欢迎访问来到第一主机,开始互联网之旅!
正文

守内安:教你如何给邮件服务器做健康检查2017-06-17

  您是邮件服务器的管理员吗?

  您的邮件服务器安全吗?

  据ASRC的观察,被列入垃圾邮件过滤国际黑名单(RBL,Real-time Blackhole List)的企业邮件服务器,在2013年有明显增多的趋势。细究被列入黑名单的原因,不外乎是企业邮件服务器出现了一些漏洞被有心人士利用,而成为垃圾邮件发送主机或各种攻击跳板。邮件服务器出现安全漏洞,除了会让企业商誉受损外,若被用于攻击,或通过邮件服务器泄密,都有可能会有相关的法律责任,因此企业不可不慎!以下由ASRC列举几个邮件服务器常见问题,供企业对自身的邮件服务器做一个简单的健康检查。

  DHA(Directory Harvest Attack) 弱点

  许多邮件服务器预设的状态会在发件人进行发信前,先检查内部用户的清单,并对寄信的服务器做出回应。如果发件人要求发信的对象不存在,则响应用户不存在;反之则响应存在并可继续之后的发信过程,或接受寄信服务器输入下一位收件人。若有心人士事先准备好一份常用收件者账号的字典文件,并依序对邮件服务器尝试询问收件人是否存在时,便可根据邮件服务器的响应整理出一份有效的收件人列表,此为目录搜集攻击(Directory Harvest Attack)。

守内安:教你如何给邮件服务器做健康检查

  图一:邮件服务器默认会响应用户是否存在的信息。

  要防范此种攻击的方式,必须将这个响应功能做关闭,或做一些高级的保护,比方一律响应用户存在。实作的方法非常多,市面上也有相关产品能提供此类防护。

  信息泄露问题

  若希望攻击一台邮件服务器,首先要知道它存在哪些弱点,进而根据这个弱点进行攻击,才较容易成功。要知道存在的弱点,就需要先知道该邮件服务器的种类及版本,如果版本刚好不是最新版,并存在已被揭露的重大弱点,那曝露于外的邮件服务器就会显得相当危险。尤其是许多邮件服务器预设在联机时及会显示出相关的版本信息,这无疑是有心人士在发动攻击前的一项重要参考指标。

守内安:教你如何给邮件服务器做健康检查

  图二:一连上邮件服务器,即可见邮件服务器的种类及版本。

  要减低风险,除了定时需对邮件服务器进行漏洞的更新修补外,隐藏邮件服务器种类与版本信息也是一种加成的防护措施。Sendmail是一款免费的邮件服务器部署软件。以sendmail为例,只需要修改sendmail.cf这个配置文件中的SmtpGreetingMessage即可。为了谨慎起见,建议也将Help指令的提示内容清空比较保险,以Linux上部署的sendmail为例,Help指令会显示的的数据路径在/etc/mail/helpfile。

守内安:教你如何给邮件服务器做健康检查

  图三:邮件服务器的种类及版本及Help中的信息,经调整后皆被隐藏。

  密码猜测问题

  在通过邮件服务器是收发邮件前,须先以一组账号与密码进行身份认证,通过身份认证者将合法的取得邮件服务器合理的权限,因此,用户的账号与密码设置,就需要格外谨慎。前述提及的DHA弱点保护,可避免邮件服务器上的账号大量泄露,可降低密码被猜测的风险。但对于公开或常见的电子邮件账号,就只能通过密码进行保护了。

  许多用户为了怕密码忘记,所以会将密码设得非常简单,例如:12345,部份企业为方便用户存取内部服务,还提供单一登录(Single sign-on)的服务架构:即通过账号密码认证一次成功后,可存取多种企业内部服务。如果内部有一个用户的密码是12345,很可能就让整个企业曝露在相当高的风险之中。

  密码防护的问题至关重要,因为取得密码就像取得了合法的钥匙,入侵或存取企业内部的资源不容易触动其它的警报措施。

  对于密码的防护,ASRC建议您可以从下面几点着手:

  1. 内部人员的认知与教育。

  2. 限制最短密码的长度。例如,密码长度至少10位。

  3. 强制密码的复杂度。例如,密码必须包含英文字母、数字与符号。

  4. 定期变更密码,并防止重复使用。例如,半年强制变更密码,并不得重复使用进三次设置过的密码。

  5. 常见弱密码扫描稽核,防止用户仍设置容易被猜到密码。

  6. 密码验证皆需有错误次数上限。例如,3次密码输入错误即需要等10分钟才能再行输入,超过10次即对来源IP进行管制与记录。

  对于密码的看法,管理员与终端用户常有立场的冲突。管理员希望密码应具备相当长度及复杂性;用户则需要能记忆他自己的密码。要解决这类问题,建议管理员只需要提示用户将密码设置为符合管理员的要求,但只对用户本身有意义的高强度密码,如:女友的生日-女友英文名+自己家中电话,即可解决复杂度要求与记忆冲突的问题。

  洪水攻击 (SYN flood)

  某些邮件服务器的管理员常会发现,企业的邮件量并不大,但邮件服务器常会变得很慢,甚至出现拒绝服务的情况(DoS, denial of service)。这个原因很可能是邮件服务器遭受到洪水攻击(SYN flood),这种攻击的特性,就是可能由某几个IP发出过量的联机,连上邮件服务器后不进行动作,或做不正常断线,藉此消耗邮件服务器的资源,最终将造成邮件服务器因负担过载而拒绝服务,导致企业正常通信受到严重的影响。

  ASRC建议您做好下列三种防护措施,以避免遭受洪水攻击:

  1. 使用黑名单、RBL阻止一些已知的恶意IP的联机。

  2. 邮件服务器应直接拒绝未设置DNS A记录的发信主机联机。

  3. 通过防火墙或邮件服务器,限制单一IP同时联机数量的上限。

  以上列举的仅是ASRC近期发现较典型的案例,整体邮件服务器的安全仍有赖管理员良好的设置、定期进行安全性更新,与不断吸收新的安全相关情报,并在必要时搭配防火墙、防病毒软件与反垃圾邮件机制,才能持久的维持。