【安全顶会最新成果】邮件伪造攻击频发，如何破解？

2021-03-24 00:00:00

———— 一站式解决所有邮件安全问题 ————

近日，国际网络安全领域顶级会议USENIX Security 2021公布了最新一季录用论文的列表。这个列表的第一位,就是由Coremail与清华大学等单位联合撰写的有关邮件安全的研究成果。

文章录用公布界面 ▲

USENIX Security与NDSS、S&P、CCS一起，被学界评为国际信息安全领域四大顶级学术会议。该会议涉及的安全领域非常广泛，包括二进制安全、固件安全、取证分析、Web安全、隐私保护、恶意分析等。

在过去的几年，USENIX Security对文章的平均录用率大约为17%，可见其评价标准之严谨，也折射出其专业水平之高。实际上，能够被选中录用的论文，一般都具有极高的实践意义与鲜明特色，且其中的许多研究都在特定产业中极富应用价值，故深得学界、业界的关注与支持。

文章题目、作者及单位▲

论文作者：沈凯文, 王楚涵(并列一作), 郭明磊, 郑晓峰, 陆超逸, 刘保君, 赵宇轩, 郝双, 段海新, 潘庆丰, 杨珉

作者单位：清华大学，奇安信技术研究院，德州大学，复旦大学，Coremail论客技术有限公司

回到这篇文章，这是一篇实证研究，探讨的主题属于电子邮件安全领域，题目翻译过来意思就是《验证链中的薄弱环节研究: 电子邮件发件人伪造攻击的大规模分析》。

可以看到，该文章的联合研究单位清华大学、复旦大学、奇安信等，都是国内信息安全领域的先驱者。Coremail作为国内邮件行业首屈一指的公司：钻研邮件系统架构技术，有深厚的理论实力；深耕行业20余年，有丰富的经验积淀；服务过20000+机构，有广阔的解决案例涉足范围。

所以此篇文章在学术意义之余，更是有极高的实践价值，其中的成果都是值得被借鉴和应用的。

研究目的

电子邮件是我们现代工作生活中最基本、最常见的通讯方式之一，存储、关联着及其丰富的个人和企业信息，是网络攻击的关键目标。然而，电子邮件传输协议远远不能抵抗潜在的攻击。电子邮件系统的安全性依赖于由各种电子邮件服务维护的多方信任链，这增加了系统对网络攻击的脆弱性。

就像木桶理论所揭示的那样，一个桶的容量是由它的最短板决定的，所以电子邮件的安全性依赖于认证链中最薄弱的那个环节。即使是一个很小的问题，当它被整合到一个更广泛的系统中时，也可能造成前所未有的损害。

电子邮件发送过程▲

一般来说，电子邮件认证链涉及多种协议、角色和服务，其中任何失败都可能破坏整个链式防御。首先，尽管存在各种安全扩展协议(例如 SPF、 DKIM 和 DMARC）来识别欺诈电子邮件，但由于不同协议保护的实体不一致，欺骗攻击仍可能成功。

其次，电子邮件的认证涉及四个不同的角色: 发送者，接收者，转发者和 UI 呈现者，这里面任何一个角色不能提供适当的安全防御解决方案，电子邮件的安全性就无法得到保证。

最后，电子邮件是采用不同的处理策略，通过不同的电子邮件服务实现安全机制的，而这些安全机制又是由不同的开发人员实现的，假如其中一些开发人员在处理带有模糊标题的电子邮件时偏离了 RFC 规范，使得不同的服务之间存在不一致之处，那么攻击者就可以利用这些不一致绕过安全机制，威胁电子邮件系统和用户的安全。

所以，为了保障邮件安全，需要查明，在这些可能造成邮件安全风险的环节中，哪些是最薄弱的、最可能被攻击的，然后才能针对性地做出防范准备。

研究过程

这项研究系统地分析了邮件传递过程中四个关键的认证阶段: 发送认证、接收验证、转发验证和 UI 渲染。

研究团队发现有14个电子邮件伪造攻击能够绕过 SPF，DKIM，DMARC 和用户界面保护。

通过组合不同的攻击，伪造邮件可以完全通过所有流行的电子邮件安全协议，而且接收者的 MUA 上没有显示安全警告。所以，即使对于有高级技术背景的人来说，识别这样的电子邮件仍然不容易。

为了解电子邮件攻击在电子邮件生态系统中的真实影响，研究团队在30个主流的电子邮件服务端上进行了一个大规模的实验，总共有数十亿用户。

此外，研究者还测试了23个主流的电子邮件客户端的操作系统，以衡量攻击对用户界面的影响。发现它们都容易受到某些类型的攻击，包括Gmail 和 Outlook这些著名服务商。

对30 个目标电邮服务端的发件人攻击实验结果 ▲

对23个目标电邮客户端的发件人攻击实验结果 ▲

这项研究反映了电子邮件生态系统中基于链的认证结构的脆弱性。

这些攻击表明，更多的安全问题是由多方对安全机制的理解和实现的不一致引起的。为了对抗电子邮件攻击，研究团队提出了一个 UI 通知方案。

目前 Coremail 已经采用了此方案，并在邮件的网页端和客户端为用户实施了该方案。此外，研究团队还在 Github 上发布了测试工具，供电子邮件管理员评估和提高他们的安全性。

成果及贡献

总而言之，本研究做出了以下贡献:

通过对电子邮件认证链系统的系统分析，研究团队确定了14个电子邮件伪造攻击，其中9个是新的攻击。

通过组合不同的攻击，可以伪造出更真实的欺诈邮件来渗透像 Gmail 和 Outlook 这样著名的电子邮件服务端。

研究团队对30个主流的电子邮件服务端和23个电子邮件客户端进行了大规模的分析，发现他们都很容易受到攻击。

研究团队负责任地披露了这些漏洞，并从11家电子邮件供应商(例如 Gmail、雅虎、 iCloud 和阿里云)那里收到了积极的回复。

为了加强电子邮件系统对伪造攻击的防护，研究团队给出了一个UI通知方案，并提供了一个电子邮件安全评估工具，供电子邮件管理员评估和提高他们的安全性。

针对组合攻击的 UI 通知示例 ▲

需要说明的是，这项研究亦得到了中国国家自然科学基金（批准号: U1836213、U1636204）的支持。这代表着该研究的重要性，也揭示了邮件安全面临着的重重挑战。

对于Coremail来说，从2000年开始，邮件安全就是一个被大量倾注研发资源的重要板块。

经过20余年里的多次迭代，目前拥有较高的抗风险能力。

此次联合研究并在国际顶级会议上发表成果，也证明了Coremail在邮件领域过硬的水平。

在2021年Coremail推出的各项产品和服务里，用户将看到邮件安全保障进行了各种全方位升级，每一封邮件，都被稳稳守护。我们用心，只为你们放心。

论文下载地址：

https://www.usenix.org/conference/usenixsecurity21/presentation/shen-kaiwen

选择我们，为您的邮件安全保驾护航