基于多因素的郵箱安全檢測(cè)模型

李揚(yáng) 方勇 黃誠 劉亮

摘 要：針對(duì)缺乏中國域名電子郵箱安全檢測(cè)研究的問題，設(shè)計(jì)了一種基于多因素電子郵箱安全性檢測(cè)模型。首先，基于數(shù)據(jù)采集和域名篩選模塊提取真實(shí)有效的不同類別域名數(shù)據(jù)；其次，基于多因素漏洞檢測(cè)和數(shù)據(jù)分析模塊檢測(cè)SPF、DMARC、STARTTLS等電子郵箱安全擴(kuò)展協(xié)議的實(shí)施情況。實(shí)驗(yàn)獲取了18140個(gè)政府機(jī)構(gòu)域名和2766個(gè)教育機(jī)構(gòu)域名，其中 25.5%的教育機(jī)構(gòu)和4.50%的政府機(jī)構(gòu)域名發(fā)布了有效SPF記錄；僅7個(gè)教育機(jī)構(gòu)和2個(gè)政府機(jī)構(gòu)域名發(fā)布了有效DMARC記錄；46.8%的教育機(jī)構(gòu)和10.4%的政府機(jī)構(gòu)域名支持STARTTLS擴(kuò)展。

關(guān)鍵詞：電子郵箱偽造；SPF協(xié)議；DMARC協(xié)議；STARTTLS協(xié)議；電子郵箱安全

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： A multi-factor based e-mail security detection model is designed to solve the problem of lack of Chinese domain name e-mail security detection research. Firstly， the real and effective domain datasets are obtained by data acquisition and domain name filtering and extraction. Secondly， based on multi-factor vulnerability detection and data analysis module to detect the implementation of SMTP security extensions such as SPF， DMARC， STARTTLS. The experiment obtained 18140 government domains and 2766 educational institution domains， which 25.5% educational institutions and 4.50% government domains published valid SPF records. Only 7 educational institutions and 2 government domains published valid DMARC records. In addition， 46.8% of educational institutions and 10.4% of government domains support STARTTLS extensions.

Key words： e-mail forgery； SPF； DMARC； STARTTLS； e-mail security

1 引言

網(wǎng)絡(luò)釣魚攻擊成為當(dāng)今網(wǎng)絡(luò)安全威脅中不可忽視的重要部分。根據(jù)國際反釣魚工作組APWG（Anti-Phishing Working Group）發(fā)布的2018網(wǎng)絡(luò)釣魚活動(dòng)趨勢(shì)報(bào)告（Phishing Activity Trends Report），2018年第一季度總共檢測(cè)到263，538次網(wǎng)絡(luò)釣魚攻擊，比2017年第四季度增加46%[1]。

電子郵箱偽造作為實(shí)施網(wǎng)絡(luò)釣魚攻擊中至關(guān)重要的步驟，使用偽造的發(fā)件人地址創(chuàng)建電子郵件，欺騙受害者認(rèn)為該電子郵件是由合法可信的來源發(fā)送，從而可能導(dǎo)致嚴(yán)重的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)[2]。SMTP（Simple Mail Transfer Protocol）簡單郵件傳輸協(xié)議，采用明文方式傳輸，缺乏內(nèi)置防止電子郵箱偽造的安全設(shè)計(jì)[3]。盡管目前相關(guān)機(jī)構(gòu)已經(jīng)發(fā)布了致力于提高郵件安全性、驗(yàn)證郵件發(fā)送者的SMTP安全擴(kuò)展協(xié)議，包括SPF、DKIM、DMARC、STARTTLS等，但是該類SMTP安全擴(kuò)展的實(shí)施采用率卻不容樂觀。

此外，據(jù)360互聯(lián)網(wǎng)安全中心統(tǒng)計(jì)，2017年中國企業(yè)級(jí)電子郵箱收發(fā)電子郵件共計(jì)5861.9億封[4]。電子郵箱偽造及郵箱安全是反釣魚防護(hù)工作中亟待解決的安全問題，嚴(yán)重威脅著相關(guān)機(jī)構(gòu)郵箱安全的健康發(fā)展。

Ian Foster等人研究分析了TLS、SPF、DMARC在全球郵件提供商的應(yīng)用情況[5]。Hang Hu等人的研究表明，2017年10月，Alexa排名TOP1百萬域名中，僅49.3%的域名DNS設(shè)置了SPF記錄，僅4.6%的域名DNS設(shè)置了DMARC記錄[6]。然而，此類研究均缺乏針對(duì)中國域名的郵箱安全性檢測(cè)技術(shù)研究，尤其缺乏針對(duì)教育行業(yè)域名、政府機(jī)構(gòu)域名等影響范圍巨大的不同類別域名郵箱安全性的相關(guān)檢測(cè)研究。

論文的主要貢獻(xiàn)有三項(xiàng)。

（1）提出了一種基于多因素的郵箱安全檢測(cè)模型。

（2）采集了中國18140個(gè)政府機(jī)構(gòu)域名和2766個(gè)教育機(jī)構(gòu)域名。

（3）檢測(cè)了教育機(jī)構(gòu)和政府機(jī)構(gòu)的SPF、DMARC、STARTTLS的實(shí)施情況和安全風(fēng)險(xiǎn)，并提出相應(yīng)的防護(hù)建議和對(duì)策。

2 多因素郵箱安全防護(hù)技術(shù)

為了保障電子郵件的安全，相關(guān)機(jī)構(gòu)已經(jīng)提出了SPF、DKIM、DMARC、STARTTLS等SMTP標(biāo)準(zhǔn)化的安全擴(kuò)展協(xié)議[7]。其中，SPF、DKIM和DMARC則致力于保障電子郵件的真實(shí)性，是防止電子郵箱地址欺騙的主要策略措施，而STARTTLS旨在提供電子郵件通信中的機(jī)密性。

2.1 發(fā)送方策略框架SPF

發(fā)送方策略框架SPF（Sender Policy Framework）建議組織機(jī)構(gòu)或電子郵件服務(wù)提供商在其域名解析記錄中發(fā)布其主機(jī)地址或IP地址塊。電子郵件接收方在接收電子郵件時(shí)發(fā)起DNS查詢檢查SPF策略，并根據(jù)策略拒絕來自非授權(quán)IP地址的電子郵件。此外，SPF協(xié)議允許域名管理者指定電子郵件接收方如何處理未通過SPF策略檢查的電子郵件，包括通過（Pass）、拒絕（Fail）、軟拒絕（Soft Fail）、中立（Neutral）四種處理策略[8]。其中，軟拒絕的處理策略為服務(wù)器應(yīng)該接收對(duì)應(yīng)的電子郵件，但是標(biāo)記為可疑電子郵件[9]。

如果組織機(jī)構(gòu)的域名缺乏SPF記錄或者SPF記錄配置存在缺陷，可能導(dǎo)致攻擊者能夠在任意服務(wù)器發(fā)送偽造了電子郵箱地址的電子郵件。另一方面，SPF策略只能檢測(cè)電子郵件的發(fā)送者屬于發(fā)送者指定的域中，滿足該條件的攻擊者仍然可以偽造發(fā)件人的地址，但是接收者卻無法檢測(cè)到此類篡改攻擊場(chǎng)景[10]。

2.2 域名密鑰識(shí)別郵件DKIM

域名密鑰識(shí)別郵件DKIM（Domain Keys Identified Mail）使用基于公鑰的方法驗(yàn)證電子郵件發(fā)送者并檢查電子郵件的完整性。電子郵件發(fā)送者在電子郵件頭部添加和域名相關(guān)的數(shù)字簽名，電子郵件接收方在接收電子郵件時(shí)發(fā)起DNS請(qǐng)求，檢索發(fā)送者的公鑰進(jìn)行簽名驗(yàn)證[11]。

雖然DKIM在電子郵件傳遞轉(zhuǎn)發(fā)的場(chǎng)景時(shí)仍然能夠正確驗(yàn)證簽名的有效性，但是由于DKIM允許與發(fā)送者不同域的第三方進(jìn)行簽名，導(dǎo)致DKIM無法確定電子郵件中所附簽名對(duì)應(yīng)的簽名者是否合法[12]。

此外，驗(yàn)證DKIM公鑰的有效性，不僅需要發(fā)送者的域名，還需要對(duì)應(yīng)的選擇器（Selector），選擇器的作用使得在同一域下的多個(gè)密鑰進(jìn)行更細(xì)粒度的簽名控制。也正因?yàn)檫x擇器自定義和多樣化的特性，使得基于域名進(jìn)行DKIM檢測(cè)存在一定的困難，目前缺乏全面有效的檢測(cè)評(píng)估電子郵箱域名DKIM的方法。

2.3 基于域的消息認(rèn)證，報(bào)告和一致性DMARC

由于SPF和DKIM均缺乏策略機(jī)制有效性的反饋，無法有效判斷發(fā)送郵件的屏蔽、策略配置是否正確有效等情況[13]。基于域的消息認(rèn)證、報(bào)告和一致性DMARC（Domain-based Message Authentication， Reporting and Conformance）是一種建立在SPF和DKIM協(xié)議基礎(chǔ)上的電子郵件身份驗(yàn)證、策略和報(bào)告協(xié)議[14，15]。組織機(jī)構(gòu)或電子郵件服務(wù)提供商在其域名解析記錄添加DMARC記錄，發(fā)布該發(fā)送方是否支持DKIM、SPF身份驗(yàn)證，以及如果驗(yàn)證失敗，接收方應(yīng)采取什么措施，其措施類型包括拒絕（Reject）、隔離（Quarantine）即標(biāo)記為可疑郵件，無（None）不采取任何具體行動(dòng)。

DMARC為了實(shí)現(xiàn)沒有郵件服務(wù)器域的消息報(bào)告機(jī)制，并將消息報(bào)告轉(zhuǎn)發(fā)到能夠接收和處理的外部域，所以允許指定域之外的外部域作為DMARC報(bào)告反饋的目的地址。然而，如果攻擊者惡意發(fā)布DMARC策略記錄，將DMARC報(bào)告外部目的地址指定為受害者，并發(fā)送大量郵件，由于DMARC檢測(cè)失敗，可能會(huì)導(dǎo)致受害者收到大量不必要的報(bào)告。為了防止受害者接受大量不必要的DMARC報(bào)告攻擊，DMARC提出了外部目的地驗(yàn)證（Verifying External Destinations）的驗(yàn)證機(jī)制。

如果組織機(jī)構(gòu)的域名缺乏DMARC記錄或者DMARC記錄設(shè)置存在缺陷（如外部目的地驗(yàn)證配置存在缺陷），導(dǎo)致DMARC檢測(cè)失敗，從而可能導(dǎo)致攻擊者仍然能夠成功發(fā)送偽造電子郵箱地址的電子郵件。

2.4 加密通信端口的擴(kuò)展STARTTLS

STARTTLS是一種將純文本通信升級(jí)為加密通信且不使用單獨(dú)的加密通信端口的擴(kuò)展[16]?；赟TARTTLS的SMTP安全擴(kuò)展，旨在解決SMTP明文中繼傳輸?shù)娜毕?，保護(hù)電子郵件在郵件傳輸代理MTA服務(wù)器每一跳之間傳輸過程中的機(jī)密性，防止郵件內(nèi)容被惡意竊取[17]。

如果組織機(jī)構(gòu)的電子郵箱服務(wù)器不支持STARTTLS，則在電子郵件的傳輸過程中可能會(huì)被攻擊者截獲通信內(nèi)容。此外，由于STARTTLS是一種機(jī)會(huì)性加密，存在中間人降級(jí)攻擊等風(fēng)險(xiǎn)則不屬于論文討論的范疇。

3 檢測(cè)模型

為了有效地對(duì)中國不同類別域名郵箱安全性進(jìn)行研究，分析其域名的郵箱偽造防護(hù)策略的實(shí)施情況和機(jī)密性通信的支持情況，論文提出了基于多因素的郵箱安全檢測(cè)模型。

檢測(cè)模型總體結(jié)構(gòu)，如圖1所示，主要包括四個(gè)模塊，分別是數(shù)據(jù)采集模塊、域名篩選提取模塊、多因素漏洞檢測(cè)模塊、數(shù)據(jù)分析模塊。首先，基于數(shù)據(jù)采集和域名篩選提取真實(shí)有效的不同類別域名數(shù)據(jù)；其次，基于多因素漏洞檢測(cè)和數(shù)據(jù)分析檢測(cè)研究SPF、DMARC、STARTTLS等電子郵箱安全擴(kuò)展的實(shí)施情況。

3.1 數(shù)據(jù)采集模塊

基于聚合網(wǎng)站、搜索引擎和流量提取的多源信息渠道，結(jié)合動(dòng)態(tài)爬蟲技術(shù)和信息提取技術(shù)采集不同行業(yè)類別的域名。例如，針對(duì)教育行業(yè)域名數(shù)據(jù)收集的步驟：首先，采集中國高等教育學(xué)生信息網(wǎng)在線院校信息庫域名數(shù)據(jù)[18]；其次，根據(jù)全國高等學(xué)校名單[19]并結(jié)合搜索引擎，基于關(guān)鍵詞信息提取技術(shù)提取域名信息；最后，基于DNS域名流量信息提取教育機(jī)構(gòu)相關(guān)域名數(shù)據(jù)[20]，綜合多渠道信息形成初始域名庫數(shù)據(jù)。

3.2 域名篩選提取模塊

域名篩選提取模塊進(jìn)一步篩選提取數(shù)據(jù)采集模塊采集形成的初始域名庫數(shù)據(jù)。結(jié)合域名有效性檢測(cè)、URL存活性檢測(cè)、基于網(wǎng)頁Title的內(nèi)容篩選以及基于Chrome Headless動(dòng)態(tài)獲取網(wǎng)頁快照的篩選技術(shù)對(duì)不同行業(yè)的初始域名庫進(jìn)行篩選，并對(duì)篩選后的域名數(shù)據(jù)進(jìn)行去重化處理從而形成不同類別的域名數(shù)據(jù)庫。

3.3 多因素漏洞檢測(cè)模塊

根據(jù)域名可能存在的不同電子郵箱安全問題，分析SPF、DMARC、STARTTLS等不同電子郵箱安全因素的特征，編寫對(duì)應(yīng)的漏洞檢測(cè)插件。多因素漏洞檢測(cè)模塊采用插件式的漏洞掃描架構(gòu)，調(diào)度不同漏洞掃描插件對(duì)篩選去重后的不同類別域名數(shù)據(jù)庫進(jìn)行漏洞掃描，檢測(cè)其對(duì)應(yīng)的安全缺陷，并將檢測(cè)結(jié)果存儲(chǔ)到漏洞信息數(shù)據(jù)庫。

3.4 數(shù)據(jù)分析模塊

數(shù)據(jù)分析模塊基于多因素漏洞檢測(cè)模塊檢測(cè)形成的漏洞信息數(shù)據(jù)庫進(jìn)行數(shù)據(jù)分析，統(tǒng)計(jì)分析不同類別域名電子郵箱偽造防護(hù)策略的實(shí)施情況和機(jī)密性通信的支持情況，聚合分析采取不同策略及措施的分布情況和特點(diǎn)，并進(jìn)一步分析其安全配置的缺陷以及配置無效的原因。此外，針對(duì)不同類別的域名電子郵箱存在的安全性缺陷提出相應(yīng)的建議。

4 實(shí)驗(yàn)及結(jié)果分析

4.1 實(shí)驗(yàn)環(huán)境

實(shí)驗(yàn)環(huán)境的軟硬件配置信息。CPU：Intel（R） Core（TM） i7-7700 3.60GHz；內(nèi)存：16G；GPU： NVIDIA GeForce GTX 1060 6GB；操作系統(tǒng)Ubuntu 16.04.4 LTS操作系統(tǒng)，檢測(cè)框架基于Python3.6語言實(shí)現(xiàn)。

4.2 實(shí)驗(yàn)數(shù)據(jù)

基于論文提出的檢測(cè)框架，為了驗(yàn)證模型的有效性，針對(duì)國內(nèi)的教育機(jī)構(gòu)域名、政府機(jī)構(gòu)域名進(jìn)行電子郵箱安全性檢測(cè)。結(jié)合數(shù)據(jù)采集模塊進(jìn)行多源渠道信息采集，以及域名篩選提取模塊處理過后，獲取得到18140個(gè)政府機(jī)構(gòu)網(wǎng)站、2827個(gè)教育機(jī)構(gòu)網(wǎng)站（其中包含2569所高等學(xué)校網(wǎng)站）。由于存在部分教育機(jī)構(gòu)使用不同子域名但是使用相同域名的情況，經(jīng)過篩選處理去重后，最終收集了18140個(gè)政府機(jī)構(gòu)域名、2766家教育機(jī)構(gòu)域名（其中包含2508所高等學(xué)校域名）的數(shù)據(jù)庫作為論文實(shí)驗(yàn)數(shù)據(jù)集。

4.3 實(shí)驗(yàn)結(jié)果及數(shù)據(jù)分析

基于實(shí)驗(yàn)數(shù)據(jù)集，2018年8月針對(duì)政府機(jī)構(gòu)和教育機(jī)構(gòu)域名發(fā)布實(shí)施SPF、DMARC的情況，以及對(duì)應(yīng)電子郵箱服務(wù)器支持STARTTLS的情況進(jìn)行檢測(cè)。

4.3.1 SPF的統(tǒng)計(jì)分析

教育機(jī)構(gòu)（包括高等學(xué)校）和政府機(jī)構(gòu)域名SPF的統(tǒng)計(jì)分析結(jié)果如表1所示。教育機(jī)構(gòu)789家（28.5%）的域名存在SPF記錄，其中有效SPF記錄為704個(gè)（25.5%）。

如果SPF認(rèn)證失敗后：采取軟拒絕策略的有418個(gè)（15.1%），采取拒絕策略的有275個(gè)（9.9%），采取中立策略的有11個(gè)（0.40%），沒有采取通過策略的域名。教育機(jī)構(gòu)中高等學(xué)校的743個(gè)（29.6%）域名存在SPF記錄，其中有效SPF記錄為666個(gè)（26.6%）。

如果SPF認(rèn)證失敗后：采取軟拒絕策略的有399個(gè)（15.9%），采取拒絕策略的有258個(gè)（10.3%），采取中立策略的有9個(gè)（0.36%），沒有采取通過策略的域名。相比較而言，高等學(xué)校域名存在SPF記錄的比例以及有效SPF記錄的比例均高于教育機(jī)構(gòu)域名。此外，SPF認(rèn)證失敗后高等學(xué)校采取軟拒絕策略和拒絕策略的比例也高于教育機(jī)構(gòu)域名。另一方面，有905個(gè)（4.99%）的政府機(jī)構(gòu)域名存在SPF記錄，其中817個(gè)（4.50%）為有效的SPF記錄。

如果SPF認(rèn)證失敗后，采取軟拒絕策略的有405個(gè)（2.23%），采取拒絕策略的有402個(gè)（2.22%），采取中立策略的9個(gè)（0.05%），采取通過策略的1個(gè)（0.006%）。

分析發(fā)現(xiàn)，部分域名雖然發(fā)布了SPF記錄，但是SPF記錄配置無效，導(dǎo)致不能通過SPF驗(yàn)證機(jī)制。主要原因包括發(fā)布多條SPF記錄、缺乏有效的分隔符、存在無效字符、拼寫錯(cuò)誤、缺乏必要配置信息等。

4.3.2 DMARC的統(tǒng)計(jì)分析

教育機(jī)構(gòu)和政府機(jī)構(gòu)域名DMARC統(tǒng)計(jì)分析結(jié)果如表2所示。教育機(jī)構(gòu)184個(gè)（6.65%）域名發(fā)布了DMARC記錄，有效的DMARC記錄為7個(gè)（0.25%）。

如果DMARC認(rèn)證失敗后，采取無策略的有5個(gè)（0.18%）域名，采取隔離策略的有2（0.07%），沒有采取拒絕策略的域名。政府機(jī)構(gòu)49個(gè)（2.7%）的域名發(fā)布了DMARC記錄，有效的DMARC記錄為2個(gè)（0.01%）。

如果DMARC認(rèn)證失敗后，采取隔離策略的有1個(gè)（0.005%），采取拒絕策略的1個(gè)（0.005%），沒有采取無策略的域名。

分析發(fā)現(xiàn)，部分教育機(jī)構(gòu)和政府機(jī)構(gòu)域名采用第三郵箱服務(wù)器發(fā)送企業(yè)郵件，雖然發(fā)布了DMARC記錄，但是由于第三方電子郵件服器域名沒有發(fā)布對(duì)應(yīng)的外部目的地驗(yàn)證授權(quán)記錄，導(dǎo)致DMARC外部目的地驗(yàn)證失敗，從而導(dǎo)致DMARC驗(yàn)證無效。另一方面，分析發(fā)現(xiàn)教育機(jī)構(gòu)中發(fā)布有效DMARC記錄的域名，大部分域名在DMARC認(rèn)證失敗后，采取無策略，其原因可能是為了防止丟失電子郵件的權(quán)衡之策。

4.3.3 STARTTLS的統(tǒng)計(jì)分析

教育機(jī)構(gòu)和政府機(jī)構(gòu)域名STARTTLS統(tǒng)計(jì)分析結(jié)果如表3所示。

教育機(jī)構(gòu)1294個(gè)（46.8%）域名的電子郵箱服務(wù)器支持STARTTLS，政府機(jī)構(gòu)1893個(gè)（10.4%）域名的電子郵箱服務(wù)器支持STARTTLS。分析發(fā)現(xiàn)，存在電子郵箱服務(wù)的域名中，大部分機(jī)構(gòu)使用，如qq.com、163.com、icoremail.net、netease.com、mxhichina.com等提供的郵箱服務(wù)，也因?yàn)檫@些服務(wù)器均支持STARTTLS，所以支持STARTTLS的比例高于SPF和DMARC。

5 防護(hù)建議及對(duì)策

根據(jù)目前中國的教育機(jī)構(gòu)和政府機(jī)構(gòu)域名在SPF、DMARC、STARTTLS等郵箱安全擴(kuò)展實(shí)施比例不高的問題，以及存在因各種配置缺陷導(dǎo)致安全措施無效的問題。針對(duì)發(fā)送郵件域名與非發(fā)送電子郵件域名兩種場(chǎng)景，提出相應(yīng)的防護(hù)建議和對(duì)策。

（1） 針對(duì)發(fā)送郵件域名的建議

a） 發(fā)布有效的SPF記錄，聲明對(duì)未通過SPF驗(yàn)證的電子郵件采取“拒絕”策略，避免使用“通過”策略。

b） 發(fā)布有效的DMARC記錄，聲明對(duì)未通過DMARC驗(yàn)證的郵件采取“拒絕”策略，避免使用“無”策略。

c） 采用第三方電子郵箱服務(wù)器發(fā)送郵件的域名，除了需要發(fā)布對(duì)應(yīng)的SPF、DMARC記錄外，還需要在第三方電子郵件服器域名發(fā)布相應(yīng)的聲明，如外部目的地驗(yàn)證授權(quán)記錄等。

d） 建議所有的郵箱服務(wù)器均配置支持STARTTLS通信。

（2） 針對(duì)非發(fā)送郵件域名的建議

建議在非發(fā)送郵件域名的DNS記錄中發(fā)布“v = spf1 -all”的SPF記錄，表明該域名不發(fā)送電子郵件，從而限制任何偽造該域名的電子郵件，均無法通過SPF的驗(yàn)證。

6 結(jié)束語

電子郵箱偽造作為實(shí)施釣魚攻擊的重要步驟，嚴(yán)重威脅著企業(yè)的網(wǎng)絡(luò)安全。論文設(shè)計(jì)了一種基于多因素的郵箱安全檢測(cè)模型，基于數(shù)據(jù)采集模塊和域名篩選提取模塊獲取有效的教育機(jī)構(gòu)域名和政府機(jī)構(gòu)域名，然后基于多因素漏洞檢測(cè)模塊和數(shù)據(jù)分析模塊檢測(cè)分析其電子郵箱偽造防護(hù)策略的實(shí)施情況和機(jī)密性通信的支持情況，并提出相應(yīng)的防護(hù)建議和對(duì)策。

實(shí)驗(yàn)采集了18140個(gè)政府機(jī)構(gòu)域名和2766家教育機(jī)構(gòu)域名，其中25.5%的教育機(jī)構(gòu)和4.50%的政府機(jī)構(gòu)域名發(fā)布了有效SPF記錄；僅7家教育機(jī)構(gòu)和2個(gè)政府機(jī)構(gòu)域名發(fā)布了有效DMARC記錄；46.8%的教育機(jī)構(gòu)和10.4%的政府機(jī)構(gòu)域名支持STARTTLS擴(kuò)展。

實(shí)驗(yàn)結(jié)果表明，論文提出的模型可以有效地收集不同類別的域名數(shù)據(jù)并有效地對(duì)其郵箱安全性進(jìn)行多因素檢測(cè)分析。下一步工作可以針對(duì)其他類別的域名進(jìn)行多因素電子郵箱安全性檢測(cè)分析。

參考文獻(xiàn)

[1] APWG. Phishing Activity Trends Report. [EB/OL]. 2018. http：//docs.apwg.org/reports/apwg_trends_report_q1_2018.pdf.

[2] Margaret Rouse. email spoofing. [EB/OL]. 2018. https：//searchsecurity.techtarget.com/definition/email-spoofing.

[3] J. B. Postel， “Simple mail transfer protocol，” 1982， https：//tools.ietf.org/ html/rfc821.

[4] 360互聯(lián)網(wǎng)安全中心. 2017中國企業(yè)郵箱安全性研究報(bào)告. [EB/OL]. 2018. http：//zt.#/1101061855.php？did=491163339&dtid;=1101062514.

[5] Foster I D， Larson J， Masich M， et al. Security by any other name： On the effectiveness of provider based email security[C]//Proceedings of the 22nd ACM SIGSAC Conference on Computer and Communications Security. ACM， 2015： 450-464.

[6] Hu H， Wang G. Revisiting Email Spoofing Attacks[J]. arXiv preprint arXiv：1801.00853， 2018.

[7] Durumeric Z， Adrian D， Mirian A， et al. Neither snow nor rain nor MITM...： An empirical analysis of email delivery security[C]//Proceedings of the 2015 Internet Measurement Conference. ACM， 2015： 27-39.

[8] The SPF Council. Sender Policy Framework. [EB/OL]. 2018. http：//www.openspf.org/SPF_Record_Syntax.

[9] Opazo B， Whitteker D， Shing C C. Email trouble： Secrets of spoofing， the dangers of social engineering， and how we can help[C]//2017 13th International Conference on Natural Computation， Fuzzy Systems and Knowledge Discovery （ICNC-FSKD）. IEEE， 2017： 2812-2817.

[10] Zhao S， Liu S. An Add-on End-to-end Secure Email Solution in Mobile Communications[C]//Proceedings of the 10th EAI International Conference on Mobile Multimedia Communications. ICST （Institute for Computer Sciences， Social-Informatics and Telecommunications Engineering）， 2017： 57-61.

[11] Crocker D， Hansen T， Kucherawy M. DomainKeys Identified Mail （DKIM） Signatures[R]. 2011.

[12] Konno K， Dan K， Kitagawa N. A Spoofed E-Mail Countermeasure Method by Scoring the Reliability of DKIM Signature Using Communication Data[C]//Computer Software and Applications Conference （COMPSAC）， 2017 IEEE 41st Annual. IEEE， 2017， 2： 43-48.

[13] Gersch J， Massey D， Rose S. DANE Trusted Email for Supply Chain Management[C]//Proceedings of the 50th Hawaii International Conference on System Sciences. 2017.

[14] Kucherawy M， Zwicky E. Domain-based message authentication， reporting， and conformance （DMARC）[R]. 2015.

[15] Derouet E. Fighting phishing and securing data with email authentication[J]. Computer Fraud & Security， 2016， 2016（10）： 5-8.

[16] Chan C， Fontugne R， Cho K， et al. Monitoring TLS adoption using backbone and edge traffic[C]//IEEE INFOCOM 2018-IEEE Conference on Computer Communications Workshops （INFOCOM WKSHPS）. IEEE， 2018.

[17] Malatras A， Coisel I， Sanchez I. Technical recommendations for improving security of email communications[C]//Information and Communication Technology， Electronics and Microelectronics （MIPRO）， 2016 39th International Convention on. IEEE， 2016： 1381-1386.

[18] 中國高等教育學(xué)生信息網(wǎng). 院校信息庫. [EB/OL]. 2018. http：//gaokao.chsi.com.cn/sch/.

[19] 中華人民共和國教育部. 全國高等學(xué)校名單. [EB/OL]. 2018. http：//www.moe.gov.cn/srcsite/A03/moe_634/201706/t20170614_306900.html.

[20] Rapid7. Forward DNS. [EB/OL]. 2018. https：//opendata.rapid7.com/sonar.fdns_v2/2018-07-21-1532160001-fdns_any.json.gz.