
在大多数协议中存在的一个漏洞是当数据已纯文本传输时,任何可以嗅探流量的攻击者都可以督导数据,在POP3和IMAP协议中,用户名和密码是以纯文本形式传输,攻击者可以捕捉到用户名和密码。
2.3MIME(MultipurposeInternetMailExtensions)
SMTP有很多缺点,如SMTP不能传送可执行文件或其他的二进制对象。
SMTP限于传送7位的ASCII码。
许多其他非英语国家的文字(如中文、俄文,甚至带重音符号的法文或德文)就无法传送。
SMTP服务器会拒绝超过一定长度的邮件。
某些SMTP的实现并没有完全按照[RFC821]的SMTP标准。
MIME作为RFC822的扩展,在MIME标准中,RFC822的报文头、报文体基本模式不变,RFC822定义的标准头字段的语法和语义不变。
MIME扩展了基本的面向文本的Internet邮件系统,在不改动现有邮件协议的情况下,实现了用标准的文本格式邮件传输非文本(二进制)数据的功能。
MIME的原理是将二进制数据转化为文本格式,然后再进行传输。
图5MIME和SMTP的关系
MIME主要包括三个部分,包含5个新的邮件首部字段,它们可包含在[RFC
822]首部中。
这些字段提供了有关邮件主体的信息。
MIME定义了许多邮件内容
的格式,对多媒体电子邮件的表示方法进行了标准化。
还定义了传送编码,可对
任何内容格式进行转换,而不会被邮件系统改变。
2.3.1漏洞、攻击:
1、基于头部的攻击
在MIME中基于头部的无效攻击有用户代理来处理,处理的结果是电子邮件消息不能显示。
基于头部的最大漏洞是头部用于隐藏消息的实际内容,内容描述可以有用户代理来显示内容类型。
另一类攻击发放时使用基于HTML的电子邮件来隐藏电子邮件消息中的实际内容,例如,一个电子邮件消息可以包含一个web页面链接,用户会惦记文本访问链接看看说些什么。
2、基于协议的攻击
基于MIME协议的攻击是使用MIME协议附带恶意软件,用户因浏览电子邮件或打开附件激活了恶意代码,恶意代码可以攻击浏览文件的计算机上的程序。
许多用户代理有直接显示附件的功能,这对用户来说是很方便的,但却也带来了问题。
有许多蠕虫和病毒能够利用用户代理直接浏览各类数据。
3、基于验证的攻击
MIME协议并不直接支持用户验证,但它却为欺骗验证提供了一种方法。
MIME可以让攻击者产生让人信任的电子邮件,看起来像是来自确定的机构。
另外一个基于验证的攻击是利用电子邮件补丁追踪电子邮件在何处和何时被打开,这可以通过讲一个图片插入到电子邮件文档中实现,一般是作为HTMP文件的一部分,它实际存储在远程服务器上,当用户访问电子邮件时,图片就从远程服务器被下载,远程服务器记录了用户的访问,并提供日期、时间等和用户有关的信息。
4、基于流量的攻击
MIME协议并没有关于流量的漏洞,但它却偏向产生大尺寸的电子邮件信息,再加上附件就可能构成很大的电子邮件消息。
嗅探威胁并没有因为MIME协议而改变,对电子邮件的网络嗅探的对策可以推到下一节描述的用户中,或推到随后描述的网络中。
2.4基于万维网HTTP协议
电子邮件从A发送到网易邮件服务器是使用HTTP协议。
两个邮件服务器
之间的传送使用SMTP。
邮件从新浪邮件服务器传送到B是使用HTTP协议。
3、一般电子邮件对策:
3.1加密和验证
加密可以用于通信一方或双方的验证,对于电子邮件,有几个可以部署加密的地方。
第一个加密点是M丅A之间的流量,有几个关于M丅A之间的流量加密的提案能够提供每个MTA的验证。
从现实的角度来讲,还有几个问题有待解决,包括寻找每个M丅A共享加密密钥的方法。
另一个位置是z网络和M丅A之间的用户,其最大的好处是用户的验证可以支持电子邮件的重放,。
但这仍然有密钥分配问题,可以采用公共密钥来处理。
下一个点是MTA和接受方的计算机,pop和imap有安全版本,这些版本使用安全密钥提供提供附加验证,也可以保护用户名和密码不被窃听,尤其实在远程访问电子邮件时,这种方法是十分有效的。
最后是对当用户通过web访问电子邮件时,流量可以借助同样的方法进行加密,当然方法是由安全的web站点来部署的。
3.2电子邮件过滤
电子邮件可以用于传输恶意内容和垃圾邮件,并可以用于钓鱼攻击。
一直有几个协议修改提案企图解决这个问题,然而大多数是不行的。
解决这个问题的方法之一是采用电子邮件过滤器。
电子邮件过滤器一般配置在电子邮件服务器之前,是接受电子邮件的第一个M丅A。
根据过滤器的不同,消息可以在未修改状态和修改状态传输,并除去恶意内容,或者干脆删除
一种类型的电子邮件过滤器是侦察垃圾邮件和钓鱼攻击。
有几种处理垃圾邮件的方法,第一种方法是试图根据过去的消息分类分析消息并把垃圾邮件分离出来,目标是训练系统辨别垃圾邮件是什么模样,这种类型的分类一般部署在大多数的用户代理位置上,这允许用户产生客户化的垃圾过滤器。
这些类型的垃圾过滤器不是很严谨,有分错类的问题,有时归在垃圾邮件中的电子邮件并不是垃圾邮件。
另一类基于网络的垃圾邮件过滤器是通过在电子邮件消息头部加入标注行,把消息标注为垃圾邮件。
使用这种方法,用户代理可以触发垃圾标注,并将消息归类为垃圾邮件。
可以通过用户代理设置将消息标注为垃圾,并且将其和非垃圾消息意一起显示。
另一类垃圾邮件过滤方法是利用过滤列表。
可以通过一个过滤列表拒绝来自使用SM丅P协议的站点列表中的电子邮件消息。
第一种类型称为黑名单,由带标记的电子邮件发送者构成。
这个列表可以由域名,用户@域名和ip地址组成。
黑名单的最大问题是要不断维护,垃圾邮件发送者总是不断变化他们的域名。
白名单是黑名单的反面,它是很严格的。
这个列表包含授权电子邮件发送者的名称和ip地址。
这对于一个建立在机构内部几个MTA之间的专门电子邮件系统是有用的。
第三种称为灰名单,灰名单的处理是利用SMTP协议的特征来阻止智能的垃圾邮件发送者,智能的垃圾邮件发送者使用小型应用来产生和发送邮件到某个MTA,垃圾邮件智能程序并不实现MTA的所用功能。
当和MTA通信失败后,正常的MTA对于经历发送失败的电子邮件可以暂时保存外出电子邮件消息,在等待一段时间后,MTA会试图再次发送这个消息,并连续发送几天。
智能的垃圾邮件发送者也试图发送电子邮件消息,但如果接受方MTA发送了一个失败的消息,它就会退出来,并继续寻找下一个目标。
灰名单过滤设备可以根据临时发送失败的新发送者回应第一批电子邮件消息,如果在等待一段时间后,发送者再次发送这个消息,那么过滤MTA就允许这个消息通过,并将发送者添加到灰名单,下一次发送者在发送消息时就被允许了。
3.3、内容过滤处理
提高电子邮件安全的另一个方法是利用电子邮件内容过滤设备。
它不同于垃圾邮件过滤器,它要查询可能引起安全问题的具体内容。
这些设备也作为MTA运行,并且分析电子邮件消息内容以便确定它是否包含恶意内容。
最长用的类型是电子邮件病毒扫描程序,它可以扫描所有电子邮件病毒。
如果发现病毒,它就去除攻击性消息,并允许干净的消息通过。
它还在消息中追加一个记录,指出电子邮件已经进行过病毒去除,并可以给发送者发送一条消息,通知他电子邮件包含有病毒。
另一种类型的内容过滤器针对不该离开网络的外出内容。
政府规定强迫许多机构安装工具防止私密数据离开网络,健康和经济d数据受到政府规定的保护。
一种外出电子邮件内容过滤器将检查所有的外出电子邮件消息,查询不应该外出的内容,如社会安全号码,过滤器可以存储这个消息,并通知发送者发生了冲突。
升级会员 