云电子邮件过滤绕过攻击在 80% 的时间内有效

云电子邮件过滤绕过攻击在 80% 的时间内有效

时间戳记:29年2024月2日下午56:XNUMX
云电子邮件过滤绕过攻击在 80% 的时间内有效 PlatoBlockchain 数据智能。垂直搜索。人工智能。

计算机科学家发现了流行的企业基于云的电子邮件垃圾邮件过滤服务中存在令人震惊的普遍错误配置,以及利用它的漏洞。调查结果显示,组织对电子邮件传播的网络威胁的开放程度远比他们想象的要高。

在即将到来的会议上发表的一篇论文中 ACM Web 2024 会议 80 月份在新加坡,作者学术研究团队指出,Proofpoint、Barracuda、Mimecast 等供应商广泛使用的服务在他们检查的至少 XNUMX% 的主要领域中可能会被绕过。

加州大学圣地亚哥分校的研究生、该论文的主要作者 Sumanth Rao 解释道,“如果电子邮件托管提供商未配置为仅接受来自电子邮件过滤服务的消息,则可以绕过过滤服务”。题为“未过滤:测量基于云的电子邮件过滤绕过设立的区域办事处外,我们在美国也开设了办事处,以便我们为当地客户提供更多的支持。“

这似乎是显而易见的,但设置过滤器与企业电子邮件系统协同工作是很棘手的。绕过攻击的发生可能是因为过滤服务器和电子邮件服务器之间不匹配,即 Google 和 Microsoft 电子邮件服务器对来自未知 IP 地址的邮件(例如垃圾邮件发送者使用的邮件)的反应方式不匹配。

谷歌的服务器在初次接收期间拒绝此类消息,而微软的服务器在“数据”命令期间拒绝该消息,即消息已经传递给收件人时。这会影响过滤器的设置方式。

考虑到这一点,风险很高 网络钓鱼电子邮件仍然是首选的访问机制 对于网络犯罪分子。

“邮件管理员如果没有正确配置入站邮件来缓解这一弱点,就像酒吧老板在主入口部署保镖来检查身份,但也允许顾客通过未上锁、不受监控的侧门进入,”Seth 说Blank,电子邮件安全供应商 Valimail 的首席技术官。

企业收件箱对网络钓鱼敞开大门

检查后 发件人政策框架 研究人员对使用 Google 或 Microsoft 电子邮件服务器以及第三方垃圾邮件过滤器的 673 个 .edu 域和 928 个 .com 域进行 SPF 特定配置,发现 88% 的基于 Google 的电子邮件系统被绕过,而 78% 的基于 Google 的电子邮件系统被绕过。 % 的 Microsoft 系统是。

他们指出,使用云供应商时的风险更高,因为当过滤和电子邮件传送都位于已知且可信的 IP 地址时,绕过攻击就不那么容易了。

该论文提出了这些高失败率的两个主要原因:首先,正确设置过滤和电子邮件服务器的文档令人困惑且不完整,并且经常被忽视或不能很好地理解或容易遵循。其次,许多企业电子邮件管理员在确保邮件到达收件人方面犯了错误,因为担心如果他们建立过于严格的过滤器配置文件,就会删除有效的邮件。该论文称:“这会导致宽松且不安全的配置。”

作者没有提及,但一个重要因素是配置所有三种主要电子邮件安全协议 — SPF、基于域的消息身份验证报告和一致性(DMARC)和域名密钥识别邮件(DKIM)——需要真正有效地阻止垃圾邮件。但那个 即使对于专家来说也不容易。再加上确保用于过滤和电子邮件传送的两个云服务正确通信的挑战,并且协调工作变得极其复杂。首先,过滤器和电子邮件服务器产品通常由大公司内的两个独立部门管理,从而引入更多潜在的错误。

作者写道:“电子邮件与许多传统互联网服务一样,是围绕一个简单的用例设计的,但现在已经与现代需求脱节了。”

电子邮件配置文档滞后,引发安全漏洞

研究人员表示,每个过滤供应商提供的文档质量确实有所不同。论文指出,TrendMicro 和 Proofpoint 的过滤产品的说明特别容易出错,并且很容易产生易受攻击的配置。即使那些拥有更好文档的供应商(例如 Mimecast 和 Barracuda),错误配置的发生率仍然很高。 

虽然大多数供应商没有回应 Dark Reading 的置评请求,但 Barracuda 的产品营销经理 Olesia Klevchuk 表示:“安全工具的正确设置和定期‘健康检查’非常重要。我们提供了健康检查指南,客户可以使用该指南来帮助他们识别这种错误配置和其他错误配置。”

她补充道,“大多数(如果不是全部)电子邮件过滤供应商将在部署期间和之后提供支持或专业服务,以帮助确保他们的解决方案正常工作。组织应定期利用和/或投资这些服务,以避免潜在的安全风险。”

企业电子邮件管理员有多种方法可以增强其系统并防止这些绕过攻击的发生。该论文作者建议的一种方法是将过滤服务器的 IP 地址指定为所有电子邮件流量的唯一来源,并确保它不会被攻击者欺骗。 

“组织需要将其电子邮件服务器配置为仅接受来自过滤服务的电子邮件,”作者写道。

微软的文档列出了电子邮件防御选项 并建议设置一系列参数以启用此保护,例如交换在线部署。另一个是确保为企业用于电子邮件流量的所有域和子域正确指定所有 SPF、DKIM 和 DMARC 协议。如前所述,这可能是一个挑战,特别是对于随着时间的推移已经获得大量域名并且忘记了它们的用途的大公司或地方。

最后,另一个解决方案,Valimail 的 Blank 说,“过滤应用程序包括 经过身份验证的接收者链 (RFC 8617) 电子邮件标头,以及让内层使用和信任这些标头。”

时间戳记:

更多来自 暗读