当“退信”成为攻击,我们能够做什么？

[金笛邮件]

企业信息按其存在形态，分为结构化数据和非结构化数据。在企业所有信息中，80% 左右的信息是非结构化数据(包括电子邮件、图像、视频、文档、社会媒体等) ，而非结构化数据中，将企业的电子邮件数据作为其中最主要的数据信息，相信无人会反对。但是，当电子邮件发错对象时，因为邮件系统在SMTP连接阶段，会 检查收件人是否存在，如果收件人不存在，或是接收端因为某种原因而不能接收，邮件系统将自动生成退信信息(NDR【Non-Delivery Report】)，并自动发送给发件人。这只是一个再正常不过的邮件服务之一，但已被SPAMMER用来成为一种常见的攻击武器，退信已不再仅仅只是退 信，已然成为了一种网路上攻击邮件服务器的手段，甚至防不胜防。
　　那先跟随我们的脚步，了解下退信攻击的流程吧。Invalid Non-Delivery Report Messages，垃圾邮件退信攻击，是将欲攻击的对象伪装成发件人地址，收件人地址则选用一个(或一组)其他单位不存在的账号，然后通过僵尸计算机 Botnet，发送大量伪装邮件，因为该收件人账号不存在，所以，邮件主机会退信给被伪装的发件人地址，造成被伪冒的公司邮件主机收到大量的退信通知邮 件，不但增加系统Loading，也会容易使该公司变成垃圾邮件黑名单的一员。

　　"退信"成为了一把双面刃。只要一次发信的动作，可以同时攻击两台邮件服务器。他对企业来说，就会造成很多不利影响，诸如：
　　1. 企业员工休假或出差在外，若是因为公司邮件服务器备退信攻击导致无法正常收发邮件，无法第一时间立即处理客户邮件，导致订单流失。
　　2. 因为退信攻击导致IP被加进RBL，变得无法正常收发邮件。
　　上述两种状况，都是会影响公司订单，大笔交易金额资讯的传达或是工作信息的发布，都是影响重大的。以本例来说，近来笔 者常常看到许多企业的邮箱，被退送邮件塞爆，影响公司正常运作，经了解原因后，发现是有人假冒公司账号大量发送垃圾邮件。例如某广告垃圾邮件发送者，伪造 发件人的字段为我们公司账号并大量发送垃圾邮件，但是由于收件人可能有做阻挡防御(字典挡、限制内部收件人最大人数….)，造成寄送邮件无法顺利送达，而发生退信情况。这时候邮件系统(不论是本机账号或非本机账号)会收到许多的退信，有可能会造成使用者困扰也可能影响整个公司邮件寄送正常运作。
　　退信攻击在程度上有所区别，上面介绍的这种攻击，被攻击者可能一天之内收到数百上千封各种退信。
　　一般用户碰到的退信攻击属于骚扰性质，垃圾邮件发送者在发送垃圾邮件时，常常随机的设置发件人，例如其中包括bobo@abc.com，当大量发送垃圾邮件时， 有些邮件可能是以bobo@abc.com发送的，则bobo就可能收到退信，有时一天只有几封或几十封，但总是不断，让人十分郁闷。
　　退信信息通常比较有规律，例如发件人为空，或者为MAILER-DAEMON@xxx.com， 主题一般为Undelivered Mail Returned等。有些用户采用关键词的技术将退信予以阻断，或者干脆限定阻止空发件人，但是这经常会把正常的退信也阻止掉，导致信息不畅。一般而言， 退信占一个公司的邮件量5%以上，这其中绝大部分是垃圾退信。如何防止收到这种垃圾退信，避免退信攻击呢？遇到这样的问题，有没有什么样的方式可以解决 呢？
　　若要防止这种状况，就大部分的技术来说，要设置相关对应的条件，就比较复杂，而市场上防范垃圾邮件产品常见的做法之一 是设置SPF验证，但遗憾的是很多服务器不做SPF验证，因此，即使某些企业设置了SPF记录，也依然无法阻挡退信造成的垃圾邮件威胁;另一些产品采用回 复邮件的验证机制，需要在外发邮件时加入时间标示和密钥，且邮件外发后产生的退信中，也需要包括发送时的时间标示和密钥，若没有上述信息，则说明该邮件不 是由本机发出的，就被列为退信垃圾，并将其阻挡。如此设置每一封邮件，这对管理人员来说，是否麻烦了些呢？而就JDMAIL金笛邮件系统的产品就无需如此繁复的设置，只需轻点鼠标勾选即可，对管理人员来说较为简单，又更容易上手。

　　如图做法，只需设置邮件大小，若有需要，加入允许退信的IP掩码加入，设置就搞定了，再多的“退信”攻击也不会入侵企 业内部。JDMAIL企业邮件内容管理系统，不但解决邮件非结构化数据的安全防范、采集、管理、利用、传递，更可从中获取业务连续性管理的洞察力和竞争 力，并将不必要的风险性做到更及时的可控性。