五招輕松應(yīng)對郵件服務(wù)器攻擊

加固郵件服務(wù)器，首先在它前面安裝郵件過濾網(wǎng)絡(luò)工具，或者使用被管理的郵件過濾服務(wù)將有助于減輕來自垃圾郵件發(fā)送者和其它途徑的攻擊。

隨著針對最終用戶和他們的桌面系統(tǒng)的攻擊日漸增多，直接攻擊郵件服務(wù)器的情況有所減少(雖然這種減少是相對的)。但是，服務(wù)器仍然是脆弱的，因為攻擊者不斷發(fā)現(xiàn)微軟的EXChange server甚至Sendmail的漏洞。下面來看兩個常見的攻擊，以及減少或終止郵件服務(wù)器遭受這些攻擊的方法。

根源之一：緩沖區(qū)溢出漏洞

當(dāng)一個軟件程序，如郵件服務(wù)器軟件，在一個數(shù)據(jù)緩沖區(qū)中存儲了超過最初允許量的更多的數(shù)據(jù)，并且未曾防備始料未及的輸入時，就會發(fā)生緩沖區(qū)溢出。攻擊者可以利用這個缺陷讓郵件服務(wù)器執(zhí)行它未計劃執(zhí)行的其它程序。如果郵件服務(wù)器的運行享有特權(quán)的話，就會危及到整個系統(tǒng)的安全。即便郵件服務(wù)器不享有特權(quán)，攻擊者還是能夠危及它的安全，并獲得對它的資源的完全控制權(quán)限。

雖然緩沖區(qū)溢出是由于偶然的編程錯誤導(dǎo)致的，但是它對于數(shù)據(jù)完整性而言卻是一種很常見的安全漏洞。當(dāng)發(fā)生緩沖區(qū)溢出情況時，多余的數(shù)據(jù)會包含被設(shè)計用于觸發(fā)特定行為的代碼，如：向被攻擊的服務(wù)器發(fā)送可能損壞用戶文件、修改數(shù)據(jù)或暴露絕密信息的新指令。

過去攻擊者常常利用緩沖區(qū)溢出漏洞使蠕蟲在因特網(wǎng)上不同的服務(wù)器之間穿行，從而證明他們的本領(lǐng)。但是近來，緩沖區(qū)溢出漏洞有了更明確的目標。它們讓攻擊者危及郵件服務(wù)器的安全，以便接下來它們能夠利用郵件服務(wù)器來發(fā)送垃圾郵件。

這種攻擊會導(dǎo)致兩個嚴重后果。首先，郵件服務(wù)器被危及安全意味著攻擊者可以閱讀公司的來往郵件。結(jié)果可能是災(zāi)難性的。其次，攻擊者可以使用公司的服務(wù)器資源發(fā)送垃圾郵件。這種情況會給公司帶來壞名聲，并違反ISP合同，常常意味著服務(wù)終止。

加固郵件服務(wù)器(以及任何其它公共服務(wù)器)，防止緩沖區(qū)溢出漏洞和其它形式的攻擊是非常重要的。還可以采取其它一些保護措施。

應(yīng)對之一：服務(wù)器加固

減少郵件服務(wù)器的安全受到威脅的機會的最好方式就是加固郵件服務(wù)器本身。在任何情況下，加固都值得努力做出。在加固過的服務(wù)器上，特別是那些因特網(wǎng)上的服務(wù)器，很少有服務(wù)會被漏洞攻擊到，那些服務(wù)通常是被“區(qū)別對待” 的。加固通常需要采取如下措施：

• 從物理上保證計算機的安全;

• 更新操作系統(tǒng)和應(yīng)用軟件;

• 啟用日志，記錄管理員訪問和使用資源的操作;

• 刪除不必要的應(yīng)用程序、服務(wù)和工具;

• 啟用本地防火墻服務(wù);

• 限制有特權(quán)賬號的使用。

通過加固服務(wù)器，可以大大減少它們的薄弱環(huán)節(jié)。但僅僅加固郵件服務(wù)器通常是不夠的。更好的解決方案是在加固服務(wù)器的同時，在郵件實際抵達服務(wù)器之前提供額外的對郵件通訊的過濾。

可以通過使用網(wǎng)絡(luò)工具、管理服務(wù)和集成到現(xiàn)存的郵件系統(tǒng)(如：微軟的EXChange)中的軟件來預(yù)先對郵件通訊進行過濾。切記防御要分成不同的層次——例如：加固內(nèi)部郵件服務(wù)器，同時為保護周邊環(huán)境而部署已被供應(yīng)商加固的網(wǎng)絡(luò)工具。

應(yīng)對之二：網(wǎng)絡(luò)工具

郵件過濾網(wǎng)絡(luò)工具是部署在內(nèi)部郵件服務(wù)器前面的。這些工具通常提供兩種類型的防火墻：包過濾防火墻和應(yīng)用級防火墻。作為包過濾防火墻的網(wǎng)絡(luò)工具只允許到郵件服務(wù)(如：SMTP，通常是POP3和IMAP)所使用的端口的有效TCP/IP通訊。作為應(yīng)用級防火墻的工具確保發(fā)送服務(wù)器正確地使用SMTP，并遵循相關(guān)的IEEE Requests for Comments(RFCS)和慣例(如：支持反向DNS設(shè)置)。

網(wǎng)絡(luò)工具由于這樣幾個原因而不易受到攻擊。首先，絕大多數(shù)工具都運行在高度定制的操作系統(tǒng)上。這些操作系統(tǒng)已經(jīng)將絕大多數(shù)可能使攻擊者立足的額外服務(wù)禁止掉了(或者從最開始就專門為工具的使用而對操作系統(tǒng)進行了定制)。

其次，工程師們在加固工具時嚴格遵守最佳實踐。

最后，一個工具只允許進出郵件服務(wù)器的限定類型的通訊(即與郵件傳輸相關(guān)的通訊)，甚至這類通訊都要經(jīng)過仔細的檢查。

應(yīng)對之三：被管理的服務(wù)

采用被管理的服務(wù)，所有的郵件都先被發(fā)送到一個過濾郵件的offsite服務(wù)中，這個服務(wù)隨后將有效的郵件轉(zhuǎn)發(fā)到公司的郵件服務(wù)器。

要運用這個策略有效地防止直接使用郵件協(xié)議的攻擊，內(nèi)部郵件服務(wù)器必須只接收被管理的服務(wù)發(fā)起的連接，而不接收任何其它連接。但是這些服務(wù)只對進入的郵件通訊有效。出去的郵件通訊還是直接被發(fā)送到因特網(wǎng)上的其它服務(wù)器，從而激活使用郵件協(xié)議的可能漏洞(例如：在SMTP傳輸過程中一個接收郵件服務(wù)器會攻擊發(fā)送郵件服務(wù)器軟件中的緩沖區(qū)溢出漏洞)。

應(yīng)對之四：集成軟件

最后，可以安裝集成軟件來幫助保護郵件服務(wù)器。這個安裝在本地的軟件能防范網(wǎng)絡(luò)攻擊，使服務(wù)器更穩(wěn)固。集成軟件通常運行在應(yīng)用層(即SMTP)來保護服務(wù)器免受漏洞攻擊。一些集成軟件用一個定制的加固版本代替服務(wù)器本地的TCP/IP棧。

但是，更為常見的是本地過濾軟件和郵件軟件合作，而不是在郵件軟件和外部系統(tǒng)之間建立一堵墻。當(dāng)攻擊者可以直接訪問到郵件服務(wù)器時(例如：如果一個內(nèi)部的可信任的用戶發(fā)起攻擊)，采用這種方法的集成軟件就能夠發(fā)揮作用。

應(yīng)對五：拒絕服務(wù)攻擊和目錄收集攻擊

拒絕服務(wù)(Denia1 of Service，DoS)攻擊會降低目標系統(tǒng)的能力。比方說一個郵件服務(wù)器，攻擊者試圖放慢它或者把它搞癱瘓。攻擊者以幾種方式發(fā)起拒絕服務(wù)攻擊，包括消耗網(wǎng)絡(luò)資源和發(fā)起目錄收集攻擊。

當(dāng)攻擊者通過網(wǎng)絡(luò)資源消耗實施拒絕服務(wù)攻擊時，攻擊常常集中在消耗目標機器的所有可獲得的進入連接上。因為SMTP是一個TCP協(xié)議，一個成功的漏洞攻擊只要求攻擊者請求的TCP連接的數(shù)目比能夠獲得的TCP連接數(shù)更多。也就是說，攻擊者創(chuàng)建比郵件服務(wù)器所能處理的連接數(shù)更多的指向郵件服務(wù)器的連接。這樣郵件服務(wù)器就不能再接受來自合法的郵件服務(wù)器的有效的進入連接了。

幾乎找不到什么基于服務(wù)器的解決方案能夠防止拒絕安全服務(wù)攻擊。大多數(shù)郵件服務(wù)器運行在通常用途的操作系統(tǒng)上，這些操作系統(tǒng)不會為防止拒絕服務(wù)攻擊而做調(diào)整。即使在一個加固過的UNIX系統(tǒng)上，要提高服務(wù)器耐受大量拒絕服務(wù)攻擊的能力也需要不同的網(wǎng)絡(luò)設(shè)置。因此，公司通常會購買為發(fā)現(xiàn)和防止拒絕服務(wù)攻擊而特別創(chuàng)建的系統(tǒng)，或能夠接受比通常用途的郵件服務(wù)器多得多的同時連接的加固的過濾工具。這種過濾設(shè)備通常能夠更好地發(fā)現(xiàn)拒絕服務(wù)攻擊，并采取防御措施。

目錄收集攻擊是由垃圾郵件發(fā)送者發(fā)起的資源密集型攻擊，從而為將來發(fā)送垃圾郵件確定可用的有效地址。在發(fā)生目錄收集攻擊時，郵件服務(wù)器負載會大大增加，影響有效郵件的傳輸。此外，本地郵件服務(wù)器會為無效地址試圖向垃圾郵件發(fā)送者所使用的From地址返回未送達報告。

返回未送達報告生成另外的外發(fā)郵件通訊，消耗昂貴的帶寬，進而增加郵件服務(wù)器的負載。因為垃圾郵件發(fā)送者使用的大多數(shù)From地址都是假的，所以傳輸未送達報告總是超時，要求郵件服務(wù)器晚些時候再嘗試傳輸�？傊�，目錄收集攻擊是一種代價昂貴的攻擊郵件服務(wù)器的形式。

遺憾的是，幾乎找不到減輕目錄收集攻擊危險的方法。一種解決方案是使用被管理的服務(wù)。通常被管理的服務(wù)維護的郵件服務(wù)器的數(shù)量比一個公司所能提供的郵件服務(wù)器的數(shù)量要多得多，因此，目錄收集攻擊并不會在很大程度上影響郵件傳輸。

另一種解決方案是安裝針對這類攻擊優(yōu)化過的前端過濾工具。在工具中維護一份合法郵件用戶列表(通過靜態(tài)列表或輕型目錄訪問協(xié)議訪問內(nèi)部目錄)，以便過濾器不會將發(fā)給無效用

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]