网络通信 频道

“盗号发送”防御暨梭子鱼用户应用案例

  【IT 168资讯】继上海机场集团、宁波黎社国际机场之后,近日,杭州某国际机场亦选用梭子鱼反垃圾及病毒邮件防火墙对垃圾邮件进行过滤。至此,一年之内,华东地区三大机场(集团)均选用或改用梭子鱼保护邮件安全;在全国范围内,则半数以上的机场(集团)都是用梭子鱼保护电子邮件安全。

  上海机场系“一市两场”空港格局,管理浦东国际机场和虹桥国际机场两大机场,2010年旅客总吞吐量超过7000万人次,仅次于首都国际机场。上海机场此前使用其他厂商的邮件网关,后来因为该公司被收购,技术人员流失,导致技术服务难以持续。梭子鱼则专注于邮件安全领域,持续的更新各种垃圾邮件规则库,为用户提供稳定的技术服务,过滤效果出众,且在华东及全国拥有庞大的用户群,处于市场领先地位,因而获得上海机场集团的青睐。

  2011年,垃圾邮件界流行“盗号发送”:垃圾邮件发送者通过破解用户弱密码取得用户的合法身份后大量外发垃圾邮件,致使企业IP地址被列入黑名单影响正常邮件发送。调查发现,目前有不少企业的邮箱用户其邮箱密码为弱密码,表现为几种形式:

  1.邮箱密码为简单数字组合:如123456,123123、11111、8888等

  2.邮箱密码为简单的英文单词、字母和数字组合(如:password、iloveyou、qwerty、abc123等);

  3.邮箱密码与用户名相同,或者采用用户名与简单的数字组合作为邮箱密码(如:username1、username2、username123、username111等);

  这样使用黑客能轻易的破解这些弱密码,然后利用合法身份大量外发垃圾邮件,即盗号发送,其危害如下。

  1.滥发垃圾邮件,导致企业邮件系统IP地址甚至域名被列入垃圾邮件黑名单中,正常邮件外发大量被拒。发送垃圾邮件、窃取个人邮箱的相关资料、邮件内容泄露等。

  2.邮件系统及个人信箱产生大量退信,造成队列积压,导致服务器负载增加或队列服务停止甚至死机。

  3.黑客利用弱密码窃取个人邮箱的相关资料,造成邮件内容泄漏以及其他的黑客行为。

  盗号发送的周期性

  垃圾邮件发送者取得了合法的身份,开始大量发送垃圾邮件。初期,垃圾邮件发送成功率比较高;一段时间后,企业的邮件服务器的IP因为大量发送垃圾邮件被列入RBL中,很多正常发送的邮件也被阻止,企业正常的邮件发送收到严重干扰,企业邮件服务器管理员不得不忙于向各种RBL阻止申诉,同时忙于逐一通知内部用户修改其弱密码。此时,垃圾邮件发送者发现发送成功率降低之后,他们会向蝗虫一样,转场到其他拥有弱密码用户的企业,继续其贪婪的垃圾邮件发送行为。

  盗号发送的防御

  此种垃圾邮件发送方式,因其取得合法身份,传统的垃圾邮件行为过滤技术几乎无能为力。解决方法有:

  强制强密码:要求用户必须是强密码且定期修改

  避免SMTP直接面向Internet。更改部署模式,不允许内部用户在外网直接使用SMTP方式发送邮件,如采用outlook、foxmail等。

  然而,现实中这些方法可能影响到用户使用邮件的习惯,可能需要全员动员才能执行,因而实施难度较大。此时则可以利用梭子鱼多层外发过滤技术予以防治:

  1.多层邮件外发内容过滤技术。

  梭子鱼综合采用外发关键字过滤、意图分析、邮件指纹、贝叶斯过滤及垃圾邮件评分技术,对外发邮件进行全面的内容评估,可将绝大部分此类垃圾邮件都过滤掉,使得这种盗号发送行为难以奏效。

  2.外发速率控制技术

  梭子鱼可限制某个发件人外发邮件的速率,单位时间内,如果某用户外发邮件超过一定数量,梭子鱼就予以阻止,而无需进行进一步的内容分析。这样,当有海量的盗号发送行为时,梭子鱼能最大限度的予以抑制。

  3.统计报表预警弱密码

  梭子鱼4.0以上版本新增了外发邮件数量及流量排行榜。通常,企业中邮件用户收件量与发件量具有一定的规律性,即某些人外发邮件量总是很大,其他人则通常不会很大。梭子鱼按发件人统计外发邮件数量,并将该报表以日、周、月等形式自动发送到管理员的邮箱中,管理员观察这些统计清单,能轻易的将那些平时外发邮件量很小却突然进入外发邮件top榜的用户检出,结合日志查询,就能判定该用户邮箱密码被盗用。从而及时通知相关人员修改密码。

  虽然通过检索邮件系统,也能找出那些用户邮件量异常,当相对梭子鱼直观的报表方式,在邮件系统中进行检索无疑太费力了。

  上述用户中,在2011年都曾经面临或发生过这种盗号发送行为,采用梭子鱼病毒及垃圾邮件防火墙产品,在不改变用户原有邮件系统使用习惯的基础上,悄然解决了这一难题。

0
相关文章