電子郵件安全擴(kuò)展協(xié)議應(yīng)用分析

尚菁菁，朱宇佳，劉慶云

電子郵件安全擴(kuò)展協(xié)議應(yīng)用分析

尚菁菁1,2,3，朱宇佳2,3，劉慶云2,3

（1.中國科學(xué)院大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，北京 100093；2.信息內(nèi)容安全技術(shù)國家工程實(shí)驗(yàn)室，北京 100093；3.中國科學(xué)院信息工程研究所，北京 100093）

電子郵件是黑客發(fā)起網(wǎng)絡(luò)攻擊的主要入口，其中身份仿冒是電子郵件欺詐重要手段?；卩]件身份驗(yàn)證機(jī)制，構(gòu)建屬性圖以測(cè)量政府機(jī)構(gòu)電子郵件安全擴(kuò)展協(xié)議全球采用率。從郵件內(nèi)容仿冒、域仿冒、信頭仿冒3個(gè)維度研究安全擴(kuò)展協(xié)議部署效果。結(jié)果表明，各國政府機(jī)構(gòu)郵件系統(tǒng)中部署SPF協(xié)議的約占70%，部署DMARC協(xié)議的不足30%，電子郵件身份檢測(cè)采用率較低。當(dāng)欺詐郵件進(jìn)入收件人郵箱后，郵件服務(wù)提供商針對(duì)仿冒郵件警告機(jī)制有待完善。

電子郵件；安全擴(kuò)展協(xié)議；域名密鑰識(shí)別郵件標(biāo)準(zhǔn)；發(fā)件人策略框架；基于域的郵件驗(yàn)證、報(bào)告和一致性

1 引言

郵件服務(wù)是互聯(lián)網(wǎng)最基礎(chǔ)的服務(wù)之一，在互聯(lián)網(wǎng)通信中有著不可替代的作用。近年來，魚叉式網(wǎng)絡(luò)釣魚持續(xù)威脅用戶和組織，賬號(hào)密碼被釣魚等惡性事件層出不窮。根據(jù)2019年賽門鐵克《互聯(lián)網(wǎng)威脅安全報(bào)告》，每412封電子郵件中就有1封包含惡意軟件攻擊，每月有7 710個(gè)組織受到“商務(wù)電子郵件”攻擊。根據(jù)沃通報(bào)告，2019年商務(wù)電子郵件泄露攻擊給組織機(jī)構(gòu)造成約17.7億美元的損失，針對(duì)商務(wù)電子郵件攻擊，黑客最常用的手段就是冒充企業(yè)高管給員工發(fā)送電子郵件，指示員工執(zhí)行某項(xiàng)操作。2020年2月7日，國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)出預(yù)警，通報(bào)網(wǎng)絡(luò)不法分子利用2019新型冠狀病毒相關(guān)題材，冒充國家衛(wèi)生健康委員會(huì)等疫情防控部門，向我國部分單位和用戶投放與新型肺炎疫情相關(guān)的釣魚郵件。造成這些惡性事件的原因大多數(shù)是攻擊者應(yīng)用欺騙技術(shù)模仿受信任的實(shí)體，以進(jìn)行具有高度欺騙性的網(wǎng)絡(luò)釣魚攻擊，因此電子郵件身份驗(yàn)證十分重要。

針對(duì)電子郵件身份驗(yàn)證主要有3個(gè)安全擴(kuò)展協(xié)議：發(fā)件人策略框架（SPF，sender policy framework）、域名密鑰識(shí)別郵件標(biāo)準(zhǔn)（DKIM，domain keys identified mail）和基于域的郵件驗(yàn)證、報(bào)告和一致性（DMARC，domain-based message authentication, reporting and conformance）。SPF協(xié)議負(fù)責(zé)檢查發(fā)件人是否仿冒了郵箱域名，DKIM協(xié)議不僅可以檢查發(fā)件人身份信息，還可以檢測(cè)郵件內(nèi)容是否被篡改，然而SPF和DKIM協(xié)議只負(fù)責(zé)檢測(cè)發(fā)件人身份，對(duì)于檢測(cè)結(jié)果的處理并不明確，狡猾的攻擊者很快發(fā)現(xiàn)并利用這些安全協(xié)議的不足之處，繼續(xù)制造和發(fā)送釣魚郵件。DMARC協(xié)議是基于現(xiàn)有的SPF和DKIM兩大主流電子郵件安全協(xié)議發(fā)展而來的，與上面兩種協(xié)議不同的是，DMARC協(xié)議在檢測(cè)發(fā)件人身份信息后要求生成一份檢測(cè)結(jié)果報(bào)告發(fā)送到指定的管理員郵箱，以便管理員對(duì)釣魚郵件及發(fā)件人信息做定期檢查處理?；?種安全擴(kuò)展協(xié)議，可以確保消息的真實(shí)性，防止攻擊者篡改或仿冒電子郵件。然而，2015年進(jìn)行的Realworld測(cè)量顯示，在Alexa Top1Million域中，僅有40％具有SPF協(xié)議，1％具有DMARC協(xié)議，并且很多配置上存在格式錯(cuò)誤或缺少版本信息等問題[1-2]。

在政企類機(jī)構(gòu)中，郵件服務(wù)作為主要的交互手段，其承載了大量的高價(jià)值信息，是黑客發(fā)起網(wǎng)絡(luò)攻擊和信息竊取的主要入口，因此對(duì)于政企類機(jī)構(gòu)，驗(yàn)證傳入電子郵件的真實(shí)身份信息尤為重要。為了分析特定企業(yè)郵箱域名安全擴(kuò)展協(xié)議部署策略，需要全面獲取郵箱域名并對(duì)郵箱域名屬性進(jìn)行標(biāo)識(shí)。郵箱域名發(fā)現(xiàn)與標(biāo)識(shí)方法有主動(dòng)采集、被動(dòng)獲取、主被動(dòng)協(xié)同3種。主動(dòng)采集法通過網(wǎng)絡(luò)爬蟲直接從相關(guān)網(wǎng)站上獲取所需數(shù)據(jù)，獲取的數(shù)據(jù)可知可溯源，易于標(biāo)識(shí)屬性信息。但該方法多數(shù)情況下只能獲得企業(yè)網(wǎng)站域名，發(fā)現(xiàn)的數(shù)據(jù)有限。被動(dòng)獲取的方法全面依賴于網(wǎng)絡(luò)中已有的流量，涉及范圍大，數(shù)量多，可以對(duì)主動(dòng)采集中缺少的數(shù)據(jù)予以補(bǔ)充，通過特征匹配識(shí)別郵箱域名與網(wǎng)站域名之間的關(guān)系。但被動(dòng)數(shù)據(jù)關(guān)聯(lián)性弱，缺少郵箱域名屬性信息。主被動(dòng)協(xié)同的方法可以結(jié)合主動(dòng)測(cè)量可知可溯源性及被動(dòng)測(cè)量的廣泛性全面采集并標(biāo)識(shí)郵箱域名。

本文主要研究現(xiàn)有安全擴(kuò)展協(xié)議安全配置現(xiàn)狀。首先基于主被動(dòng)協(xié)同的方法，多表征融合標(biāo)識(shí)郵箱域名。其次，基于郵件信源認(rèn)證機(jī)制，對(duì)政府機(jī)構(gòu)所使用的電子郵件服務(wù)提供商的安全擴(kuò)展協(xié)議的采用率進(jìn)行測(cè)量分析比較。最后，從郵件內(nèi)容仿冒、域仿冒、信頭仿冒3方面研究構(gòu)建電子郵件仿冒模型，模擬端到端的仿冒郵件實(shí)驗(yàn)，探究郵件服務(wù)提供商如何在電子郵件可用性與安全性之間進(jìn)行權(quán)衡，及郵件服務(wù)提供商檢測(cè)策略與客戶端真實(shí)通知之間的差距，全面分析郵件安全擴(kuò)展協(xié)議部署效果。

本文的主要貢獻(xiàn)有3項(xiàng)。

1) 基于主被動(dòng)協(xié)同的方法多表征融合標(biāo)識(shí)郵箱域名。

2) 基于屬性圖標(biāo)識(shí)郵件安全擴(kuò)展協(xié)議部署策略。

3) 基于欺詐郵件原理，提出多維度仿冒郵件策略，揭示電子郵件提供商如何處理仿冒電子郵件，如何在電子郵件可用性和安全性之間達(dá)到權(quán)衡。

2 相關(guān)工作

電子郵件系統(tǒng)是基于簡(jiǎn)單郵件傳輸協(xié)議（SMTP，simple mail transfer protocol）[1]構(gòu)建的，該協(xié)議最初設(shè)計(jì)時(shí)并未考慮安全性。后來引入了眾多安全擴(kuò)展協(xié)議，以提供機(jī)密性、完整性和真實(shí)性[2]。本文主要關(guān)注電子郵件的真實(shí)性，網(wǎng)絡(luò)釣魚攻擊者通常濫用該屬性對(duì)用戶進(jìn)行欺詐攻擊。下面將首先介紹電子郵件真實(shí)性檢測(cè)協(xié)議發(fā)展歷程及本文測(cè)量涉及的電子郵件安全擴(kuò)展協(xié)議，然后介紹電子郵件安全擴(kuò)展協(xié)議的研究現(xiàn)狀及不足。

2.1 電子郵件安全協(xié)議發(fā)展歷程

1982年，IETF首先提出SMTP，用于用戶之間純文本消息傳輸[1]。為提供多種類型消息傳輸，IETF于1996年頒布了多用途互聯(lián)網(wǎng)郵件擴(kuò)展（MIME，multipurpose internet mail extensions）[3]，使用戶之間可發(fā)送和接收音視頻、圖片、附加文件等多種數(shù)據(jù)格式的郵件。為了增強(qiáng)電子郵件傳輸?shù)臋C(jī)密性和完整性，IETF于1996年和1999年先后提出基于MIME的擴(kuò)展協(xié)議優(yōu)良保密協(xié)議（PGP，pretty good privacy）[4]和多用途網(wǎng)際郵件擴(kuò)充協(xié)議（S/MIME，secure multipurpose internet mail extensions）[5]實(shí)現(xiàn)端到端的電子郵件加密傳輸。同時(shí)1999年提出了STARTTLS安全協(xié)議[6]，將SMTP升級(jí)為加密傳輸。目前電子郵件加密協(xié)議已廣泛受到各郵件服務(wù)提供商的關(guān)注。然而，上述這些協(xié)議的提出只能防止電子郵件遭受攻擊者被動(dòng)監(jiān)聽，攻擊者仍可仿冒發(fā)件人身份進(jìn)行網(wǎng)絡(luò)釣魚攻擊。為了確保電子郵件的真實(shí)性，IETF于2000年和2014年分別起草并標(biāo)準(zhǔn)化了發(fā)件人策略框架SPF協(xié)議[7]，用于查詢發(fā)送域經(jīng)過的SMTP服務(wù)器是否在發(fā)送域指定允許的IP段內(nèi)。2004年和2011年又先后起草并確認(rèn)了DKIM協(xié)議[8]，不僅可以檢查發(fā)件人身份信息，還能檢測(cè)發(fā)件內(nèi)容是否被篡改。隨后2015年頒布DMARC協(xié)議[9]為SPF和DKIM協(xié)議提供反饋機(jī)制。2016年IETF提出基于DNSSEC的DANE與DMARC協(xié)議[10-11]互相補(bǔ)充，確保安全擴(kuò)展協(xié)議檢測(cè)結(jié)果的正確性及通信雙方信道安全。2017年9月公安部、工信部、國家保密局聯(lián)合下發(fā)公信安[2017] 2615號(hào)文《黨政機(jī)關(guān)事業(yè)單位和國有企業(yè)互聯(lián)網(wǎng)電子郵件系統(tǒng)安全專項(xiàng)整治行動(dòng)方案》通知，通知中明確本行動(dòng)的具體要求：“依托國家電子外網(wǎng)按照統(tǒng)一標(biāo)準(zhǔn)建設(shè)安全電子郵件系統(tǒng)，實(shí)現(xiàn)加密互通”。2017年10月16日，美國國土安全部要求所有運(yùn)營(yíng).gov 郵箱域名的聯(lián)邦機(jī)構(gòu)必須在90天內(nèi)實(shí)施DMARC“監(jiān)控”政策。2018年6月公安部針對(duì)郵件系統(tǒng)安全發(fā)布了公信安[ 2018] 1606號(hào)文《黨政機(jī)關(guān)事業(yè)單位和國有企業(yè)互聯(lián)網(wǎng)電子郵件系統(tǒng)安全等級(jí)保護(hù)擴(kuò)展要求（試行）》，要求電子郵件應(yīng)滿足《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，多次提到“應(yīng)使用國產(chǎn)密碼技術(shù)”來保障郵件傳輸和存儲(chǔ)中安全性。

為了提供電子郵件系統(tǒng)的安全性，業(yè)界提出并標(biāo)準(zhǔn)化了多種安全擴(kuò)展協(xié)議。本文主要探究電子郵件安全擴(kuò)展協(xié)議部署情況，由于DMARC是基于SPF和DKIM兩大主流電子郵件協(xié)議發(fā)展而來的，這里主要介紹DMARC協(xié)議相關(guān)概念。

DMARC協(xié)議綜合SPF和DKIM協(xié)議檢測(cè)結(jié)果提供3方面安全保障：①檢測(cè)發(fā)件人身份是否真實(shí)；②檢測(cè)郵件主要內(nèi)容是否被篡改；③將SPF/DKIM驗(yàn)證失敗的郵件信息發(fā)送到管理員郵箱做進(jìn)一步審查。DMARC記錄中包含3個(gè)重要參數(shù)，表示郵件接收者策略，其中，“none”表示域名所有者要求接收者接收所有的郵件；“quarantine”表示域名所有者希望郵件接收者將DMARC驗(yàn)證失敗的郵件標(biāo)記為可疑的；“reject”表示域名所有者希望郵件接收者拒絕接收DMARC驗(yàn)證失敗的郵件，如表1所示。

表1 DMARC記錄重要配置參數(shù)及含義

DMARC記錄相較于SPF和DKIM協(xié)議的最大不同在于，它會(huì)將發(fā)送域的IP檢測(cè)結(jié)果發(fā)送給相應(yīng)的發(fā)件域管理員郵箱，其中rua表示發(fā)送綜合反饋的郵件地址，ruf表示發(fā)送消息詳細(xì)故障信息的郵件地址。

2.2 電子郵件安全擴(kuò)展協(xié)議應(yīng)用研究

Durumeric等[12]通過分析2015年4月Gmail公開的傳入電子郵件頭部信息，發(fā)現(xiàn)通過SPF和DKIM協(xié)議檢測(cè)可以驗(yàn)證94%的傳入電子郵件身份信息。同時(shí)指出，在Alexa Top1 Million的郵箱域名中，只有47%的域名部署SPF策略，1%的域名提供DMARC策略；并且在指定了SPF的郵箱域中，有29%的域指定的 IP地址范圍過寬（覆蓋了數(shù)萬個(gè)地址）。Hu等[13]進(jìn)一步測(cè)量了郵件安全擴(kuò)展協(xié)議部署的有效性，并指出到2017年45.0%的域部署了有效的SPF協(xié)議，僅有4.6%的域部署了有效的DMARC協(xié)議。同時(shí)檢測(cè)了電子郵件服務(wù)提供商如何檢測(cè)和處理仿冒電子郵件，結(jié)果指出大部分電子郵件服務(wù)提供商仍允許仿冒的郵件進(jìn)入收件箱并且沒有任何警告信息。Hu等[14]隨后召集了9個(gè)電子郵件服務(wù)提供商管理員，采訪他們部署DMARC協(xié)議的情況，部署該協(xié)議帶來的價(jià)值以及為什么現(xiàn)在部署DMARC協(xié)議的域很少。結(jié)果指出，DKIM協(xié)議自身技術(shù)缺陷、實(shí)際部署DMARC成本高、風(fēng)險(xiǎn)大，是很多域未部署DMARC協(xié)議的主要原因。

然而，此類研究主要是針對(duì)Alexa Top1 Million的郵箱域名，缺乏針對(duì)特定企業(yè)類型尤其是郵件涉密率較高的政府機(jī)構(gòu)類的電子郵件服務(wù)提供商的安全擴(kuò)展協(xié)議采用率的研究。針對(duì)電子郵件服務(wù)提供商處理安全擴(kuò)展協(xié)議失敗的電子郵件的策略的研究，集中在域仿冒的情況下模擬端到端的網(wǎng)絡(luò)釣魚實(shí)驗(yàn)，分析的仿冒策略范圍較窄，缺乏控制單一變量分析不同仿冒策略對(duì)郵件服務(wù)提供商過濾欺詐郵件效果的影響。

3 電子郵件安全擴(kuò)展協(xié)議測(cè)量方法

電子郵件安全擴(kuò)展協(xié)議部署現(xiàn)狀分析包括兩部分：測(cè)量安全擴(kuò)展協(xié)議部署率和驗(yàn)證部署效果。為了獲得部署率，首先需要獲取郵箱域名，本文首先采用主被動(dòng)協(xié)同的方法采集郵箱域名，標(biāo)記郵箱域名屬性信息；然后在獲得部署率的基礎(chǔ)上，為了研究電子郵件安全擴(kuò)展協(xié)議部署策略，本文構(gòu)建屬性圖，關(guān)聯(lián)郵箱域名及屬性信息，提取屬性特征，標(biāo)記測(cè)量結(jié)果；最后，為了對(duì)部署實(shí)際效果進(jìn)行驗(yàn)證，本文基于域仿冒特征，構(gòu)建欺詐郵件評(píng)估模型，從郵件內(nèi)容仿冒、域仿冒、信頭仿冒3個(gè)維度對(duì)部署效果進(jìn)行了分析。

3.1 主被動(dòng)結(jié)合的郵箱域名精確標(biāo)識(shí)

1) 獲取原始數(shù)據(jù)。通過網(wǎng)絡(luò)爬蟲和被動(dòng)流量采集獲得原始數(shù)據(jù)origin_data，使用藍(lán)色長(zhǎng)方形標(biāo)記。網(wǎng)絡(luò)爬蟲的原始數(shù)據(jù)主要包括網(wǎng)站（企業(yè)）名稱company_name、URL、類別company_type等，被動(dòng)流量采集的原始數(shù)據(jù)為一個(gè)數(shù)據(jù)包P。

2) 提取有效數(shù)據(jù)。企業(yè)郵箱通常以網(wǎng)站hostname 后綴或聯(lián)系人郵箱域名后綴作為郵箱域名，因此從origin_data中提取hostname、connect_email等關(guān)鍵字段，從被動(dòng)流量數(shù)據(jù)包P中提取服務(wù)器標(biāo)識(shí)（SNI，server name indication）、from、to字段。在屬性圖中使用綠色六邊形表示。

圖1 郵箱域名標(biāo)識(shí)屬性圖（樣例1）

Figure 1 Property graph of e-mail domain identification (sample 1)

3.2 安全擴(kuò)展協(xié)議部署測(cè)量方法

安全擴(kuò)展協(xié)議的測(cè)量采用DNS解析實(shí)現(xiàn)，其測(cè)量難點(diǎn)主要由于一些郵件管理員不了解安全擴(kuò)展協(xié)議配置標(biāo)準(zhǔn)，配置時(shí)會(huì)出現(xiàn)亂碼或格式錯(cuò)誤，如大小寫問題、中英文符號(hào)問題等，給識(shí)別配置有效性帶來干擾。本文提取屬性圖中郵箱域名集合，通過查詢DNS返回結(jié)果解析郵箱域名安全擴(kuò)展協(xié)議采用的策略及配置有效性，具體步驟如下。

1) 發(fā)送請(qǐng)求。安全擴(kuò)展協(xié)議主要包括SPF、DKIM、DMARC這3個(gè)，因此依次向DNS服務(wù)器發(fā)起3個(gè)請(qǐng)求spf、dkim、dmarc，查詢郵箱域名的SPF、DKIM與DMARC記錄。

圖2 郵箱域名標(biāo)識(shí)屬性圖（樣例2）

Figure 2 Property graph of e-mail domain identification (sample 2)

3.3 端到端的電子郵件仿冒策略

為了檢測(cè)不同安全擴(kuò)展協(xié)議對(duì)電子郵件的發(fā)送結(jié)果的影響，本文依照不同維度，設(shè)計(jì)了三大類電子郵件仿冒策略，包括郵件內(nèi)容仿冒、域仿冒、信頭仿冒。為了增強(qiáng)實(shí)驗(yàn)結(jié)果的說服力，每種策略都會(huì)發(fā)送若干封正常郵件做對(duì)比實(shí)驗(yàn)。

（1）郵件內(nèi)容仿冒

電子郵件內(nèi)容仿冒主要包括空白郵件blank_email、垃圾郵件內(nèi)容spam、釣魚URL及病毒附件virus_attach。由于電子郵件內(nèi)容會(huì)影響垃圾郵件過濾器處理電子郵件的方式。不同的關(guān)鍵字對(duì)垃圾郵件過濾器的權(quán)重可能不同，從而影響測(cè)量結(jié)果，因此針對(duì)郵件內(nèi)容仿冒的每種形式分別發(fā)送5封郵件做實(shí)驗(yàn)，保證實(shí)驗(yàn)的準(zhǔn)確率。

（2）域仿冒

域仿冒策略是發(fā)件人通過遠(yuǎn)程訪問被攻擊郵箱的MX記錄指向的郵件服務(wù)器，無須賬戶密碼驗(yàn)證，直接仿冒mail from字段的發(fā)件人地址，模仿受信實(shí)體，將仿真郵件發(fā)送給接收者郵箱，進(jìn)行網(wǎng)絡(luò)釣魚，如圖3所示。域仿冒策略的發(fā)件域選擇主要采用以下7種形式：①?zèng)]有SPF、DMARC記錄；② SPF策略為“soft fail”、無DMARC記錄；③ SPF策略為“soft fail”、DMARC記錄為“none”；④ SPF策略為“soft fail”、DMARC記錄為“reject”；⑤ SPF策略為“fail”、無DMARC記錄；⑥ SPF策略為“fail”、DMARC記錄為“none”；⑦ SPF策略為“fail”、DMARC記錄為“reject”。

圖3 域仿冒發(fā)送電子郵件原理

Figure 3 The principle of sending e-mail by domain phishing

（3）信頭仿冒

信頭仿冒策略是發(fā)件人通過賬號(hào)密碼登錄自己的郵箱，仿冒郵件頭部from字段，將仿真郵件發(fā)送給接收者郵箱，進(jìn)行網(wǎng)絡(luò)釣魚，如圖4所示。由于接收人在接收郵件時(shí)只能看到信頭的發(fā)件人，而一般不會(huì)刻意檢查郵件頭部信息，也就無法了解真實(shí)的發(fā)件人，因而該手段也是黑客進(jìn)行網(wǎng)絡(luò)釣魚的一個(gè)策略。在設(shè)計(jì)欺騙郵件時(shí)，信頭仿冒主要采取了兩種形式：同域（如a@163.com仿冒為b@163.com）和不同域（如a@163.com仿冒為b@qq.com）。

4 電子郵件安全擴(kuò)展協(xié)議測(cè)量結(jié)果

4.1 電子郵件安全擴(kuò)展協(xié)議采用率

在政府機(jī)構(gòu)中電子郵件不僅承載著一種溝通的需要，更多的時(shí)候是作為一種發(fā)布告知及傳達(dá)國家機(jī)密消息的工具來使用，本節(jié)針對(duì)目前全球政府機(jī)構(gòu)電子郵件安全擴(kuò)展協(xié)議采用率做全面測(cè)量，分析電子郵件安全擴(kuò)展協(xié)議在政府機(jī)構(gòu)中的部署現(xiàn)狀，為電子郵件提供商檢測(cè)欺詐郵件策略提供背景。

圖4 信頭仿冒發(fā)送電子郵件原理

Figure 4 The principle of sending e-mail by letterhead phishing

4.1.1 數(shù)據(jù)集情況

基于多通道采集技術(shù)、主被動(dòng)結(jié)合，提取屬性圖中郵箱類別標(biāo)識(shí)為政府的郵箱域名節(jié)點(diǎn)。這些節(jié)點(diǎn)的數(shù)據(jù)分別來自：① Alexa網(wǎng)站，首先按類別獲得各國政府網(wǎng)站域名，再從Alexa排名前100萬的域名中，依據(jù)域名后綴特征提取各國政府域名（中國.gov.cn，美國.gov、.mil，日本.go.jp、.lg.jp，俄羅斯.gov.ru、.mid.ru、.mil.ru）；②各國政府官網(wǎng)，經(jīng)過郵件交換（MX，mail exchanger）記錄篩選，統(tǒng)計(jì)到的數(shù)據(jù)情況如表2所示。

表2 郵箱域名個(gè)數(shù)統(tǒng)計(jì)

4.1.2 測(cè)量結(jié)果

測(cè)量過程中，由于DKIM記錄需要提供每個(gè)域的選擇器信息，而選擇器信息僅出現(xiàn)在電子郵件頭部的DKIM簽名中，而非公共信息，因此本文不做大規(guī)模的DKIM測(cè)量。測(cè)量過程通過屬性圖標(biāo)識(shí)郵箱域名安全擴(kuò)展協(xié)議，分析各國政府機(jī)構(gòu)是否配置安全擴(kuò)展協(xié)議、采用的策略及配置有效性。

（1）SPF協(xié)議部署情況（如表3所示）

SPF協(xié)議部署率方面，中國政府機(jī)構(gòu)的郵件系統(tǒng)SPF協(xié)議部署率明顯偏低，僅有40%的域部署了SPF記錄，其他國家的SPF記錄配置率達(dá)到了70%以上，日本的政府郵件系統(tǒng)的SPF記錄配置率達(dá)到93.33%，配置率較高。

有效性方面，無效的SPF記錄一方面是管理員配置錯(cuò)誤，如將SPF記錄配置為DKIM或DMARC記錄，或未標(biāo)明SPF記錄版本號(hào)，或者SPF記錄配置為亂碼；另一方面是因?yàn)楣芾韱T配置時(shí)未采用“嚴(yán)格”策略，使接收者仍能接收到SPF檢測(cè)失敗的郵件。實(shí)驗(yàn)結(jié)果顯示，美國政府郵件系統(tǒng)的無效SPF記錄約7.68%，部署有效性較弱。

SPF記錄配置策略方面，中國的政府郵件系統(tǒng)都采取拒絕和標(biāo)記策略，正確配置了SPF策略的郵件系統(tǒng)都是嚴(yán)格有效的。美國的政府郵件系統(tǒng)SPF記錄配置上有10.17%采用了“?”的形式，這表示如果發(fā)送者的郵件服務(wù)器IP地址未命中mechanism中標(biāo)記的允許發(fā)送的IP地址范圍，也會(huì)送達(dá)收件人的郵箱中，這同樣存在安全隱患。

（2）DMARC協(xié)議部署情況（如表4所示）

總體上看，各國的DMARC記錄配置率都很低，尤其是日本的所有一級(jí)行政區(qū)政府郵件系統(tǒng)都沒配置DMARC記錄。美國和俄羅斯的DMARC協(xié)議部署率較其他國家相對(duì)高些，然而，部署率也不到30%，DMARC協(xié)議的部署需要引起各國郵件服務(wù)管理員的高度重視。

有效性方面，在配置了DMARC記錄的郵箱域名中，有9.28%的域名將DMARC記錄內(nèi)容配置成SPF記錄內(nèi)容，另有2.90%格式錯(cuò)誤，這些無效的DMARC記錄占比非常高。

DMARC記錄配置策略方面，目前配置了DMARC策略的郵件系統(tǒng)有40.71%的郵箱域名采用嚴(yán)格有效策略，絕大部分采用的是若SPF、DKIM檢測(cè)失敗，仍然將該郵件發(fā)到接收者郵箱，這并不代表該配置是不安全的，因?yàn)橹灰渲昧藃ua和ruf字段，管理員仍能看到這部分SPF或DKIM檢測(cè)失敗的發(fā)送域和IP。這樣配置是因?yàn)閾?dān)心SPF或DKIM錯(cuò)誤檢測(cè)的正常郵件退回，若反饋到管理員郵箱的某個(gè)IP地址超過一定次數(shù)，并確定該IP發(fā)送的郵件均為垃圾或釣魚郵件，再將其策略設(shè)置為“reject”。

4.2 端到端的電子郵件仿冒實(shí)驗(yàn)

電子郵件是網(wǎng)絡(luò)釣魚和社會(huì)工程攻擊的主要目標(biāo)。然而，根據(jù)4.1節(jié)電子郵件安全擴(kuò)展協(xié)議采用率的測(cè)量結(jié)果顯示，郵件服務(wù)提供商SPF和DMARC的采用率較低。另外，即使部署了安全擴(kuò)展協(xié)議，也有很多未采用嚴(yán)格有效的策略。對(duì)于電子郵件服務(wù)提供商來說，可靠地驗(yàn)證所有傳入電子郵件仍然是挑戰(zhàn)。下文將模擬端到端的電子郵件欺騙實(shí)驗(yàn)以檢測(cè)當(dāng)電子郵件欺詐檢測(cè)失敗時(shí)，電子郵件服務(wù)提供商會(huì)采取哪些措施應(yīng)對(duì)這些攻擊，如何在電子郵件傳遞和安全性之間進(jìn)行權(quán)衡。

表3 各國政府機(jī)構(gòu)SPF協(xié)議配置策略

表4 各國政府機(jī)構(gòu)DMARC協(xié)議配置策略

4.2.1數(shù)據(jù)集情況

本文選用常用電子郵箱進(jìn)行端到端的電子郵件仿冒實(shí)驗(yàn)，有3個(gè)原因：①據(jù)統(tǒng)計(jì)，超過10億用戶在注冊(cè)私人電子郵箱時(shí)首選公共電子郵件服務(wù)提供商，如Yahoo Mail和Gmail，它們的安全策略和設(shè)計(jì)選擇會(huì)影響更多的人；②很多政府機(jī)構(gòu)沒有專門的郵件服務(wù)管理員搭建管理自己的郵件系統(tǒng)，因而，普遍選擇租用公共郵件服務(wù)提供商的郵件服務(wù)器或直接使用公共郵箱收發(fā)郵件；③公共電子郵件服務(wù)對(duì)外開放，使用戶可以創(chuàng)建一個(gè)賬戶作為接收者，從接收端搜集數(shù)據(jù)分析。依據(jù)OnlineEmailVerify提供的全球Top100的常用郵箱列表，成功注冊(cè)其中的38個(gè)電子郵箱賬戶。實(shí)驗(yàn)中，將這38個(gè)郵箱賬戶作為電子郵件接收端，建立了一個(gè)實(shí)驗(yàn)服務(wù)器，將不同策略仿冒的電子郵件發(fā)送到接收者賬戶，如圖5所示。該服務(wù)器運(yùn)行Postfix郵件服務(wù)，使SMTP直接與目標(biāo)郵件服務(wù)器進(jìn)行交互。通過登錄這些郵箱賬戶觀察仿冒電子郵件接收結(jié)果，推斷目標(biāo)電子郵件服務(wù)提供商內(nèi)部的決策過程。

4.2.2 實(shí)驗(yàn)結(jié)果

表5展示了郵件服務(wù)提供商針對(duì)欺詐郵件入侵的響應(yīng)結(jié)果。其中○代表正常接收；∞代表該郵件進(jìn)入垃圾郵箱；?代表標(biāo)記代發(fā)；?代表拒絕接收。

圖5 端到端的欺騙郵件實(shí)驗(yàn)環(huán)境保護(hù)署

Figure 5 Experiment environment on end-to-end spoofing e-mail

實(shí)驗(yàn)結(jié)果顯示，除gmail.com、hotmail.com、tutanota.com外，其余35個(gè)郵箱都接收到至少一封仿冒郵件。

表5 郵件服務(wù)提供商仿冒郵件入侵響應(yīng)策略

（1）郵件內(nèi)容仿冒

在不仿冒域而正常發(fā)送欺詐郵件內(nèi)容攻擊電子郵件服務(wù)系統(tǒng)時(shí)，gmail和hotmail會(huì)拒收所有的惡意郵件，tutanota、inbox.lv會(huì)將惡意郵件放入垃圾郵箱。大部分郵箱可以正常接收所有的惡意郵件（即在收件箱中出現(xiàn)，且沒有惡意郵件標(biāo)記），尤其是釣魚URL和病毒附件這兩種情況。這表明電子郵件服務(wù)提供商使用的內(nèi)容過濾機(jī)制為了避免過濾掉正常郵件，涉及的垃圾郵件特征詞較少，或最終過濾參數(shù)值較低，造成收件箱收到大量垃圾郵件。

（2）域仿冒

使用域仿冒攻擊電子郵件服務(wù)系統(tǒng)時(shí)，SPF策略為“fail”，DMARC策略為“reject”時(shí)，郵件服務(wù)提供商大多啟動(dòng)響應(yīng)系統(tǒng)拒絕接收仿冒郵件。然而當(dāng)域仿冒沒有使用嚴(yán)格的安全擴(kuò)展協(xié)議策略時(shí)，有9個(gè)郵箱能正常接收到這些仿冒郵件且沒有任何標(biāo)記。而若發(fā)件域未配置任何安全擴(kuò)展協(xié)議時(shí)，有10個(gè)郵箱可以正常接收到這些郵件，還有6個(gè)郵箱會(huì)將其放入垃圾郵箱中。因而攻擊者非常喜歡仿冒未配置任何安全擴(kuò)展協(xié)議的郵箱域名作為仿冒的發(fā)件域發(fā)送欺詐郵件，以跳過接收端郵件服務(wù)提供商的欺詐檢測(cè)機(jī)制。實(shí)驗(yàn)過程中，還查看了這些郵箱的域仿冒郵件的頭部信息，發(fā)現(xiàn)大部分有Authentication-Results字段，并且對(duì)該郵件的檢測(cè)結(jié)果為欺詐檢測(cè)失敗或給予標(biāo)記，然而在該郵件信頭或信體并未發(fā)現(xiàn)任何提示信息。

（3）信頭仿冒

使用信頭仿冒攻擊電子郵件服務(wù)系統(tǒng)時(shí)，同域、不同域仿冒信頭，收件郵箱響應(yīng)策略基本相同。并且這些仿冒郵件的接收率明顯高于使用域仿冒策略的接收率，大部分郵件服務(wù)提供商采取將這些仿冒郵件放入垃圾郵箱或標(biāo)記提醒的策略。

4.2.3 結(jié)果分析

本文實(shí)驗(yàn)有4個(gè)關(guān)鍵發(fā)現(xiàn)。首先，大多數(shù)流行的電子郵件服務(wù)提供商具有檢測(cè)仿冒郵件的功能，但即使接收者執(zhí)行了所有安全擴(kuò)展協(xié)議檢查（SPF、DKIM、DMARC），仍然有允許仿冒的電子郵件進(jìn)入用戶收件箱。其次，通過接收到的電子郵件頭部信息發(fā)現(xiàn)即使電子郵件服務(wù)提供商檢測(cè)到仿冒郵件，且發(fā)件域配置了嚴(yán)格有效的策略，接收域也未必按照發(fā)件域給定的策略拒絕接收電子郵件或?qū)τ驒z測(cè)失敗的電子郵件進(jìn)行標(biāo)記。然后，就發(fā)送惡意郵件內(nèi)容而言，大部分郵件服務(wù)提供商為了防止過濾掉正常郵件，設(shè)置的基于內(nèi)容的垃圾郵件過濾策略強(qiáng)度很低，惡意郵件可以順利進(jìn)入用戶收件箱，由用戶對(duì)惡意郵件進(jìn)行人工判別。最后，一旦電子郵件服務(wù)提供商收到仿冒的電子郵件，大多數(shù)提供商在用戶收件箱界面不會(huì)向用戶發(fā)出警告。

5 電子郵件安全擴(kuò)展協(xié)議部署建議及對(duì)策

盡管電子郵件承載了一些用戶最敏感的信息，但傳統(tǒng)電子郵件協(xié)議最初并不包括對(duì)消息真實(shí)性的支持。在過去的20年中，郵件系統(tǒng)使用多種安全機(jī)制（包括SPF、DKIM和DMARC）對(duì)傳統(tǒng)電子郵件協(xié)議進(jìn)行了改進(jìn)。盡管這些身份檢測(cè)協(xié)議可以識(shí)別電子郵件發(fā)件人真實(shí)性及電子郵件內(nèi)容是否被篡改，但當(dāng)前配置嚴(yán)格有效的安全擴(kuò)展協(xié)議的郵箱域名較少，不能有效地防護(hù)釣魚郵件攻擊。為了強(qiáng)化電子郵件安全擴(kuò)展協(xié)議檢測(cè)技術(shù)的有效性，從而保護(hù)用戶免遭釣魚郵件攻擊，本節(jié)提出以下幾個(gè)電子郵件服務(wù)提供商防護(hù)建議。

1) 發(fā)布有效的SPF協(xié)議且SPF協(xié)議采用嚴(yán)格策略。結(jié)合相關(guān)RFC文件，部署SPF協(xié)議時(shí)建議使用“fail”或“softfail”策略，保證收到仿冒郵件時(shí)接收方可以有效過濾掉這些惡意郵件或?qū)υ撪]件標(biāo)注代發(fā)以警示接收者。

2) 發(fā)布有效的DMARC協(xié)議且標(biāo)明安全擴(kuò)展協(xié)議檢測(cè)失敗后通知警告的管理員郵箱。將仿冒郵件的發(fā)件人及使用的IP地址發(fā)送到管理員郵箱，以便管理員采取有效措施應(yīng)對(duì)仿冒郵件，將惡意發(fā)件人及IP地址加入黑名單，也可降低其他郵箱接收惡意郵件的概率。

3）嚴(yán)格檢查接入電子郵件的發(fā)件人身份信息。接收域的SMTP服務(wù)器實(shí)時(shí)監(jiān)控和安全掃描技術(shù)對(duì)接入電子郵件進(jìn)行安全檢測(cè)，確定電子郵件身份來源，發(fā)現(xiàn)電子郵件異常情況，識(shí)別可能發(fā)生的攻擊行為。嚴(yán)格采用發(fā)件域指定的策略過濾并提示電子郵件安全擴(kuò)展協(xié)議檢測(cè)失敗的電子郵件，及時(shí)過濾掉仿冒郵件并向發(fā)件域管理員郵箱發(fā)送安全檢測(cè)報(bào)告，將可疑IP列入黑名單。

4）收件箱界面給予用戶安全警告信息。當(dāng)接收域郵件服務(wù)器收到疑似欺詐郵件后，電子郵件服務(wù)提供商對(duì)該電子郵件應(yīng)采取顯著標(biāo)記，警告收件賬戶發(fā)件人使用的發(fā)件地址與真實(shí)發(fā)件地址不匹配，安全擴(kuò)展協(xié)議檢測(cè)失敗，根據(jù)關(guān)鍵詞匹配該郵件為垃圾郵件或釣魚郵件的概率是多少等，這樣，接收者可以及時(shí)發(fā)現(xiàn)并自我判斷該郵件是否為仿冒郵件，以減少被欺騙的可能。

6 結(jié)束語

盡管電子郵件中承載了大量用戶敏感信息，然而，按照最初的設(shè)想，SMTP協(xié)議（負(fù)責(zé)在郵件服務(wù)器之間中繼郵件的協(xié)議）不對(duì)發(fā)送方進(jìn)行欺詐檢測(cè)，相反，郵件服務(wù)提供商通過一些擴(kuò)展協(xié)議（SPF、DKIM、DMARC等）支持這些功能，確保郵件傳輸通信雙方的真實(shí)性。本文基于主被動(dòng)協(xié)同的方法，通過構(gòu)建屬性圖多表征融合標(biāo)識(shí)郵箱域名，分析政府機(jī)構(gòu)電子郵件服務(wù)提供商安全擴(kuò)展協(xié)議的部署現(xiàn)狀及仿冒郵件進(jìn)入用戶郵箱時(shí)，各郵箱給予的安全防護(hù)警告策略。實(shí)驗(yàn)結(jié)果表明，目前各國政府機(jī)構(gòu)安全擴(kuò)展協(xié)議采用率較低，尤其是DMARC協(xié)議，當(dāng)仿冒的電子郵件進(jìn)入用戶郵箱時(shí)，大多數(shù)電子郵件服務(wù)提供商缺少必要的警告機(jī)制來通知用戶。希望通過闡述安全郵件面臨的主要挑戰(zhàn)，郵件服務(wù)提供商管理員可以采用有效的郵件服務(wù)保護(hù)措施，提升郵件服務(wù)系統(tǒng)部署安全性，以保護(hù)用戶傳輸電子郵件的真實(shí)性，免受網(wǎng)絡(luò)釣魚攻擊。

[1] POSTEL J B. Request for comments: number 821 simple mail transfer protocol[M]. RFC Editor, 1982.

[2] FOSTER I D, LARSON J, MASICH M, et al. Security by any other name: on the effectiveness of provider based email security[C]//ACM Conference on Computer and Communications Security (CCS). 2015: 450-464.

[3] FREED N, BORENSTEIN N. Request for comments: number 2045 multipurpose internet mail extensions (MIME) part one: format of internet message bodies[M]. RFC Editor, 1996.

[4] ATKINS D, STALLINGS W, ZIMMERMANN P. Request for comments: number 1991PGP message exchange formats [M].RFC Editor, 1996.

[5] RAMSDELL B. Request for comments: number 2633 S/MIME version 3 message specification [M]. RFC Editor, 1999.

[6] HOFFMAN P E. Request for comments: number 3207 SMTP service extension for secure SMTP over transport layer security[M]. RFC Editor, 2002.

[7] KITTERMAN S. Request for comments: number 7208 sender policy framework (SPF) for authorizing use of domains in email, version 1[M]. RFC Editor, 2014.

[8] KUCHERAWY M, CROCKER D, HANSEN T. Request for comments: number 6376 domain keys identified mail (DKIM) signatures[M]. RFC Editor, 2001.

[9] KUCHERAWY M, ZWICKY E. Request for comments: number 7489 domain-based message authentication, reporting, and conformance (DMARC)[M]. RFC Editor, 2015.

[10] 柏宗超, 姚健康, 孔寧. 基于DANE的電子郵件安全研究[J]. 計(jì)算機(jī)系統(tǒng)應(yīng)用, 2018, 27(7): 73-79.

BAI Z C, YAO J K, KONG N. Research on email security based on DANE[J]. Computer System Application, 2018, 27(7): 73-79.

[11] HOFFMAN P, SCHLYTER J. Request for comments: number 6698 the DNS-based authentication of named entities (DANE) transport layer security (TLS) protocol: TLSA [M]. RFC Editor, 2012.

[12] DURUMERIC Z, ADRIAN D, MIRIAN A, et al. Neither snow nor rain nor MITM: an empirical analysis of email delivery security[C]//Internet Measurement Conference (IMC). 2015: 27-39.

[13] HU H, WANG G. End-to-end measurements of email spoo?ng attacks[C]//USENIX Security Symposium (USENIX Security). 2018: 1095-1112.

[14] HU H, PENG P, WANG G. Towards understanding the adoption of anti-spoofing protocols in email systems[C]//IEEE Secure Development Conference (SecDev). 2018: 94-101.

Analysis of security extension protocoline-mailsystem

SHANG Jingjing1,2,3, ZHU Yujia2,3, LIU Qingyun2,3

1. School of Cyber Security, University of Chinese Academy of Sciences, Beijing 100093,China 2. National Engineering Laboratory for Information Security Technologies, Beijing 100093, China 3. Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China

E-mail is the main entry point for hackers to launch network attacks.Impersonating a trusted entity is an important means of e-mail forged. An attribute graph based on the e-mail authentication mechanism was built to measure the global adoption rate of e-mail security extension protocols for government agencies. Research onthe deployment effect of security extension protocol was from three dimensions: e-mail content phishing, domain phishing, and letterhead phishing. The results show that about 70% of the SPF protocols are deployed in the mail systems of government agencies in various countries, and less than 30% of the DMARC protocol is deployed. The adoption rate of email identity detection is low. When forged e-mail gets in, the e-mail providers' warning mechanism for counterfeit emails need to be improved.

e-mail, security extension protocol, DKIM, SPF, DMARC

s: Chinese Academy of Sciences Strategic Pilot Project (XDC02030000), National Key R & D Program (2016YFB0801300)

TP393

A

10.11959/j.issn.2096?109x.2020083

尚菁菁（1995? ），女，北京人，中國科學(xué)院大學(xué)碩士生，主要研究方向?yàn)榫W(wǎng)絡(luò)空間安全。

朱宇佳（1984? ），女，江蘇無錫人，博士，中國科學(xué)院信息工程研究所高級(jí)工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)空間測(cè)繪、安全態(tài)勢(shì)感知技術(shù)。

劉慶云（1980? ），男，河北人，博士，中國科學(xué)院信息工程研究所高級(jí)工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)空間測(cè)繪、網(wǎng)絡(luò)空間安全。

論文引用格式：尚菁菁, 朱宇佳, 劉慶云. 電子郵件安全擴(kuò)展協(xié)議應(yīng)用分析[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2020, 6(6): 69-79.

SHANG J J, ZHU Y J, LIU Q Y. Analysis of security extension protocol in e-mail system[J]. Chinese Journal of Network and Information Security, 2020, 6(6): 69-79.

2020?05?06；

2020?07?03

朱宇佳，zhuyujia@iie.ac.cn

中國科學(xué)院戰(zhàn)略性先導(dǎo)科技專項(xiàng)（XDC02030000）；國家重點(diǎn)研發(fā)計(jì)劃（2016YFB0801300）