关于邮件系统安全性的若干测试

目前邮件系统主要使用smtp协议，smtp协议本身并不确保邮件安全。下面我们测试以下邮件系统的安全性：

漏洞组件

几乎所有接受入站 SMTP 连接的加密应用都可能受到攻击。我们的研究还发现，不仅硬件可以被攻击，而且虚拟主机同样会受到危害。

漏洞修复

据我们目前了解，我们没有发现可以完全防御这种攻击的补丁。我们目前只确定了两种解决方法：

1. 完全禁用掉网关到网关之前的加密服务。 2. 实施邮件检测方案，执行邮件的解密以及威胁检测工作。

修复这个漏洞没有快速解决方案。所以公司需要投入一定的时间以及人力去寻找有效的防护措施。

漏洞详情

众多的邮件加密应用使用如下两种方式部署：

1. 邮件加密应用以及邮件安全网关都在公司防火墙内部。这些 MTA 都会被分配给一个独立公开的 IP 地址。攻击者可以绕过邮件安全网关，直接到达邮件加密应用，将后门注入到邮件中。然后这些信息通过路由器到达内部网络，并在内网中传播。

2. 邮件加密应用在邮件安全防火墙之外，就像微软线上防护 ( EOP ) 一样。同样的，这些 MTA 也会被分配给一个公开的独立 IP，攻击者同样可以直接到达加密应用，将后门注入到邮件中。邮件加密应用将所有邮件进行解密，然后发送到邮件安全网关。但是当安全网关进行邮件检测时，发送者的 IP 是加密应用的 IP，而不是攻击者 IP，所以防护措施这时是无效的。

攻击模拟

注意：这里为了保护目标公司不受到攻击，我们采用了无效的邮箱进行攻击。并且我们只是进入到内部 SMTP 服务器中，确保任何用户不会执行我们的后门。

实验一 : 攻击成功

环境：Microsoft Exchange 服务器，电子邮件加密设备

我们攻击的目标是使用了 WatchGuard 作为邮件安全网关对 Exchange 服务器进行保护的。

步骤一：选择攻击目标

Excelsior Springs 医院 , 位于 Excelsior Springs MO，具有 400 位职员。

步骤二：收集信息

在选中目标之后，我们使用自动收集信息脚本收集关于目标邮件服务器架构的公开信息。脚本首先确定了目标的 MX 记录。

接下来使用暴力破解对电子邮件加密设备进行查找，这样我们可以找到所有子域名以及其对应的 MX 记录。

然后我们使用 设备搜索工具 去测试我们找到的所有 MTA，确定它们的 25 端口是否开启。最后为了快速的找到这个公司的有效邮箱，我们使用了 whois 进行查找。

最后我们找到了 ArtGentry 的一个邮箱 :

步骤三：对电子邮件进行测试发送

我们发送一个没有任何危害的载荷，这会让我们了解到目标邮件安全网关以及内部邮件服务器是如何处理信息的。你可以看到，邮件安全网关接受了这一邮件。

From: tifr-at-psles.com To: test-mailbox-123-at-esmc.org Subject: Hello World Message: Hello Server: mail.esmc.org

我们邮件已经到达了目标内部邮件服务器，然后会发送到用户邮箱中。因为我们填写的是无效的邮箱，所以目标的邮件服务器会返回给我们 " 目标不可达 " 的错误信息。NDR 最大的危害在于他们常常暴露太多内部网络的信息。在此次攻击中，NTR 暴露了目标网络内部的以下内容：

WatchGuard Email Security Gateway Microsoft Exchange Server 2010 with IP address 10.2.100.253

步骤四：发送恶意电子邮件进行测试

已经证实了目标具有邮件安全网关，我们现在生成一个恶意攻击代码，然后进行发送。我们对我们的电子邮件进行了伪装，使其看起来发件者为 DocuSign, 并且诱导读者点击查看文档。点击之后会跳转到木马地址。如下：

virusTotal 对恶意软件进行分析的 SHA256, 以及名称如下所示：

URL: hxxp://LASVEGASTRADESHOWMARKETING.COM/file.php?document=MzM2MGFteUBrb250cm9sZnJlZWsuY29tMjEzNQ== VirusTotal ’ s URL Analysis Binary: Legal_acknowledgement_for_amy.doc SHA256: 39cb85066f09ece243c60fd192877ef6fa1162ff0b83ac8bec16e6df495ee7af VirusTotal ’ s Binary Analysis

不出所料，目标的邮件安全网关识别出了恶意软件，并且拦截了此条信息。

步骤五：进行拆分 SMTP 隧道攻击

在确认邮件安全网关能够识别恶意以及正常邮件之后，我们进行拆分 SMTP 隧道进行攻击。我们对之前步骤中的恶意邮件进行重新发送。但是这一次我们直接到达了目标邮件加密设备，而不是到达邮件安全网关。并且邮件加密设备接受了这一恶意软件邮件系统安全，并对他进行加密 ( 如图中 :250

2.0.0 Ok: queued as 3BE32281A62 ) ：

在之前的测试中，当邮件通过目标 Exchange 服务器发送到用户邮箱时，如果用户邮箱不存在，那么就会返回 " 不可达 " 错误信息。你可以在下图中发现我们收到了 Exchange 服务器返回给我们的 NDR，就说明我们的攻击已经成功了。此外 NDR 缺少 ""X-WatchGuard" 标头也表示了我们绕过了目标邮件安全网关。

此攻击演示了攻击者如何使用拆分隧道 SMTP 来利用电子邮件加密设备中的漏洞。

实验二：攻击成功

实验环境：微软 office365，托管电子邮件加密

第二次攻击是针对微软 office365 的用户。与第一次攻击不同的是 office 邮件加密设备之后部署了 office365, 以便通过 EOP 防护进行保护邮件安全。不幸的是，这种架构同样容易受到攻击。

步骤一：选择攻击目标

Christiana Care Health System , 位于 Wilmington, DE，拥有 11500 名职员。

步骤二：收集信息

在确认目标之后，我再次使用了自动化脚本对目标邮件架构进行信息收集。脚本首先确定了目标的 MX 记录。我们通过使用 "*.mail.eo.outlook.com" 对记录进行过滤，进而缩小对 office 365 的查找范围。

接下来，我们再一次使用暴力破解对目标邮件加密设备进行查找。为了要找到托管的程序，我们通过判断 MX 记录是否和目标域名相等来确定，如下图。

和第一次攻击方法一样，我们使用 扫描器 判断我们扫描到的主机 25 端口是否开启。

最后，为了证明会找到一个可用的邮箱是多么简单，我们只是对目标的公共域名进行 whois 查询，就可以得到有效邮箱。我们发现属于 Karen Kedda 的邮箱，并且我们通过 google，找到了她的 Linkedln 名片，了解到她是目标公司的系统架构师。

步骤三：发送测试邮件

这一步骤和攻击一中作用完全一致，会了解到 office365 对邮件的设置。如下图，office365 接受了我们的邮件。

邮件内容：

From: lzgr-at-maildx.com To: test-mailbox-123-at-christianacare.org Subject: Hello World Message: Hello Server: christianacare-org.mail.eo.outlook.com

因为我们填写的收件人是不存在的，所以我们会收到 office365 返回的 " 不可达 " 错误信息。你可以通过 NDR 清楚的看到 office 365 的 EOP 使用我们 IP ( 80.82.x.x ) 对邮件入站威胁分析，以及病毒扫描。

步骤四：发送恶意电子邮件进行测试

与第一次步骤相同，这次恶意邮件同样被拦截了。

步骤五：进行拆分 SMTP 隧道攻击

已经确认 Office365 会对我们发送的恶意邮件进行拦截，那么我们现在测试拆分 SMTP 隧道攻击。我们对上述恶意邮件发送到目标托管的邮件加密设备，而不是 EOP。然后目标托管的加密设备接受了我们发送的恶意邮件，然后进行加密，如下图：

所以我们攻击再次成功 ：）

结论

邮件泄露事件频频发生，导致了一系列的后果都引人深思。邮件的安全得到了广大的关注，层出不穷的邮件安全产品可以供大家选择，但是世面的邮件安全产品不是成本昂贵就是使用起来不习惯。有一款名叫“隐密邮”的透明加密邮件安全产品，使用的是透明邮件加密网关的方式对邮件进行加密，使用简单，不会改变用户自身的使用习惯，不会对用户的邮件内容进行读取，直接对内容进行加密。并且他是免费的，不管是对企业还是个人都有很好的支持。

关键词：邮件安全 透明加密

（编辑：威海站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!