第199期 / May 5, 2014

研發新視界

分享到臉書!分享到維特!分享到噗浪!分享到Google+!分享到微博!轉寄友人友善列印

企業網路安全議題: 垃圾郵件(SPAM)探討

作者/李明駿

[發表日期:2014/4/18]

前言

隨著網際網路的快速發展,快捷便利且成本低廉的網路電子郵件取代了傳統的聯絡方式,替人類社會帶來許多有益的幫助,但並非所有的網路電子郵件帶來的影響都是正面的,因網路電子郵件衍生出來的安全問題-垃圾郵件(SPAM),將在此被提出來探討。


《圖一》各式垃圾郵件的主旨


什麼是垃圾郵件呢?垃圾郵件表示未經請求而發送的電子郵件,那些發送的電子郵件收件者並不希望收到而且也沒有訂閱過,但卻被強行塞入收件者的信箱中。例如:未經發送人請求而發送的商業廣告、產品介紹或非法的電子郵件都在此範圍內。而垃圾郵件的主旨可能是任何形式,如圖一所示。垃圾郵件又被細分為四個部分:
  • 收件人事先沒有踢出要求或者同意接收的廣告、電子刊物、各種形式的宣傳品等宣傳性的電子郵件。


  • 收件人無法拒收的電子郵件。


  • 隱藏發件人身份、地址、標題等信息的電子郵件。


  • 有虛假的信息源、發件人、路由等信息的電子郵件。

為什麼垃圾郵件發送者(SPAMMER)會擁有電子郵件呢?主要途徑有以下四種:
  • 字典式攻擊:

    垃圾郵件發送者將常見的英文名字挑選出來後進行排列組合,再搭配擁有最多會員人數的電子郵件服務系統商的郵件地址,最後完成大量數目的電子郵件組合並將這些郵件寄出。搭配最多會員人數的電子郵件服務系統商能將電子郵件命中率提高,但是無法百分之百的完全配對成功。


  • 名單被販賣:

    當線上使用者註冊網站會員或是填寫問卷,通常都會留下個人的郵件地址,網站的管理者可能會將這些電子郵件名單儲存下來,偷偷販賣給垃圾郵件發送者,依照名單數量多寡賺取價格不等的額外暴利。圖二為某知名網站的註冊需求格式。


  • 自動蒐集程式:

    如果線上使用者將郵件地址公開在網路上(例如:網路論壇、部落格和社群網站等),可能會被意圖不軌的人士透過自動蒐集程式將郵件地址資料蒐集起來。


  • 轉寄郵件洩漏:

    當電子郵件轉寄時,電子郵件系統會將原本的收件者附加在郵件中,導致每一次寄送時,收件者地址就像滾雪球般越滾越大,如此一來,便會使得線上使用者或其寄送出去的郵件地址暴露給其他使用者。



《圖二》某網路論壇的註冊格式


《圖三》某社群網站提供的個人資料


《圖四》附加在郵件中的收件者


對企業的影響

根據Symantec的統計,北美是垃圾郵件最大的發信地,有79.9%的垃圾郵件是由北美寄出,9.3%由歐洲寄出,7.6%由亞洲寄出。而在亞太地區的垃圾郵件中,有34%是由中國寄出,30%由韓國寄出,14%由紐西蘭寄出,8%由日本寄出,4%由香港寄出,4%由臺灣寄出,如果是依照郵件內容分類的話,產品、成人及財務金融大約各占20%,網路、休閒及保健約各占10%。對企業而言,垃圾郵件會增加資訊安全風險和IT支出,並導致員工生產力下降。許多垃圾郵件帶有蠕蟲、木馬及惡意程式,如果員工不小心點選這些郵件,很可能會造成企業內部的機密資料外洩。此外,當企業的郵件伺服器主機遭垃圾郵件攻擊時,可能造成效能下降、儲存空間不足及網路頻光擁擠等問題,導致企業勢必花費更多資金在增購設備上面。而垃圾郵件泛濫不僅直接影響到企業,也影響到企業外部網際網路的正常運作,ISP、入口網站和電子郵件服務系統商也同樣受到垃圾郵件攻擊的間接影響,必須購買更好的伺服器主機、儲存設備、電子郵件過濾軟體及擴增網路頻寬,才能應付日益增加的垃圾郵件。根據國內ISP業者的統計,垃圾郵件佔總郵件數量的90%,約需佔用85%的儲存空間。垃圾郵件所造成的金錢損失方面,根據聯合國國際電信聯盟估計,垃圾郵件每年讓企業損失數十億美金。

因為垃圾郵件的危害如此嚴重,所以世界各國紛紛制定專門的法律給以管制,依照法律屬性的不同,可以將之區分為「選擇加入」(opt-in)及「選擇退出」(opt- out)兩種。選擇加入要求必須事先取得收信人同意後才能寄發商業電子郵件,例如:歐盟的「隱私與電子通訊指令」(Directive on Privacy and Electronic Communications, 2002/58/EC)、英國的「隱私與電子通訊條例」(The Privacy and Electronic Communications Regulation 2003)和澳洲的「垃圾郵件法」(SPAM Act 2003);選擇退出則要求在郵件中附加退訂機制才允許發送,美國的「垃圾郵件管制法」(CAN-SPAM Act of 2003)及日本的「特定電子郵件傳送標準化法」皆屬於此種屬性。

2010年時,全球大約兩百萬台個人電腦被惡意駭客控制,包括英國和美國政府部門的電腦在內。尤其英國政府部門一年內被感染兩次,成為僵屍網路(Botnet)的一部分。這些受感染的電腦主要是因為垃圾電子郵件的弱點而導致電腦受感染,被駭客控制並且成為駭客的跳板。一旦一台電腦被感染而加入僵屍網路,就會受到駭客控制下載其他電子郵件、讓駭客可以閱讀個人隱私或是企業內部高機密的電子郵件、複製機密檔案、紀錄鍵盤操作的密碼、散發垃圾郵件。當一台電腦成為僵屍網路的一部分,同一個網段上的其它電腦也有受感染的危險。而這些網路駭客在俄羅斯的一個駭客論壇上出售受感染電腦的控制資料,每筆販售一千台電腦資料,售價大約50美元到100美元。企業內部的機密資訊很可能就這樣被競爭對手取得,造成企業網路應用上的安全漏洞。

現有的解決方案

目前垃圾郵件之所以能夠如此猖獗,與電子郵件本身的SMTP(簡單郵件傳輸協定)協定缺陷有關,簡單郵件傳輸協定本身是一個簡化的郵件遞交協議,缺乏必要的身份認證機制,這便是造成垃圾郵件氾濫的原因之一,由於一般SMTP允許發送者以其他人的名義發送郵件,因此讓有心人士有機可趁,能輕易偽造郵件位址與被偉造者的特徵資訊,使得發現並制止垃圾郵件的傳播上造成極大的困難,為了解決認定電子郵件真實來源的問題,而出現了各種解決方案。

一、委外服務:

假如企業現在想要將郵件委外管理,可以考慮同時具備防毒和防垃圾郵件的電子郵件代管服務廠商。例如:Seednet的企業郵件安全服務,用戶可以快速建置自己企業的郵件信箱,同時又能受到線上安全保護,免於病毒和垃圾郵件的困擾;想要保有郵件伺服器的完整控制權,自行架設、管理、維護,則可以選擇專門針對郵件過濾的安全管理服務(MSS),例如:IBM與MessageLabs合作的網際網路郵件安全代管服務,企業只要將電子郵件進出的閘道設成MessageLabs的全球控管中心,就可以應用此項服務。

二、垃圾郵件黑名單:

就是把一些已經確認的垃圾郵件發送IP或郵件地址收集起來,用來過濾垃圾郵件。目前國外已有很多反垃圾郵件組織成立,專門收集垃圾郵件黑名單,提供給企業或是網路服務商當作參考,這樣的組織有MAPS、Spamhaus等。

三、封鎖郵件內容:

除了黑名單外,員工個人可以在發現有特定的對象在發送垃圾郵件時,自行將此對象加入「拒絕名單」,讓這個郵件地址所發送的郵件被自動移到垃圾郵件夾中。電子郵件中的內容可能圖文並茂,當使用者讀取該封電子郵件時,藉由內嵌與法所連結的圖片會自動載入,方便使用者讀取。但是,這個不經意的連結步驟,卻會被垃圾郵件發送者拿來當作偷偷偵測這個郵件地址是否有效的依據。垃圾郵件發送者便會把這個郵件地址列入「發送有效名單」,之後就會一直持續收到垃圾郵件。所以,如果想有效避免這樣的狀況發生,可以將郵件伺服器預設為「不顯示任何圖片」,如此便能避免企業員工的電子郵件被垃圾郵件者列入發送有效名單之中。

四、灰名單技術(Greylist):

灰名單技術所使用的概念是,不管來源位址或發送者為何,一律拒收對方的第一封郵件,回應SMTP臨時性錯誤訊息,若一段時間後再次接收到相同位址與收件人之郵件,則視為合法郵件而接收。因為大部分的電子郵件伺服器均具有黑名單,但實施起來相當冗長麻煩,需要郵件管理者及內部使用者的配合操作,建立永久性的拒絕名單或允許名單,只要是有列在黑名單上的使用者,電子郵件伺服器就會毫不考慮地拒絕對方所寄送過來的郵件。一般而言垃圾郵件發送者所使用的惡意發送程式為了達到最快的發送效益,在發送郵件之後並不會理會遠端電子郵件主機是否有正確接收郵件,如果遭遇到回應錯誤時根本不會再重送,而正常的電子郵件伺服器發送郵件後,若遠端電子郵件伺服器回應SMTP臨時性錯誤,則會依據郵件系統設定的重送間隔時間進行郵件重送的動作。但是,灰名單技術不可避免的會造成郵件延遲問題,正確接收到郵件的時間會視電子郵件發送端重送間隔時間的設置而有所不同,可能等待時間由數分鐘到數小時不等,對郵件時效性較要求的企業可能不適用此技術。

五、發送方策略框架(SPF):

SPF是Sender Policy Framework的縮寫,主要被用來解決偽冒電子郵件的問題,加入SPF紀錄的電子郵件伺服器可以降低被當成垃圾郵件的風險,主要概念為定義宣告網域的發信IP (SPF記錄),接收郵件端會根據SPF記錄來確定連接過來的IP郵件地址是否被包含在SPF記錄裡面,如果此郵件地址確實包含在其中,則認為是一封正確的郵件,否則就認為是一封偽造的郵件。流程如圖五所示。


《圖五》發送方策略框架(SPF)流程圖


結論

隨著電子郵件的快速發展與廣泛應用,改變了舊有溝通管道的方式也改善了傳統效率不彰的傳送方式,但隨著便利而來的是有心人士的不當使用與攻擊威脅,因為電子郵件發送後幾乎可即時到達,比任何傳統快遞更加快速便利,使得垃圾郵件的負面影響效果更加無遠弗屆,在垃圾郵件的攻擊與防範技術之間,除了企業郵件伺服器管理者在防堵技術方面所做的努力外,員工也必須增進自我的基本網路知識,才能達成防範未然的效果。

參考資料

1.中國互聯網協會,反垃圾郵件規範。
2.立法院國會圖書館,外國法案介紹。
3.陳思廷、郭佳玟、黃菁甯、林雅慧,『垃圾郵件國際立法趨勢』。
4.林政雄,『企業的電子郵件安全』,麟瑞科技股份有限公司網站。
5.林有信,『垃圾信盯上你了嗎?』,Yahoo!奇摩電子信箱使用交流部落格。
6.“Definitions of Spam on the Web”, 萬千英語族網站,科技頻道。