五招輕松應(yīng)對(duì)郵件服務(wù)器攻擊

加固郵件服務(wù)器，首先在它前面安裝郵件過濾網(wǎng)絡(luò)工具，或者使用被管理的郵件過濾服務(wù)將有助于減輕來自垃圾郵件發(fā)送者和其它途徑的攻擊。

隨著針對(duì)最終用戶和他們的桌面系統(tǒng)的攻擊日漸增多，直接攻擊郵件服務(wù)器的情況有所減少(雖然這種減少是相對(duì)的)。但是，服務(wù)器仍然是脆弱的，因?yàn)楣�擊者不斷發(fā)現(xiàn)微軟的EXChange server甚至Sendmail的漏洞。下面來看兩個(gè)常見的攻擊，以及減少或終止郵件服務(wù)器遭受這些攻擊的方法。

根源之一：緩沖區(qū)溢出漏洞

當(dāng)一個(gè)軟件程序，如郵件服務(wù)器軟件，在一個(gè)數(shù)據(jù)緩沖區(qū)中存儲(chǔ)了超過最初允許量的更多的數(shù)據(jù)，并且未曾防備始料未及的輸入時(shí)，就會(huì)發(fā)生緩沖區(qū)溢出。攻擊者可以利用這個(gè)缺陷讓郵件服務(wù)器執(zhí)行它未計(jì)劃執(zhí)行的其它程序。如果郵件服務(wù)器的運(yùn)行享有特權(quán)的話，就會(huì)危及到整個(gè)系統(tǒng)的安全。即便郵件服務(wù)器不享有特權(quán)，攻擊者還是能夠危及它的安全，并獲得對(duì)它的資源的完全控制權(quán)限。

雖然緩沖區(qū)溢出是由于偶然的編程錯(cuò)誤導(dǎo)致的，但是它對(duì)于數(shù)據(jù)完整性而言卻是一種很常見的安全漏洞。當(dāng)發(fā)生緩沖區(qū)溢出情況時(shí)，多余的數(shù)據(jù)會(huì)包含被設(shè)計(jì)用于觸發(fā)特定行為的代碼，如：向被攻擊的服務(wù)器發(fā)送可能損壞用戶文件、修改數(shù)據(jù)或暴露絕密信息的新指令。

過去攻擊者常常利用緩沖區(qū)溢出漏洞使蠕蟲在因特網(wǎng)上不同的服務(wù)器之間穿行，從而證明他們的本領(lǐng)。但是近來，緩沖區(qū)溢出漏洞有了更明確的目標(biāo)。它們讓攻擊者危及郵件服務(wù)器的安全，以便接下來它們能夠利用郵件服務(wù)器來發(fā)送垃圾郵件。

這種攻擊會(huì)導(dǎo)致兩個(gè)嚴(yán)重后果。首先，郵件服務(wù)器被危及安全意味著攻擊者可以閱讀公司的來往郵件。結(jié)果可能是災(zāi)難性的。其次，攻擊者可以使用公司的服務(wù)器資源發(fā)送垃圾郵件。這種情況會(huì)給公司帶來壞名聲，并違反ISP合同，常常意味著服務(wù)終止。

加固郵件服務(wù)器(以及任何其它公共服務(wù)器)，防止緩沖區(qū)溢出漏洞和其它形式的攻擊是非常重要的。還可以采取其它一些保護(hù)措施。

應(yīng)對(duì)之一：服務(wù)器加固

減少郵件服務(wù)器的安全受到威脅的機(jī)會(huì)的最好方式就是加固郵件服務(wù)器本身。在任何情況下，加固都值得努力做出。在加固過的服務(wù)器上，特別是那些因特網(wǎng)上的服務(wù)器，很少有服務(wù)會(huì)被漏洞攻擊到，那些服務(wù)通常是被“區(qū)別對(duì)待” 的。加固通常需要采取如下措施：

• 從物理上保證計(jì)算機(jī)的安全;

• 更新操作系統(tǒng)和應(yīng)用軟件;

• 啟用日志，記錄管理員訪問和使用資源的操作;

• 刪除不必要的應(yīng)用程序、服務(wù)和工具;

• 啟用本地防火墻服務(wù);

• 限制有特權(quán)賬號(hào)的使用。

通過加固服務(wù)器，可以大大減少它們的薄弱環(huán)節(jié)。但僅僅加固郵件服務(wù)器通常是不夠的。更好的解決方案是在加固服務(wù)器的同時(shí)，在郵件實(shí)際抵達(dá)服務(wù)器之前提供額外的對(duì)郵件通訊的過濾。

可以通過使用網(wǎng)絡(luò)工具、管理服務(wù)和集成到現(xiàn)存的郵件系統(tǒng)(如：微軟的EXChange)中的軟件來預(yù)先對(duì)郵件通訊進(jìn)行過濾。切記防御要分成不同的層次——例如：加固內(nèi)部郵件服務(wù)器，同時(shí)為保護(hù)周邊環(huán)境而部署已被供應(yīng)商加固的網(wǎng)絡(luò)工具。

應(yīng)對(duì)之二：網(wǎng)絡(luò)工具

郵件過濾網(wǎng)絡(luò)工具是部署在內(nèi)部郵件服務(wù)器前面的。這些工具通常提供兩種類型的防火墻：包過濾防火墻和應(yīng)用級(jí)防火墻。作為包過濾防火墻的網(wǎng)絡(luò)工具只允許到郵件服務(wù)(如：SMTP，通常是POP3和IMAP)所使用的端口的有效TCP/IP通訊。作為應(yīng)用級(jí)防火墻的工具確保發(fā)送服務(wù)器正確地使用SMTP，并遵循相關(guān)的IEEE Requests for Comments(RFCS)和慣例(如：支持反向DNS設(shè)置)。

網(wǎng)絡(luò)工具由于這樣幾個(gè)原因而不易受到攻擊。首先，絕大多數(shù)工具都運(yùn)行在高度定制的操作系統(tǒng)上。這些操作系統(tǒng)已經(jīng)將絕大多數(shù)可能使攻擊者立足的額外服務(wù)禁止掉了(或者從最開始就專門為工具的使用而對(duì)操作系統(tǒng)進(jìn)行了定制)。

其次，工程師們?cè)诩庸坦ぞ邥r(shí)嚴(yán)格遵守最佳實(shí)踐。

最后，一個(gè)工具只允許進(jìn)出郵件服務(wù)器的限定類型的通訊(即與郵件傳輸相關(guān)的通訊)，甚至這類通訊都要經(jīng)過仔細(xì)的檢查。

應(yīng)對(duì)之三：被管理的服務(wù)

采用被管理的服務(wù)，所有的郵件都先被發(fā)送到一個(gè)過濾郵件的offsite服務(wù)中，這個(gè)服務(wù)隨后將有效的郵件轉(zhuǎn)發(fā)到公司的郵件服務(wù)器。

要運(yùn)用這個(gè)策略有效地防止直接使用郵件協(xié)議的攻擊，內(nèi)部郵件服務(wù)器必須只接收被管理的服務(wù)發(fā)起的連接，而不接收任何其它連接。但是這些服務(wù)只對(duì)進(jìn)入的郵件通訊有效。出去的郵件通訊還是直接被發(fā)送到因特網(wǎng)上的其它服務(wù)器，從而激活使用郵件協(xié)議的可能漏洞(例如：在SMTP傳輸過程中一個(gè)接收郵件服務(wù)器會(huì)攻擊發(fā)送郵件服務(wù)器軟件中的緩沖區(qū)溢出漏洞)。

應(yīng)對(duì)之四：集成軟件

最后，可以安裝集成軟件來幫助保護(hù)郵件服務(wù)器。這個(gè)安裝在本地的軟件能防范網(wǎng)絡(luò)攻擊，使服務(wù)器更穩(wěn)固。集成軟件通常運(yùn)行在應(yīng)用層(即SMTP)來保護(hù)服務(wù)器免受漏洞攻擊。一些集成軟件用一個(gè)定制的加固版本代替服務(wù)器本地的TCP/IP棧。

但是，更為常見的是本地過濾軟件和郵件軟件合作，而不是在郵件軟件和外部系統(tǒng)之間建立一堵墻。當(dāng)攻擊者可以直接訪問到郵件服務(wù)器時(shí)(例如：如果一個(gè)內(nèi)部的可信任的用戶發(fā)起攻擊)，采用這種方法的集成軟件就能夠發(fā)揮作用。

應(yīng)對(duì)五：拒絕服務(wù)攻擊和目錄收集攻擊

拒絕服務(wù)(Denia1 of Service，DoS)攻擊會(huì)降低目標(biāo)系統(tǒng)的能力。比方說一個(gè)郵件服務(wù)器，攻擊者試圖放慢它或者把它搞癱瘓。攻擊者以幾種方式發(fā)起拒絕服務(wù)攻擊，包括消耗網(wǎng)絡(luò)資源和發(fā)起目錄收集攻擊。

當(dāng)攻擊者通過網(wǎng)絡(luò)資源消耗實(shí)施拒絕服務(wù)攻擊時(shí)，攻擊常常集中在消耗目標(biāo)機(jī)器的所有可獲得的進(jìn)入連接上。因?yàn)镾MTP是一個(gè)TCP協(xié)議，一個(gè)成功的漏洞攻擊只要求攻擊者請(qǐng)求的TCP連接的數(shù)目比能夠獲得的TCP連接數(shù)更多。也就是說，攻擊者創(chuàng)建比郵件服務(wù)器所能處理的連接數(shù)更多的指向郵件服務(wù)器的連接。這樣郵件服務(wù)器就不能再接受來自合法的郵件服務(wù)器的有效的進(jìn)入連接了。

幾乎找不到什么基于服務(wù)器的解決方案能夠防止拒絕安全服務(wù)攻擊。大多數(shù)郵件服務(wù)器運(yùn)行在通常用途的操作系統(tǒng)上，這些操作系統(tǒng)不會(huì)為防止拒絕服務(wù)攻擊而做調(diào)整。即使在一個(gè)加固過的UNIX系統(tǒng)上，要提高服務(wù)器耐受大量拒絕服務(wù)攻擊的能力也需要不同的網(wǎng)絡(luò)設(shè)置。因此，公司通常會(huì)購(gòu)買為發(fā)現(xiàn)和防止拒絕服務(wù)攻擊而特別創(chuàng)建的系統(tǒng)，或能夠接受比通常用途的郵件服務(wù)器多得多的同時(shí)連接的加固的過濾工具。這種過濾設(shè)備通常能夠更好地發(fā)現(xiàn)拒絕服務(wù)攻擊，并采取防御措施。

目錄收集攻擊是由垃圾郵件發(fā)送者發(fā)起的資源密集型攻擊，從而為將來發(fā)送垃圾郵件確定可用的有效地址。在發(fā)生目錄收集攻擊時(shí)，郵件服務(wù)器負(fù)載會(huì)大大增加，影響有效郵件的傳輸。此外，本地郵件服務(wù)器會(huì)為無效地址試圖向垃圾郵件發(fā)送者所使用的From地址返回未送達(dá)報(bào)告。

返回未送達(dá)報(bào)告生成另外的外發(fā)郵件通訊，消耗昂貴的帶寬，進(jìn)而增加郵件服務(wù)器的負(fù)載。因?yàn)槔�圾郵件發(fā)送者使用的大多數(shù)From地址都是假的，所以傳輸未送達(dá)報(bào)告總是超時(shí)，要求郵件服務(wù)器晚些時(shí)候再嘗試傳輸。總之，目錄收集攻擊是一種代價(jià)昂貴的攻擊郵件服務(wù)器的形式。

遺憾的是，幾乎找不到減輕目錄收集攻擊危險(xiǎn)的方法。一種解決方案是使用被管理的服務(wù)。通常被管理的服務(wù)維護(hù)的郵件服務(wù)器的數(shù)量比一個(gè)公司所能提供的郵件服務(wù)器的數(shù)量要多得多，因此，目錄收集攻擊并不會(huì)在很大程度上影響郵件傳輸。

另一種解決方案是安裝針對(duì)這類攻擊優(yōu)化過的前端過濾工具。在工具中維護(hù)一份合法郵件用戶列表(通過靜態(tài)列表或輕型目錄訪問協(xié)議訪問內(nèi)部目錄)，以便過濾器不會(huì)將發(fā)給無效用

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]