將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2013/11/6

簡易調校mail server設定 降低駭客利用入侵風險

幫郵件伺服器簡單健檢 避免成為垃圾信跳板

高銘鍾
郵件伺服器出現安全漏洞,除了會讓企業商譽受損外,若被用於攻擊,或透過郵件伺服器洩密,都可能會有相關的法律責任,因此企業不可不慎!本文由ASRC列舉幾個郵件伺服器常見問題,供企業對自身的郵件伺服器做一個簡單的健檢。
您是郵件伺服器的管理者嗎?您的郵件伺服器安全嗎?據ASRC亞太垃圾訊息研究中心的觀察,被列入垃圾郵件過濾國際黑名單(Real-time Blackhole List,RBL)的企業郵件伺服器,在2013年有明顯增多的趨勢。

細究被列入黑名單的原因,不外乎是企業郵件伺服器出現了一些漏洞被有心人士利用,而成為垃圾郵件發送主機或各種攻擊跳板。

郵件伺服器出現安全漏洞,除了會讓企業商譽受損外,若被用於攻擊,或透過郵件伺服器洩密,都可能會有相關的法律責任,因此企業不可不慎!本文由ASRC列舉幾個郵件伺服器常見問題,供企業對自身的郵件伺服器做一個簡單的健檢。

目錄蒐集攻擊DHA弱點

許多郵件伺服器預設的狀態會在寄件人進行送信之前,先檢查內部使用者的清單,並且對寄信的伺服器做出回應。如果寄信人要求送信的對象不存在,那麼便會回應使用者不存在;反之則回應存在並且可以繼續之後的送信過程,或是接受寄信伺服器輸入下一位收信人,如圖1所示。

若有心人士事先準備好一份常用收件者帳號的字典檔,並且依序對郵件伺服器嘗試詢問收信者是否存在的時候,便可以根據郵件伺服器的回應整理出一份有效的收信人清單,這個攻擊手法便是目錄蒐集攻擊(Directory Harvest Attack,DHA)手法。


▲圖1 郵件伺服器預設會回應使用者是否存在的訊息。


要防範此種攻擊的方式,必須將這個回應功能做關閉,或做一些進階的保護,比方一律回應使用者存在。實作的方法非常多,市面上也有相關產品能提供此類防護。

避免洩漏伺服器版本資訊

若希望攻擊一台郵件伺服器,首先要知道它存在哪些弱點,進而根據這個弱點進行攻擊,才較容易成功。

要知道存在的弱點,就需要先知道該郵件伺服器的種類及版本,如果版本剛好不是最新版,並存在已被揭露的重大弱點,那曝露於外的郵件伺服器就會顯得相當危險。尤其是許多郵件伺服器預設在連線時就會顯示出相關的版本資訊(圖2),這無疑是有心人士在發動攻擊前的一項重要參考指標。


▲圖2 一連上郵件伺服器,即可見郵件伺服器的種類及版本。


要減低風險,除了必須定時對郵件伺服器進行漏洞的更新修補外,隱藏郵件伺服器種類與版本訊息也是一種加成的防護措施。

Sendmail是一款廣受歡迎的免費郵件伺服器架設軟體,以sendmail為例,只需要修改sendmail.cf這個設定檔中的SmtpGreetingMessage即可。

為了謹慎起見,建議也將Help指令的提示內容清空比較保險,以Linux上架設的sendmail為例,Help指令會顯示的的資料路徑在「/etc/mail/helpfile」。


▲圖3 郵件伺服器的種類及版本及Help中的訊息,經調整後皆被隱藏。


防範密碼猜測暴力破解

在透過郵件伺服器收發郵件前,須先以一組帳號與密碼進行身份認證,通過身份認證者將合法的取得郵件伺服器合理的使用權限,因此使用者的帳號與密碼設定,就需要格外謹慎。

前述提及的DHA弱點保護,可避免郵件伺服器上的帳號大量洩露,可降低密碼被猜測的風險。但對於公開或常見的電子郵件帳號,就只能透過密碼進行保護了。

許多使用者為了怕密碼忘記,所以會將密碼設得非常簡單,例如12345,部份企業為方便使用者存取內部服務,還提供單一登入(Single sign-on)的服務架構:即透過帳號密碼認證一次成功後,可存取多種企業內部服務。如果內部有一個使用者的密碼是12345,很可能就讓整個企業曝露在相當高的風險之中。

 
12
這篇文章讓你覺得滿意不滿意
送出
相關文章
共享威脅情資 建立安全洞察力
串聯FireEye與Ixia技術 零壹推整合資安方案
掌握最新攻擊手法 主動反制控管風險環節
瀚錸科技宣布代理 SecureCircle 資安解決方案
安碁資訊結盟泰國SI業者 拓展國際服務版圖
留言
顯示暱稱:
留言內容:
送出