郵件偽造的現狀
仿冒域名
私搭郵服仿冒域名:
例如某公司企業的域名是example.com,那么攻擊者可以搭建一個郵服,也把自己的域名配置為example.com,然后發郵件給真實的企業員工xxx@example.com,就可能導致偽造。
這個例子可以參考我的博客郵件欺詐與SPF防御
匿名發送
登錄郵服匿名發送:
例如攻擊者在公司內網,內網的smtp服務器打開了匿名發送郵件的功能。只需要telnet到smtp.example.com,ehlo example.com然后就可以以域內任何人的名義(xxx@example.com)發送給域內任何人(yyy@example.com)
它域代發
利用它域偽造發件:
攻擊者可以在內網也可以在公網,攻擊者可以利用任何郵箱服務器(包括自己搭建的),利用任何域名(包括不存在的)發送郵件,但是在郵件數據部分中的FROM字段進行替換偽造,也就是說MAIL_FROM與FROM不一致。
SPF的困境
沒有配置SPF的域名
除了商業運營的頂級域,和部分大企業事業單位,還有大量的企業郵箱或者組織內郵箱是沒有配置SPF的
SPF匹配后的動作困境
由於種種原因,目前SPF的困境在於如果配置開啟硬拒絕,就會有大量的郵件被丟棄或者隔離,影響辦公效率甚至耽誤重大事項;如果開啟軟阻斷或者不阻斷,就會導致大量應該被攔截的郵件直接進來,基本宣告SPF無效;
建議解決方案
建議對公司內部的郵件域名進行配置SPF並設置硬阻斷,對其他所有域名不開啟SPF檢測(需要支持類似功能的郵件網關),關閉匿名發送功能,或限制開放匿名發送功能;在郵服前面配置過濾產品,解析MAIL_FROM和FROM字段,檢查不匹配的直接告警。