避免邮件服务器成为垃圾邮件跳板

[chyb]

邮件伺服器出现安全漏洞，除了会让企业商誉受损外，若被用於攻击，或透过邮件伺服器洩密，都可能会有相关的法律责任，因此企业不可不慎！本文由ASRC列举几个邮件伺服器常见问题，供企业对自身的邮件伺服器做一个简单的健检。
您是邮件伺服器的管理者吗？您的邮件伺服器安全吗？据ASRC亚太垃圾讯息研究中心的观察，被列入垃圾邮件过滤国际黑名单（Real-time Blackhole List，RBL）的企业邮件伺服器，在2013年有明显增多的趋势。

细究被列入黑名单的原因，不外乎是企业邮件伺服器出现了一些漏洞被有心人士利用，而成為垃圾邮件发送主机或各种攻击跳板。

邮件伺服器出现安全漏洞，除了会让企业商誉受损外，若被用於攻击，或透过邮件伺服器洩密，都可能会有相关的法律责任，因此企业不可不慎！本文由ASRC列举几个邮件伺服器常见问题，供企业对自身的邮件伺服器做一个简单的健检。

目录蒐集攻击DHA弱点

许多邮件伺服器预设的状态会在寄件人进行送信之前，先检查内部使用者的清单，并且对寄信的伺服器做出回应。如果寄信人要求送信的对象不存在，那麼便会回应使用者不存在；反之则回应存在并且可以继续之后的送信过程，或是接受寄信伺服器输入下一位收信人，如图1所示。

若有心人士事先準备好一份常用收件者帐号的字典档，并且依序对邮件伺服器尝试询问收信者是否存在的时候，便可以根据邮件伺服器的回应整理出一份有效的收信人清单，这个攻击手法便是目录蒐集攻击（Directory Harvest Attack，DHA）手法。



▲图1 邮件伺服器预设会回应使用者是否存在的讯息。


要防范此种攻击的方式，必须将这个回应功能做关闭，或做一些进阶的保护，比方一律回应使用者存在。实作的方法非常多，市面上也有相关產品能提供此类防护。

避免洩漏伺服器版本资讯

若希望攻击一台邮件伺服器，首先要知道它存在哪些弱点，进而根据这个弱点进行攻击，才较容易成功。

要知道存在的弱点，就需要先知道该邮件伺服器的种类及版本，如果版本刚好不是最新版，并存在已被揭露的重大弱点，那曝露於外的邮件伺服器就会显得相当危险。尤其是许多邮件伺服器预设在连线时就会显示出相关的版本资讯（图2），这无疑是有心人士在发动攻击前的一项重要参考指标。



▲图2 一连上邮件伺服器，即可见邮件伺服器的种类及版本。


要减低风险，除了必须定时对邮件伺服器进行漏洞的更新修补外，隐藏邮件伺服器种类与版本讯息也是一种加成的防护措施。

Sendmail是一款广受欢迎的免费邮件伺服器架设软体，以sendmail為例，只需要修改sendmail.cf这个设定档中的SmtpGreetingMessage即可。

為了谨慎起见，建议也将Help指令的提示内容清空比较保险，以Linux上架设的sendmail為例，Help指令会显示的的资料路径在「/etc/mail/helpfile」。



▲图3 邮件伺服器的种类及版本及Help中的讯息，经调整后皆被隐藏。


防范密码猜测暴力破解

在透过邮件伺服器收发邮件前，须先以一组帐号与密码进行身份认证，通过身份认证者将合法的取得邮件伺服器合理的使用权限，因此使用者的帐号与密码设定，就需要格外谨慎。

前述提及的DHA弱点保护，可避免邮件伺服器上的帐号大量洩露，可降低密码被猜测的风险。但对於公开或常见的电子邮件帐号，就只能透过密码进行保护了。

许多使用者為了怕密码忘记，所以会将密码设得非常简单，例如12345，部份企业為方便使用者存取内部服务，还提供单一登入（Single sign-on）的服务架构：即透过帐号密码认证一次成功后，可存取多种企业内部服务。如果内部有一个使用者的密码是12345，很可能就让整个企业曝露在相当高的风险之中。
密码防护的问题至关重要，因為取得密码就像取得了合法的钥匙，入侵或存取企业内部的资源不容易触动其他的警报措施。对於密码的防护，ASRC建议您可以从下面几点著手：
1. 内部人员的认知与教育。
2. 限制最短密码的长度。例如，密码长度至少10位。
3. 强制密码的复杂度。例如，密码必须包含英文字 母、数字与符号。
4. 定期变更密码，并防止重复使用。例如，半年强制 变更密码，并不得重复使用进三次设定过的密码。
5. 常见弱密码扫描稽核，防止使用者仍设定易猜之密 码。
6. 密码验证皆需有错误次数上限。例如，3次密码输 入错误即需要等10分鐘才能再行输入，超过10次即对来源IP进行管制与记录。
对於密码的看法，管理者与使用者常有立场的衝突。管理者希望密码应具备相当长度及复杂性；使用者则需要能记忆他自己的密码。

要解决这类问题，建议管理者只要提示使用者将密码设定為符合管理者的要求，但只对使用者本身有意义的高强度密码，如女友的生日-女友英文名+自己家中电话，即可解决复杂度要求与记忆衝突的问题。

设定阻挡SYN flood攻击

某些邮件伺服器的管理者常会发现，企业的邮件量并不大，但邮件伺服器常会变得很慢，甚至出现拒绝服务的情况（Denial of Service，DoS）。

这个原因很可能是邮件伺服器遭受到洪水攻击（SYN flood），这种攻击的特性，就是可能由某几个IP发出过量的连线，连上邮件伺服器后不进行动作，或做不正常断线，藉此消耗邮件伺服器的资源，最终将造成邮件伺服器因负担过载而拒绝服务，导致企业正常通信受到严重的影响。

ASRC建议邮件伺服器管理者应做好下列三种防护措施，以避免遭受洪水攻击：
1. 使用黑名单、RBL阻止一些已知的恶意IP的连线。
2. 邮件伺服器应直接拒绝未设定DNS A记录的发信主 机连线。
3. 透过防火墙或邮件伺服器，限制单一IP同时连线数 量的上限。
以上列举的仅是ASRC近期发现较典型的案例，整体邮件伺服器的安全仍有赖管理者良好的设定、定期进行安全性更新，与不断吸收新的安全相关情报，并在必要时搭配防火墙、防毒软体与反垃圾邮件机制，才能永续的维持。