思威电邮LOGO
有退信,用中继
 
 
 
当前位置
文章正文
退信攻击异常凶猛,该如何阻止
www.email-cm.com    2013-05-23 10:37:58    文字:【】【】【
摘要:退信攻击异常凶猛,该如何阻止

     企业信息按其存在形态,分为结构化数据和非结构化数据。在企业所有信息中,80% 左右的信息是非结构化数据(包括电子邮件、图像、视频、文档、社会媒体等) ,而非结构化数据中,将企业的电子邮件数据作为其中最主要的数据信息,相信无人会反对。但是,当电子邮件发错对象时,因为邮件系统在SMTP连接阶段,会检查收件人是否存在,如果收件人不存在,或是接收端因为某种原因而不能接收,邮件系统将自动生成退信信息(NDR【Non-Delivery Report】),并自动发送给发件人。这只是一个再正常不过的邮件服务之一,但已被SPAMMER用来成为一种常见的攻击武器,退信已不再仅仅只是退信,已然成为了一种网路上攻击邮件服务器的手段,甚至防不胜防。

  那先跟随我们的脚步,了解下退信攻击的流程吧。Invalid Non-Delivery Report Messages,垃圾邮件退信攻击,是将欲攻击的对象伪装成发件人地址,收件人地址则选用一个(或一组)其他单位不存在的账号,然后通过僵尸计算机Botnet,发送大量伪装邮件,因为该收件人账号不存在,所以,邮件主机会退信给被伪装的发件人地址,造成被伪冒的公司邮件主机收到大量的退信通知邮件,不但增加系统Loading,也会容易使该公司变成垃圾邮件黑名单的一员。

      退信“成为了一把双面刃。只要一次发信的动作,可以同时攻击两台邮件服务器。他对企业来说,就会造成很多不利影响,诸如:

  1. 企业员工休假或出差在外,若是因为公司邮件服务器备退信攻击导致无法正常收发邮件,无法第一时间立即处理客户邮件,导致订单流失。

  2. 因为退信攻击导致IP被加进RBL,变得无法正常收发邮件。

  上述两种状况,都是会影响公司订单,大笔交易金额资讯的传达或是工作信息的发布,都是影响重大的。以本例来说,近来笔者常常看到许多企业的邮箱,被退送邮件塞爆,影响公司正常运作,经了解原因后,发现是有人假冒公司账号大量发送垃圾邮件。例如某广告垃圾邮件发送者,伪造发件人的字段为我们公司账号。并大量发送垃圾邮件,但是由于收件人可能有做阻挡防御(字典挡、限制内部收件人最大人数….),造成寄送邮件无法顺利送达,而发生退信情况。这时候邮件系统(不论是本机账号或非本机账号)会收到许多的退信,有可能会造成使用者困扰也可能影响整个公司邮件寄送正常运作。

  退信攻击在程度上有所区别,上面介绍的这种攻击,被攻击者可能一天之内收到数百上千封各种退信。

  一般用户碰到的退信攻击属于骚扰性质,垃圾邮件发送者在发送垃圾邮件时,常常随机的设置发件人,例如其中包括bobo@email-cm.com,当大量发送垃圾邮件时, 有些邮件可能是以bobo@email-cm.com发送的,则bobo就可能收到退信,有时一天只有几封或几十封,但总是不断,让人十分郁闷。

  退信信息通常比较有规律,例如发件人为空,或者为bobo@email-cm.com,主题一般为Undelivered Mail Returned等。有些用户采用关键词的技术将退信予以阻断,或者干脆限定阻止空发件人,但是这经常会把正常的退信也阻止掉,导致信息不畅。一般而言,退信占一个公司的邮件量5%以上,这其中绝大部分是垃圾退信。如何防止收到这种垃圾退信,避免退信攻击呢?遇到这样的问题,有没有什么样的方式可以解决呢?

  若要防止这种状况,就大部分的技术来说,要设置相关对应的条件,就比较复杂,而市场上防范垃圾邮件产品常见的做法之一是设置SPF验证,但遗憾的是很多服务器不做SPF验证,因此,即使某些企业设置了SPF记录,也依然无法阻挡退信造成的垃圾邮件威胁;另一些产品采用回复邮件的验证机制,需要在外发邮件时加入时间标示和密钥,且邮件外发后产生的退信中,也需要包括发送时的时间标示和密钥,若没有上述信息,则说明该邮件不是由本机发出的,就被列为退信垃圾,并将其阻挡。如此设置每一封邮件,这对管理人员来说,是否麻烦了些呢?  

浏览 (1183) | 评论 (0) | 评分(0) | 支持(0) | 反对(0) | 发布人:管理员
将本文加入收藏夹
联系方式
联系电话:18321295370
微信客服:
QQ  客服:点击这里给我发消息
 
脚注信息

上海馨竺信息技术有限公司沪ICP备14043405号-3