电子邮件技术介绍

基于流量的攻击
没有关于流量的漏洞
攻击一：产生大的电子邮件消息
对策：设置MTA可接受电子邮件的大小
攻击二：嗅探
对策：加密验证
一般电子邮件对策
加密和验证：PGP
电子邮件过滤：黑名单、白名单、灰名单
内容过滤处理：内容过滤器（理解MIME协议）
电子邮件病毒扫描，过滤攻击性消息 防止私密数据离开网络 不能处理机密的电子邮件
一个电子邮件消息由哪几部分组成？
消息头部 消息主题
SMTP协议
端口号25 头部非限制性，标准ASCII格式 指令－回应协议 3位数代码
SMTP基本参数设置
基于SMTP头部的攻击（不常见）
早期易受缓冲区溢出攻击
现代电子邮件系统可接受任意长度的输入信息
命令行缓冲区溢出攻击
基于SMTP协议的攻击（不常见）
伪冒式雪崩攻击：伪冒返回地址 事故性雪崩攻击：用户用中继方式给一批用户发邮件 嗅探 STARTTLS：UA到MTA的验证加密 AUTH：验证
POP（Post Office Protocol，邮局协议）
POP：端口110 指令－回应协议
服务器到客户端的电子邮件消息传输，不支持向多个不同的计算机的传 输
针对POP和IMAP的漏洞攻击
头部和协议漏洞少
基于验证的攻击
用户名和密码 对策：限制用户验证IP，VPN，不允许远程访问POP和IMAP
基于流量的攻击（有限）
嗅探 对策：加密
MIME：多用途网际电子邮件扩展协议
将电子邮件从一个服务器传输到另一个服务器 用于传输任何类型的数据 用于向电子邮件消息中插入图片和Web链接以甄别垃圾邮件和盗窃 一个自由的头部格式，3个规定的头部和3个可选头部
谢谢聆听！
电子邮件取证：追溯电子邮件
电子邮件使用贴士
将邮件的附件另存为一个文件到硬盘，用最新版本的杀毒软件来查杀。
不要隐藏系统中已知文件类型的扩展名，防止利用文件的扩展名做文章 的病毒
将系统的网络连接的安全级别设置至少为“中等” 防病毒软件及时Βιβλιοθήκη Baidu新病毒库
本章小结
本次课需了解电子邮件的漏洞和攻击方式。
电子邮件技术介绍
电子邮件协议有哪些？
SMTP（Simple Mail Transfer Protocol）简单邮件传输协议 POP（Post Office Protocol）邮局协议 IMAP（Internet Message Access Protocol）网际消息访问协议 MIME（Multipurpose Internet Mail Extention）多用途网际邮件扩充
IMAP（Internet Message Access Protocol）
IMAP特点
头部式非限制性的自由文本格式 指令－回应协议 支持多个远程用户代理 端口号143
IMAP与POP的区别
支持服务器管理电子邮件 消息在客户端和服务器文件夹之间
移动，搜索服务器文件夹和管理服 务器文件夹
消息按时许和顺序发送，任何冲突会被忽略
基于SMTP验证的攻击（最常见）
电子邮件欺骗
缺少对电子邮件发送者的验证 用于欺骗接收方
如果接受地址无效，电子邮件会按照发送地址返回 用于垃圾邮件、恶意邮件
用户名探测（容易实施，但费时）
RCPT TO：命令返回一个错误，用于验证用户名
基于流量的攻击
基于MIME头部的攻击
无效头部攻击：由UA处理，不显示电子邮件消息
使用头部隐藏消息的实际内容：附件为可执行代码
使用基于HTML的电子邮件隐藏消息的实际内容，诱惑用户 点击Web页面链接
基于MIME协议的攻击
使用MIME协议携带恶意文件
有些UA直接显示附件，安全隐患，尼姆达蠕虫病毒
对策：
不直接浏览附件内容，过滤恶意附件 基于主机扫描和限制恶意病毒传播的防火墙（前提：UA干净正常）
基于验证的攻击
MIME不直接支持用户验证 攻击一：欺骗验证，攻击者通过MIME产生来自某机构的电子邮件 攻击二：利用电子邮件补丁追踪电子邮件在何处何时打开（插入1*1图片）
对策：UA在显示图片前提示用户