守内安：教你如何给邮件服务器做健康检查

您是邮件服务器的管理员吗？

您的邮件服务器安全吗？

据ASRC的观察，被列入垃圾邮件过滤国际黑名单(RBL，Real-time Blackhole List)的企业邮件服务器，在2013年有明显增多的趋势。细究被列入黑名单的原因，不外乎是企业邮件服务器出现了一些漏洞被有心人士利用，而成为垃圾邮件发送主机或各种攻击跳板。邮件服务器出现安全漏洞，除了会让企业商誉受损外，若被用于攻击，或通过邮件服务器泄密，都有可能会有相关的法律责任，因此企业不可不慎！以下由ASRC列举几个邮件服务器常见问题，供企业对自身的邮件服务器做一个简单的健康检查。

DHA(Directory Harvest Attack) 弱点

许多邮件服务器预设的状态会在发件人进行发信前，先检查内部用户的清单，并对寄信的服务器做出回应。如果发件人要求发信的对象不存在，则响应用户不存在；反之则响应存在并可继续之后的发信过程，或接受寄信服务器输入下一位收件人。若有心人士事先准备好一份常用收件者账号的字典文件，并依序对邮件服务器尝试询问收件人是否存在时，便可根据邮件服务器的响应整理出一份有效的收件人列表，此为目录搜集攻击(Directory Harvest Attack)。

图一：邮件服务器默认会响应用户是否存在的信息。

要防范此种攻击的方式，必须将这个响应功能做关闭，或做一些高级的保护，比方一律响应用户存在。实作的方法非常多，市面上也有相关产品能提供此类防护。

信息泄露问题

若希望攻击一台邮件服务器，首先要知道它存在哪些弱点，进而根据这个弱点进行攻击，才较容易成功。要知道存在的弱点，就需要先知道该邮件服务器的种类及版本，如果版本刚好不是最新版，并存在已被揭露的重大弱点，那曝露于外的邮件服务器就会显得相当危险。尤其是许多邮件服务器预设在联机时及会显示出相关的版本信息，这无疑是有心人士在发动攻击前的一项重要参考指标。

图二：一连上邮件服务器，即可见邮件服务器的种类及版本。

要减低风险，除了定时需对邮件服务器进行漏洞的更新修补外，隐藏邮件服务器种类与版本信息也是一种加成的防护措施。Sendmail是一款免费的邮件服务器部署软件。以sendmail为例，只需要修改sendmail.cf这个配置文件中的SmtpGreetingMessage即可。为了谨慎起见，建议也将Help指令的提示内容清空比较保险，以Linux上部署的sendmail为例，Help指令会显示的的数据路径在/etc/mail/helpfile。

图三：邮件服务器的种类及版本及Help中的信息，经调整后皆被隐藏。

密码猜测问题

在通过邮件服务器是收发邮件前，须先以一组账号与密码进行身份认证，通过身份认证者将合法的取得邮件服务器合理的权限，因此，用户的账号与密码设置，就需要格外谨慎。前述提及的DHA弱点保护，可避免邮件服务器上的账号大量泄露，可降低密码被猜测的风险。但对于公开或常见的电子邮件账号，就只能通过密码进行保护了。

许多用户为了怕密码忘记，所以会将密码设得非常简单，例如：12345，部份企业为方便用户存取内部服务，还提供单一登录(Single sign-on)的服务架构：即通过账号密码认证一次成功后，可存取多种企业内部服务。如果内部有一个用户的密码是12345，很可能就让整个企业曝露在相当高的风险之中。

密码防护的问题至关重要，因为取得密码就像取得了合法的钥匙，入侵或存取企业内部的资源不容易触动其它的警报措施。

对于密码的防护，ASRC建议您可以从下面几点着手：

1. 内部人员的认知与教育。

2. 限制最短密码的长度。例如，密码长度至少10位。

3. 强制密码的复杂度。例如，密码必须包含英文字母、数字与符号。

4. 定期变更密码，并防止重复使用。例如，半年强制变更密码，并不得重复使用进三次设置过的密码。

5. 常见弱密码扫描稽核，防止用户仍设置容易被猜到密码。

6. 密码验证皆需有错误次数上限。例如，3次密码输入错误即需要等10分钟才能再行输入，超过10次即对来源IP进行管制与记录。

对于密码的看法，管理员与终端用户常有立场的冲突。管理员希望密码应具备相当长度及复杂性；用户则需要能记忆他自己的密码。要解决这类问题，建议管理员只需要提示用户将密码设置为符合管理员的要求，但只对用户本身有意义的高强度密码，如：女友的生日-女友英文名+自己家中电话，即可解决复杂度要求与记忆冲突的问题。

洪水攻击 (SYN flood)

某些邮件服务器的管理员常会发现，企业的邮件量并不大，但邮件服务器常会变得很慢，甚至出现拒绝服务的情况(DoS, denial of service)。这个原因很可能是邮件服务器遭受到洪水攻击(SYN flood)，这种攻击的特性，就是可能由某几个IP发出过量的联机，连上邮件服务器后不进行动作，或做不正常断线，藉此消耗邮件服务器的资源，最终将造成邮件服务器因负担过载而拒绝服务，导致企业正常通信受到严重的影响。

 ASRC建议您做好下列三种防护措施，以避免遭受洪水攻击：

1. 使用黑名单、RBL阻止一些已知的恶意IP的联机。

2. 邮件服务器应直接拒绝未设置DNS A记录的发信主机联机。

3. 通过防火墙或邮件服务器，限制单一IP同时联机数量的上限。

以上列举的仅是ASRC近期发现较典型的案例，整体邮件服务器的安全仍有赖管理员良好的设置、定期进行安全性更新，与不断吸收新的安全相关情报，并在必要时搭配防火墙、防病毒软件与反垃圾邮件机制，才能持久的维持。

※关于ASRC垃圾信息研究中心：

ASRC亚太垃圾信息研究中心(Asia Spam-message Research Center)，长期与Softnext守内安合作，致力于全球垃圾信息特征发展的研究，并运用相关数据统计、调查、趋势分析、学术研究、跨业交流、研讨活动..等方式，促成产官学研界共同致力于净化因特网的电子邮件使用环境。

※关于Softnext 守内安:

将近四成福布斯十佳CEO企业选择的邮件安全管理应用——Softnext守内安凭借在网络内容安全应用领域十多年的深入钻研，致力于邮件安全以及网络内容的风险管控，提供面向市场、面向客户的最新威胁防御的网络安全产品，秉承“服务•品质•值得信赖”的全新品牌理念；在FROST & SULLIVAN（全球知名市调公司）大中华区调研中，成为连续五年复合业绩成长率第一名的质优企业。

作为邮件风险管理和信息安全内控管理服务的专业研发厂商，Softnext守内安立于本土，深入的本土化耕耘，相继获颁【2013中国软件和信息技术服务业最有价值品牌】和【品牌建设卓越团奖队】，邮件安全三剑客连续三年蝉联【上海市优秀软件产品奖】，并获得Frost & Sullivan授予【年度邮件内容安全服务提供商】的殊荣，并在品牌建设上，屡获软件和信息技术服务业【最有价值品牌奖】。

了解更多内容安全信息，欢迎关注Softnext守内安官方微信：更可洽+86-21-51036007，或登录Softnext守内安官网//www.softnext.com.cn/ 。