圖8
配置完成后,就可以按照正常的郵件發送流程進行發送,我們發送一個測試郵件內容如下圖9所示。
圖9
然后點擊發送按鈕,這封郵件就會進入到Advanced Direct Remailer的窗口中,我們點擊Advanced Direct Remailer窗口的運行按鈕,郵件就會進行發送。稍等片刻后,我們的郵箱就會收到剛剛偽造發送的郵件,并且發件人的信息為我們設置的service@tencent.com,如下圖10所示。
圖10
偽造郵件攻擊原理分析
從上面兩種偽造郵件攻擊的方法我們了解到,想實現偽造郵件,偽造發件人的攻擊方式基本上沒有什么技術含量,只需要瀏覽網頁,添加一些文字或者安裝兩個軟件即可。但是,為什么可以輕易地實現偽造郵件攻擊呢?
SMTP(Simple Mail Transfer Protocol)協議,即簡單郵件傳輸協議,是定義郵件傳輸的協議,它是基于TCP服務的應用層協議,用戶通過SMTP協議所指定的服務器就可以把郵件發送到收件人的服務器上。其郵件傳輸過程共分為三個階段:建立連接、傳輸數據和關閉連接。
由于傳輸數據的階段是人為可控的,所以就會出現人為控制傳輸數據中發件人、發送的信息實現的偽造郵件攻擊。數據傳輸過程中,SMTP協議主要是通過以下五個主要命令實現的。
a)Helo:與SMTP服務器處理郵件的進程開始通信。
b)Mail from:郵件發件人的信息,即黑客偽造的發件人地址信息。
c)Rcpt to:郵件接收人得信息,即黑客發送偽造郵件的目的郵箱地址。
d)Data:郵件正文內容。
e)Quit:退出郵件。
這些命令封裝在應用程序中,對用戶是隱藏的,用戶在發送郵件過程中不會察覺這些命令的使用。
通過分析SMTP協議工作過程中的主要過程我們了解到,發件人的信息、郵件正文信息均是在發送過程中人為可控的數據,也就解釋了為什么我們之前使用deadfake網站和Advanced Direct Remailer軟件可以實現隨意偽造發件人的地址和郵件正文信息,那么我們結合SMTP傳輸過程中的主要命令,在Advanced Direct Remailer軟件環境來具體了解一下郵件發送的過程。
首先,我們通過telnet連接SMTP服務器的25端口。輸入命令為telnet 127.0.0.1 25,然后我們看到SMTP服務器返回給我們的信息,然后我們依次輸入剛剛介紹的數據傳輸中的命令,如下圖11所示。
圖11
其中,
HELO tencent.com表示偽造的主機域名信息為tencent.com。
MAIL FROM: service@tencent.com表示偽造的發件人信息為service@tencent.com。
RCPT TO: xxx@xxxx.com表示發送的目標郵箱地址為xxx@xxxx.com
DATA表示開始輸入郵件正文內容
smtp command test表示郵件的正文內容
.表示輸入結束
輸入完成以后即可發現在Advanced Direct Remailer軟件中提示有一封郵件等待發送,如下圖12所示,我們點擊菜單欄中的播放按鈕即可實現該對郵件的發送。
圖12
如何防范偽造郵件攻擊
通過上述對偽造郵件攻擊方法及原理的分析和描述,我們了解到,發件人地址是可以進行偽造的。所以瑞星安全專家建議廣大網民,在收到涉及敏感信息的郵件時,要對郵件內容和發件人信息進行仔細的確認,防范可能存在的偽造郵件攻擊行為。主要的防范方法可以分為以下幾種:
1.通過郵件信息確定郵件發送者的真實IP信息。雖然發件人地址是可以偽造的,但是對方的真實IP地址信息卻可以,用戶可以通過分析IP地址信息來確定是否受到偽造郵件攻擊,如下圖13所示。
圖13
2.安裝網絡安全防護軟件。黑客通過偽造郵件攻擊的方式攻擊收件人,很大一部分是通過郵件中的釣魚網站竊取用戶隱私。只要用戶安裝了網絡安全防護軟件,如瑞星個人防火墻或瑞星全功能安全軟件等,就可以對釣魚網站或釣魚行為的識別和攔截,有效防止通過偽造郵件實施的釣魚攻擊。
3.通過與發件人直接線下溝通的方式。一旦收到親友、同事發出的可以郵件,最好在線下確認郵件內容的真實有效,再執行相應的操作,以免受到惡意偽造郵件攻擊,造成不必要的損失。
偽造郵件攻擊是很常見的一種黑客攻擊手法,但是目前還沒有針對該種類型攻擊的完美解決方案。瑞星安全專家提醒廣大用戶,在已有的防范釣魚郵件、釣魚網站攻擊的基礎上,借助本文描述的防范偽造郵件攻擊的方法,當收到疑似偽造郵件攻擊時,對郵件信息進行仔細辨認,遠離偽造郵件攻擊的危害。