近期，國(guó)際和國(guó)內(nèi)互聯(lián)網(wǎng)安全態(tài)勢(shì)愈加嚴(yán)峻，各類勒索軟件肆虐，而郵件系統(tǒng)也成為了各類黑客組織的重點(diǎn)攻擊對(duì)象之一。很多新的攻擊技術(shù)和攻擊方法不斷出現(xiàn)，如針對(duì)密碼的撞庫(kù)攻擊、會(huì)話劫持、網(wǎng)絡(luò)偵聽(tīng)、APT（Advanced Persistent Threat，高級(jí)持續(xù)性威脅）攻擊等。再者，通過(guò)誘導(dǎo)用戶點(diǎn)擊郵件中的釣魚鏈接和下載含有木馬的附件，對(duì)用戶電腦進(jìn)行感染的事件也層出不窮。

近期，筆者單位一名郵件系統(tǒng)用戶反映賬戶被用來(lái)發(fā)送垃圾郵件，首先我們考慮的是賬戶可能被盜用了，協(xié)助用戶進(jìn)行了密碼修改，并增強(qiáng)了密碼復(fù)雜度。一段時(shí)間后，用戶反映該郵箱一直被用來(lái)發(fā)送垃圾郵件，而且密碼多次更改且已經(jīng)達(dá)到20位長(zhǎng)度。

通過(guò)查詢?cè)撪]箱的發(fā)信記錄并未發(fā)現(xiàn)有發(fā)送垃圾郵件記錄。為此我們要求用戶將郵件導(dǎo)出，其郵件信頭內(nèi)容如下所示：

經(jīng)過(guò)分析發(fā)現(xiàn)是黑客通過(guò)偽裝該用戶對(duì)其通訊中的人員發(fā)送信件，并以此誘惑對(duì)方點(diǎn)擊鏈接或是下載附件。后期我們還了解到，該用戶郵箱曾經(jīng)被盜過(guò)，所以黑客掌握了他的郵件通訊錄。

我們通過(guò)在域名的查詢區(qū)域中添加txt記 錄：“v=spf1 mx ip4：111.111.111.111 -all”來(lái)解決這個(gè)問(wèn)題。SPF（Sender Policy Framework，發(fā)送方策略框架）的作用主要是反垃圾郵件，其主要針對(duì)那些發(fā)信人偽造域名的垃圾郵件。由此可見(jiàn)我們面臨的郵件系統(tǒng)安全形勢(shì)并不樂(lè)觀，我們考慮對(duì)系統(tǒng)進(jìn)行優(yōu)化升級(jí)。

現(xiàn)狀

當(dāng)前由于撞庫(kù)攻擊的流行，很多傳統(tǒng)的“強(qiáng)密碼”在今天已經(jīng)變成了“弱密碼”，因此筆者單位郵件系統(tǒng)存在大量賬戶被盜用。

通過(guò)分析日志發(fā)現(xiàn)，這些被盜賬戶發(fā)送大量的垃圾郵件，占用了大量的系統(tǒng)資源，對(duì)正常用戶使用產(chǎn)生了一定影響。此外大量發(fā)送垃圾郵件還降低了IP地址的信譽(yù)度，導(dǎo)致很多正常用戶發(fā)送的正常郵件也被標(biāo)記為垃圾郵件而遭到拒收，這些給郵件系統(tǒng)帶來(lái)了諸多不穩(wěn)定的因素。

筆者單位的郵件系統(tǒng)目前具有基礎(chǔ)安全加固的功能，如端口控制、代碼過(guò)濾以及核心防護(hù)等，可滿足基礎(chǔ)的安全需求。除此之外，密碼強(qiáng)度控制功能可使用戶修改后的密碼具備一定強(qiáng)度；單入口訪問(wèn)控制可對(duì)輸入內(nèi)容進(jìn)行初步防護(hù)，阻絕大多數(shù)針對(duì)Web的注入式攻擊；全協(xié)議防病毒防部署可抵御一般的病毒危害。但是當(dāng)面對(duì)的全新的安全攻擊方法和攻擊技術(shù)時(shí)，顯得有些捉襟見(jiàn)肘。

安全升級(jí)

1.郵件應(yīng)用

新版本郵件系統(tǒng)采用全新的系統(tǒng)架構(gòu)，增加透明安全箱防護(hù)機(jī)制。通過(guò)系統(tǒng)的一體化部署，可在郵件應(yīng)用系統(tǒng)與底層操作系統(tǒng)之間增加安全隔離箱，郵件應(yīng)用運(yùn)行此安全沙箱內(nèi)。即使郵件系統(tǒng)出現(xiàn)安全問(wèn)題，也會(huì)將安全隱患控制在此透明沙箱內(nèi)部，不會(huì)擴(kuò)散影響到底層操作系統(tǒng)的安全性，可以將危害最大限制的控制在沙箱范圍內(nèi)，有效保證了操作系統(tǒng)的底層安全。

新版本的郵件系統(tǒng)為用戶提供了自定義登錄別名的功能，用戶在非安全環(huán)境下采用別名方式登錄（別名密碼要求和真實(shí)郵箱賬號(hào)密碼不同），然后可以將別名用戶刪除，將用戶的登錄和郵件收發(fā)徹底分開(kāi)，從而避免了暴露自己的真實(shí)郵箱地址，有效的保護(hù)了用戶的登錄安全性。

新版本郵件系統(tǒng)增加Web深度密碼保護(hù)功能，提供獨(dú)立的不依賴SSL的深度密碼加密，將密碼深度加密后再傳輸，即使在明文傳輸?shù)木W(wǎng)絡(luò)中也可有效保障密碼安全。

新版本郵件系統(tǒng)實(shí)現(xiàn)了對(duì)日志采集、壓縮、固化及存儲(chǔ)等安全加強(qiáng)策略，保證日志的完整性、可追溯性。并在用戶郵箱設(shè)置中增加用戶日志查詢功能，用戶可以查看個(gè)人郵箱中的發(fā)信日志、收信日志、刪信日志以及登錄日志。

新版本郵件系統(tǒng)還增加了郵件加密功能，用戶在發(fā)件箱勾選郵件加密選項(xiàng)，輸入密碼后可以對(duì)這封郵件進(jìn)行加密發(fā)送。對(duì)方收信后，只有輸入密碼才能查看郵件內(nèi)容。

2.管理端

對(duì)管理端進(jìn)行隨機(jī)化部署，不再采用固定的登錄入口，而是代之以隨機(jī)化的登錄入口，避免入侵者對(duì)管理入口的暴力破解。除此之外，限制可以訪問(wèn)管理端的IP地址，只允許授信IP地址訪問(wèn)系統(tǒng)管理端，避免入侵者對(duì)系統(tǒng)管理端的掃描和攻擊。

3.安全部署架構(gòu)增強(qiáng)

新版本郵件系統(tǒng)在部署架構(gòu)方面增加了系統(tǒng)鏡像的設(shè)計(jì)。系統(tǒng)初始化安裝部署完畢后，在未接入網(wǎng)絡(luò)的前提下，對(duì)系統(tǒng)整體做一個(gè)鏡像備份，并保存在一個(gè)離線的系統(tǒng)鏡像服務(wù)器上，可以實(shí)現(xiàn)快速的入侵發(fā)現(xiàn)和快速的入侵恢復(fù)。

除此之外，針對(duì)當(dāng)前郵件系統(tǒng)IP地址信譽(yù)度降低問(wèn)題，我們還更換郵件服務(wù)器IP地址。并且優(yōu)化了系統(tǒng)的備份和恢復(fù)機(jī)制，提供對(duì)郵件系統(tǒng)數(shù)據(jù)的實(shí)時(shí)恢復(fù)備份技術(shù)，有效保證系統(tǒng)的不間斷運(yùn)行。