什麼是Sender Policy Framework?
轉載至 http://www.ringline.com.tw/support/techpapers/network-security/507-mailsecu.html
| 企業的電子郵件安全 – 談垃圾郵件防範技術與郵件加密 |
| 林政雄 |
作者:林政雄
前言
電子郵件(E-Mail)與WWW同樣為網際網路中主要應用,隨著網路環境蓬勃發展,寬頻的日趨普及,電子郵件威脅攻擊也更加多樣化,諸如郵件病毒、垃圾郵件、黑函、偽冒郵件等,而根據統計其中光是垃圾郵件問題就足以使美國企業一年損失高達700億美金,且駭客利用社交工程手法發送的偽冒信件、黑函等,更可能造成個資外流、公司機密及名譽受損等重大問題。 何謂垃圾郵件 垃圾郵件(SPAM)是指未經電子郵件收信者同意而大量寄發的電子郵件,一般而言通常是以商品廣告為內容。垃圾郵件和另一種也是大量寄送的商業廣告電子郵件有所區別,兩者的差別在於有無經過收件者的同意,一般行銷之廣告電子報是以會員名單為基礎,也就是每個電子郵件地址都是經由收件者事先同意加入收信名單,同時也會有明確的退出機制,讓使用者可以自由選擇不想收到廣告郵件,相較之下,垃圾郵件則不具收件者同意的基礎。 垃圾郵件由於大量寄發收件者不想要的資訊,除了佔去整體電子郵件的大半流量之外,也常以各種欺騙手段混淆收件者判斷,甚至內含惡意程式綁架使用者電腦,因此普遍讓電子郵件使用者造成困擾。 對企業影響方面,垃圾郵件由於佔去大量的電子郵件頻寬,帶來更高的頻寬成本,並造成企業生產力降低,每年讓企業損失數十億美金。 垃圾郵件之所以能夠如此猖獗,與電子郵件協定SMTP協定(簡單郵件傳輸協定)本身的缺陷有關,SMTP協定本身是一個簡化的郵件遞交協議,缺乏必要的身份認證,這是造成垃圾郵件氾濫的原因之一,由於SMTP協議中,允許發信人偽造發信人特徵資訊,對於發現並制止垃圾郵件的傳播造成困難, 為了解決認定郵件真實來源的問題,而出現了各種解決方案。  Greylist 灰名單技術 大部分的Mail Server/Mail Gateway均具有黑名單與白名單技術,但實施起來相當冗長麻煩,需要郵件管理者及內部使用者的配合操作,建立永久性的拒絕名單或允許名單,只要是有列在黑名單上的使用者,Mail Server就會毫不考慮地拒絕對方所寄送過來的郵件,反之,若是被列在白名單上的使用者,Mail Server則會毫不考慮地接收對方所寄送過來的郵件。 一般而言垃圾郵件發送者所使用的發送程式為了達到最快發送效益,發送郵件之後並不會理會遠端郵件主機是否有正確接收郵件,若遭遇回應錯誤時根本不會重送,而正規Mail Server/Mail Gateway發送郵件後,若遠端Mail Server回應SMTP 4xx臨時性錯誤,則會依據系統設定的重送間隔進行重送郵件。因此灰名單技術所使用的概念是,不管來源位址或發送者為何,一律拒收對方的第一封郵件,回應SMTP 4xx臨時性錯誤訊息,若一段時間後再次接收到相同位址與收件人之郵件,則視為合法郵件而接收。 Greylist灰名單技術除了可有效減少垃圾郵件外,對防範病毒郵件亦有一定效果,部份病毒使用內置SMTP引擎進行大量發送,其行為模式類同廣告信/垃圾信,發送後同樣不理會遠端郵件主機狀態,Greylist灰名單技術便可依據設定原則拒收此類威脅郵件。 但Greylist灰名單技術不可避免的會造成郵件延遲問題,正確接收到郵件的時間視發送端重送間隔時間的設置,可能由數分鐘到數小時,對郵件時效性較要求的企業可能不適用此技術。 正確佈署具Greylist技術的Mail Server/Mail Gateway為首要第一步,Mail Server/Mail Gateway必須位於郵件網域的第一線,方可正確記錄寄件來源位址進行檢測,佈署得當甚至可阻擋八、九成廣告/垃圾郵件。 SPF (Sender Policy Framework) 相信許多人都有類似經驗,接收過的郵件當中有相當比例是顯示來自著名公司,甚至是自身公司網域、自身電子郵件位址,但其內容卻是如假包換的垃圾信、偽冒詐騙信,這是由於一般SMTP允許以其他人名義發送郵件,因此讓有心人士有機可趁,能輕易偽造寄件位址。 
(1) 發信方建立SPF Record的步驟
點選 “Continue”將自動生成了一條SPF記錄,一般如果只有A記錄與MX記錄用以發信,SPF Record將會如下敘述。建立SPF Record非常簡單,http://www.openspf.org 亦提供了導引精靈協助,輸入網域名稱即可依提示建立,主要用來宣告此網域發信的IP會有哪些。 a 你郵件網域名稱的A記錄,如果它有可能發出郵件則選Yes。 mx 一般也是yes,因為MX伺服器會有退信機制。 ptr 選擇no,官方建議的。 a:是否有其他的A記錄用以發信? mx: 是否有其他的MX記錄用以發信? ip4: 是否有其他的IP發信?如果發信伺服器是獨立的,或是對外有負載平衡線路,則必須加入其IP。 include: 如果有可能通過ISP來發信,則填入這個ISP的郵件網域名稱。 ~all: 除了上面輸入的條件外,其他的都不認可。選擇yes。 "v=spf1 a mx ~all" 
再將SPF Record加入DNS伺服器即可,以Windows Server DNS為例,如下圖:
用nslookup確認SPF Record,以PChome網域為例,
nslookup >set q=txt
>pchome.com.tw
即可查詢到PCHome網域是有建立SPF Record的。 
(2) 收信方的SPF驗證建置
要實現完成的SPF驗證機制,除發信方必須於DNS建立SPF記錄外,收信方亦必須於郵件伺服器/郵件閘道器啟動SPF驗證機制,現已有多款郵件伺服器加入支援,包含開放原始碼的Sendmail、Postfix等,而各郵件閘道器設備廠商也陸續加入此一功能,要注意的是,由於現今環境有確實建置SPF的企業尚屬少數,若貿然全面的對Inbound Mail進行SPF檢測/封鎖,恐造成不必要的困擾與訊息遺失,因此收信方郵件閘道器應具有相關的放行功能,如 “無SPF記錄的網域郵件予以放行”。 S/MIME 保護郵件的加密機制 電子郵件(E-mail)為網際網路上最頻繁的應用,其低價與即時的特性為現今最重要的通訊平台之一,但其傳輸機制卻相當不安全,包括明碼傳輸易遭他人攔截竄改、駭客假冒名義發送、難以辨識真偽等,要防治郵件傳輸中的安全,郵件加密是企業郵件環境中不可或缺的一環。 目前郵件加密架構主要區分為兩類,一者為閘道器架構(Gateway to Gateway),例如Domain Key,二者為客戶端架構(Client to Client),例如S/MIME。 S/MIME(Security/Multipurpose Internet Mail Extension)是MIME的延伸,最早是由RSA 所提出的,是建立於公開金鑰密碼系統的技術,寄件方需要先安裝CA 提供之個人電子憑證作為私鑰才能進行加密,同時也需要在加密端儲存收件端的解密金鑰才能同時進行加密動作。
因此首要條件是發送端與接收端的MUA均需支援S/MIME,在兩個有 S/MIME 能力程式間傳送的郵件可以使用數位簽名、加密或簽署,以現今環境來說,超過80%之MUA支援(包括Microsoft Outlook、Outlook Express)。
 
就企業環境而言,S/MIME的優點為觀念單純,但實施上卻相當繁複困難,首先資訊管理人員必須替所有使用者申請電子憑證,再安裝於所有使用者MUA中,並且搭配教育訓練,教導使用者寄信時加入數位簽章,諸如此類的繁雜事務,都是企業對於S/MIME接收度不高的原因。
不過目前已有郵件閘道器廠商於設備中加入此一技術,簡單而言,就是將原本繁雜的使用者端設定於郵件閘道器中完成,如 將電子憑證安裝於所有MUA、教導使用者寄信時加入數位簽章等,都可於閘道器中實行,仍保有郵件加密的優點,因此可大為提高接受度。
結語
電子郵件的發展與應用,改變了人們的寫信習慣,有別於傳統效率不彰的寄送方式,電子郵件寄送後幾乎可即時到達對方,比任何傳統快遞更加快速便利,但隨著便利而來的是有心人士的不當使用與攻擊威脅,攻擊與防範技術之間的角力亦似乎永無止盡,因此除了技術面問題之外,或許也有賴政府法案的交互配合,才能進一步達成嚇阻效果。 2009年4月由國家通訊傳播委員會(NCC)所提出「濫發商業電子郵件管理條例」,缺乏政府的「行政罰」條款,而遭到遭到司法院及立委批評,並退回重議,如果缺乏政府的「行政罰」手段介入,垃圾郵件的受害者在舉證過程中根本無法追查「發信者」,更無法「自行」循訴訟程序尋求賠償。 但NCC認為,濫發商業電子郵件究竟有沒有產生損害,要由當事人決定,「行政權」不應該過度介入。在各方機關未有共識之前,台灣環境對於電子郵件的法制控管仍有相當長的路要走。 (作者現任職於麟瑞科技) 參考文件 1.灰名單技術 http://www.greylisting.org 2.SPF技術 http://www.openspf.org |
沒有留言:
張貼留言