瑞星专家详解伪造邮件攻击和防范措施

    SMTP（Simple Mail Transfer Protocol）协议，即简单邮件传输协议，是定义邮件传输的协议，它是基于TCP服务的应用层协议，用户通过SMTP协议所指定的服务器就可以把邮件发送到收件人的服务器上。其邮件传输过程共分为三个阶段：建立连接、传输数据和关闭连接。

    由于传输数据的阶段是人为可控的，所以就会出现人为控制传输数据中发件人、发送的信息实现的伪造邮件攻击。数据传输过程中，SMTP协议主要是通过以下五个主要命令实现的。

    a)Helo：与SMTP服务器处理邮件的进程开始通信。
    b)Mail from：邮件发件人的信息，即黑客伪造的发件人地址信息。
    c)Rcpt to：邮件接收人得信息，即黑客发送伪造邮件的目的邮箱地址。
    d)Data：邮件正文内容。
    e)Quit：退出邮件。

    这些命令封装在应用程序中，对用户是隐藏的，用户在发送邮件过程中不会察觉这些命令的使用。

    通过分析SMTP协议工作过程中的主要过程我们了解到，发件人的信息、邮件正文信息均是在发送过程中人为可控的数据，也就解释了为什么我们之前使用deadfake网站和Advanced Direct Remailer软件可以实现随意伪造发件人的地址和邮件正文信息，那么我们结合SMTP传输过程中的主要命令，在Advanced Direct Remailer软件环境来具体了解一下邮件发送的过程。

    首先，我们通过telnet连接SMTP服务器的25端口。输入命令为telnet 127.0.0.1 25，然后我们看到SMTP服务器返回给我们的信息，然后我们依次输入刚刚介绍的数据传输中的命令，如下图11所示。

    其中，
    HELO tencent.com表示伪造的主机域名信息为tencent.com。
    MAIL FROM: service@tencent.com表示伪造的发件人信息为service@tencent.com。
    RCPT TO: xxx@xxxx.com表示发送的目标邮箱地址为xxx@xxxx.com
DATA表示开始输入邮件正文内容
    smtp command test表示邮件的正文内容
    .表示输入结束

    输入完成以后即可发现在Advanced Direct Remailer软件中提示有一封邮件等待发送，如下图12所示，我们点击菜单栏中的播放按钮即可实现该对邮件的发送。

    如何防范伪造邮件攻击

    通过上述对伪造邮件攻击方法及原理的分析和描述，我们了解到，发件人地址是可以进行伪造的。所以瑞星安全专家建议广大网民，在收到涉及敏感信息的邮件时，要对邮件内容和发件人信息进行仔细的确认，防范可能存在的伪造邮件攻击行为。主要的防范方法可以分为以下几种：

    1.通过邮件信息确定邮件发送者的真实IP信息。虽然发件人地址是可以伪造的，但是对方的真实IP地址信息却可以，用户可以通过分析IP地址信息来确定是否受到伪造邮件攻击，如下图13所示。

    2. 安装网络安全防护软件。黑客通过伪造邮件攻击的方式攻击收件人，很大一部分是通过邮件中的钓鱼网站窃取用户隐私。只要用户安装了网络安全防护软件，如瑞星个人防火墙或瑞星全功能安全软件等，就可以对钓鱼网站或钓鱼行为的识别和拦截，有效防止通过伪造邮件实施的钓鱼攻击。

    3. 通过与发件人直接线下沟通的方式。一旦收到亲友、同事发出的可以邮件，最好在线下确认邮件内容的真实有效，再执行相应的操作，以免受到恶意伪造邮件攻击，造成不必要的损失。

    伪造邮件攻击是很常见的一种黑客攻击手法，但是目前还没有针对该种类型攻击的完美解决方案。瑞星安全专家提醒广大用户，在已有的防范钓鱼邮件、钓鱼网站攻击的基础上，借助本文描述的防范伪造邮件攻击的方法，当收到疑似伪造邮件攻击时，对邮件信息进行仔细辨认，远离伪造邮件攻击的危害。<