从零开始邮件服务器搭建,无标题文章

来源:http://www.roro2.com 作者:必威技术 人气:183 发布时间:2019-11-07
摘要:最佳电子邮件安全要靠这三大协议:DMARC、SPF和DKIMv返回搜狐,查看更多 美国联邦调查局2016年12月的数据显示,网络窃贼通过商务电邮入侵(BEC,也称为钓鲸邮件)欺诈手段,从2.4万家公司

最佳电子邮件安全要靠这三大协议:DMARC、SPF和DKIMv返回搜狐,查看更多

美国联邦调查局2016年12月的数据显示,网络窃贼通过商务电邮入侵(BEC,也称为钓鲸邮件)欺诈手段,从2.4万家公司盗取20亿美元以上。

检测Postfix

接下来则是检测Postfix是否运行正常.

telnet localhost 25ehlo localhost

如果连接成功,同时输入EHLO命令有如下返回值,则Postfix是正常的.

必威 1Postfix测试

遭遇电子邮件诈骗 欧洲电缆制造商损失4500万美元

2016年8月12日,欧洲最大电缆制造商——德国莱尼集团北罗马尼亚分公司收到骗子模仿总部支付需求发出的邮件,让分公司的财务官误认为这封邮件是莱尼德国总部的顶级高管发来的,于是4000万欧元就这样被汇到了骗子的账户。经调查发现,该笔巨款汇入捷克的一家银行,由于没有可被追踪的信息,至今也无法找到。这一消息致使该家公司股票下跌5%~7%。

罪犯发送虚假请求,要求被害公司将未完成交易或发票应付款项打入钱骡或罪犯控制下的账户。

  1. MUA请求Postfix建立SMTP连接
  2. Postfix发送SSL证书给MUA
  3. MUA发送账号密码给Postfix,请求验证
  4. Postfix请求Dovecot验证账号密码.
  5. Dovecot请求MySQL查询结果
  6. MySQL返回查询结果.
  7. Dovecot返回Postfix账号密码验证结果.
  8. Postfix返回MUA账号密码验证结果.
  9. MUA使用SMTP协议发送邮件到Postfix.
  10. Postfix把邮件进行发送.接下来的步骤参考前面服务器查收邮件的过程.

DocuSign钓鱼邮件攻击流程

根据火绒安全实验室分析,攻击者获取到客户电子邮件地址后,伪造了一个假域名“DocuSgn”(比DocuSign少一个字母i),从这里向用户发出病毒邮件,病毒邮件伪装成会计发票,由于邮件标题及正文均使用 DocuSign 品牌标识,充满迷惑性,诱骗用户下载含有恶意代码的word文档。

点击“REVIEW DOCUMENT”下载的Word文档包含恶意代码:

当用户打开文档时,系统会询问用户是否打开被禁用的恶意宏代码。

如果用户启用被禁宏,便会开启病毒的多次接力下载,最终下载并运行Zbot。

Zbot是一个历史悠久且功能复杂的木马程序,因为源码的泄露,使得任何人都可对其修改,从之前泄露的Zbot源码看到该病毒有以下主要功能:

获取浏览器cookies,flash player cookies, FTP密码和email密码。

HOOK InternetReadFile 和 InternetReadFileExA函数,在获取网页时向网页中注入代码获取用户的账户信息:

HOOK GetClipboardData 函数获取剪切板信息:

HOOK TranslateMessage函数,拦截程序消息,当为按钮按下消息时,截屏保存图片。当为键盘按键消息时,则记录按键信息。

除了上述介绍的几个函数外Zbot还HOOK了一些系统API,和上述方法类似,主要用于获取用户信息。

罪犯找出信托账户或诉讼案件,冒充律所客户将收款银行信息改为欺诈账户。

  1. 诈骗犯黑掉目标公司所雇业务用户的电邮账户,比如说,应付账款部的某人。
  2. 罪犯监视该业务用户的邮件,寻找供应商发票。
  3. 罪犯找到合法发票并修改收款人明细,比如修改款项应发到的银行识别代码和账号。
  4. 罪犯假冒该供应商电邮提交被修改过的发票。这一步不需要入侵该供应商的邮件系统,从一个长得很像该供应商电邮域名的邮箱发送即可。(参见前文示例)
  5. 邮件中解释称他们(该供应商)更新了自己的支付过程,也就解释了为什么会有新账户信息。
  6. 必威,应付账款部确认供应商名称和所提供服务,处理发票,提交电汇支付请求。

设置hostname

CentOS7,可以通过hostnamectl set-hostname hostname命令设置hostname,并且修改hosts文件.这里域名是yusengy.info.

hostnamectl set-hostname mail.yusengy.info

为什么要设置hostname呢?因为一般情况下,Postfix在与其他的SMTP服务器进行通信的时候,会使用hostname来表名自己的身份.主机名有两种形式,单名字FQDN(Fully Qualified Domain Name).如果SMTP服务器不是用FQDN来表明身份,则有可能会被拒收.

尼日利亚电邮诈骗全球百万用户中招

2016年8月、尼日利亚抓获一名涉嫌在全球范围内利用数千封电子邮件实施诈骗的跨国犯罪团伙头目。这名尼日利亚籍男子,据信已使全球数百网民蒙受6000万美元(约合3.98亿元人民币)损失。其中一人被骗金额高达1540万美元(约合1.02亿元人民币)。他们的作案手法包括:篡改供应商的电子邮件,给采购商发去虚假信息,要求其向该团伙控制的银行账户打钱;控制企业高管的电子邮箱,利用该邮箱要求负责财务的雇员电汇款项等。

该报告的其他主要调查结果还包括:

既然欺诈犯知道该向谁以何种方式说些什么,我们可以来看看以下几种特定攻击案例:

创建虚拟邮箱配置

创建: /etc/postfix/mysql-virtual_mailboxes.cf

user = mail_adminpassword = mys123123dbname = mailquery = SELECT CONCAT(SUBSTRING_INDEX(email,'@',-1),'/',SUBSTRING_INDEX(email,'@',1),'/') FROM users WHERE email='%s'hosts = 127.0.0.1

1、邮件服务器端:

为邮件服务器部署沃通SSL证书,保护服务器与客户端之间的数据传输安全,防止中间人窃取和篡改;

1) 邮件接收服务器(POP3/IMAP) 和发送服务器(SMTP) 部署沃通SSL证书,确保链路加密;

2) 使用沃通客户端证书实现强身份认证登录,管理邮件服务器,替代不安全的弱口令密码登录方式,防止管理员账户被破解造成邮件服务器数据泄露。

3) 使用DMARC协议进行电子邮件认证。原始的SMTP没有要求验证发件人的合法性,DMARC 的核心思想是邮件的发送方通过特定方式 (DNS) 公开标明自己会用到的发件服务器 (SPF),并对发出的邮件内容进行签名 (DKIM),而邮件的接受方则检查收到的邮件是否来自发送方授权过的服务器,并且核对签名是否有效,从而有效避免伪造的钓鱼邮件进入用户的收件箱。

  • 第一类是那些使用相似域名的电邮,你可以联想一下 tech-crunch.com;
  • 第二类是所谓的“友好地址钓鱼”,也就是攻击者设法让传入的电邮地址看起来像是来自一位合法用户,通常是在用户公司内部。

BEC骗局至少有3种类型,但都从深度侦察开始,了解既定受害者的关键信息,摸清他们的组织形式,知晓该对谁下手才可以让攻击看起来尽可能可信。罪犯会尝试入侵某员工的电邮账户,看看能从中获悉什么,并核查公开可用的信息。他们会找寻:

必威 2邮件原理

多角度防止钓鱼邮件攻击

防止钓鱼邮件攻击需要构建系统化的防御体系,从服务器端防护、客户端防护以及员工安全意识培训等多角度进行防御。

2. 数据和报税表盗窃类型

此类案例的另一个版本,从伪造CEO发往CFO的虚假邮件开始。罪犯使用CFO的被黑邮箱,转发虚假CEO邮件给主管会计,请他/她按照CEO的“要求”进行汇款,给汇款请求加上紧迫性和合法性。

Dovecot:一个开源的IMAP以及POP3服务器.通常工作是验证用户身份以及邮件的处理.

上周一,美国数字文档签署平台DocuSign的用户遭受一连串含有恶意文档的钓鱼邮件攻击。DocuSign表示攻击和一个早期的漏洞有关,黑客可以临时访问并渗透一些未公开的客户电子邮件地址,并针对这些客户发送钓鱼邮件传播窃取信息的恶意软件。

据悉,为了完成该报告,Valimail公司使用了其分析的数十亿电子邮件身份验证请求的专有数据,以及超过300万个可公开访问的DMARC和SPF记录分析数据。

BEC欺诈中提交的虚假支付请求还是有几种检测技巧的:

创建电子邮件与文件映射

创建:/etc/postfix/mysql-virtual_email2email.cf

user = mail_adminpassword = mys123123dbname = mailquery = SELECT email FROM users WHERE email='%s'hosts = 127.0.0.1

创建完毕以后修改权限以及分配用户组.

chmod o= /etc/postfix/mysql-virtual_*.cfchgrp postfix /etc/postfix/mysql-virtual_*.cf

同时,我们创建一个新的用户组以及用户,用来处理邮件.所有的虚拟邮箱,都会存在这个用户的home目录下.

groupadd -g 5000 vmailuseradd -g vmail -u 5000 vmail -d /home/vmail -m

接下来,我们对Postfix总体进行配置.把下面的mail.yusengy.info替换成你的hostname.如果你希望使用自己的SSL证书,则把/etc/pki/dovecot/private/dovecot.pem替换成你的证书路径.

postconf -e 'myhostname = mail.yusengy.info'postconf -e 'mydestination = localhost, localhost.localdomain'postconf -e 'mynetworks = 127.0.0.0/8'postconf -e 'inet_interfaces = all'postconf -e 'message_size_limit = 30720000'postconf -e 'virtual_alias_domains ='postconf -e 'virtual_alias_maps = proxy:mysql:/etc/postfix/mysql-virtual_forwardings.cf, mysql:/etc/postfix/mysql-virtual_email2email.cf'postconf -e 'virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains.cf'postconf -e 'virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailboxes.cf'postconf -e 'virtual_mailbox_base = /home/vmail'postconf -e 'virtual_uid_maps = static:5000'postconf -e 'virtual_gid_maps = static:5000'postconf -e 'smtpd_sasl_type = dovecot'postconf -e 'smtpd_sasl_path = private/auth'postconf -e 'smtpd_sasl_auth_enable = yes'postconf -e 'broken_sasl_auth_clients = yes'postconf -e 'smtpd_sasl_authenticated_header = yes'postconf -e 'smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination'postconf -e 'smtpd_use_tls = yes'postconf -e 'smtpd_tls_cert_file = /etc/pki/dovecot/certs/dovecot.pem'postconf -e 'smtpd_tls_key_file = /etc/pki/dovecot/private/dovecot.pem'postconf -e 'virtual_create_maildirsize = yes'postconf -e 'virtual_maildir_extended = yes'postconf -e 'proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $virtual_mailbox_limit_maps'postconf -e 'virtual_transport = dovecot'postconf -e 'dovecot_destination_recipient_limit = 1'

修改Postfix配置,添加Dovecot服务.修改:/etc/postfix/master.cf

dovecot unix - n n - - pipe flags=DRhu user=vmail:vmail argv=/usr/libexec/dovecot/deliver -f ${sender} -d ${recipient}

submission以及smtps部分给反注释了,让这部分代码生效.

必威 3配置截图重启Postfix,至此,Postfix就基本配置好了.

systemctl enable postfix.servicesystemctl start postfix.service

修改:/etc/dovecot/dovecot.conf这里把域名yusengy.info替换成自己配置的域名.

protocols = imap pop3log_timestamp = "%Y-%m-%d %H:%M:%S "mail_location = maildir:/home/vmail/%d/%n/Maildirssl_cert = </etc/pki/dovecot/certs/dovecot.pemssl_key = </etc/pki/dovecot/private/dovecot.pemnamespace { type = private separator = . prefix = INBOX. inbox = yes}service auth { unix_listener auth-master { mode = 0600 user = vmail } unix_listener /var/spool/postfix/private/auth { mode = 0666 user = postfix group = postfix }user = root}service auth-worker { user = root}protocol lda { log_path = /home/vmail/dovecot-deliver.log auth_socket_path = /var/run/dovecot/auth-master postmaster_address = postmaster@yusengy.info}

因为数据库存储有用户的账号密码信息,Dovecot的职责之一就是验证用户的账号密码,因而我们还需要创建一个配置文件以让Dovecot与数据库进行交互.老惯例,这里也是把密码进行替换一下.创建:/etc/dovecot/dovecot-sql.conf.ext

driver = mysqlconnect = host=127.0.0.1 dbname=mail user=mail_admin password=mys123123default_pass_scheme = CRYPTpassword_query = SELECT email as user, password FROM users WHERE email='%u';

修改文件所属的用户组以及访问权限

chgrp dovecot /etc/dovecot/dovecot-sql.conf.extchmod o= /etc/dovecot/dovecot-sql.conf.ext

设置Dovecot在开启启动并且启动其服务

systemctl enable dovecot.servicesystemctl start dovecot.service

然后我们观察一下var/log/maillog,确定现在Dovecot没有错误

必威 4Dovecot日志

然后我们使用Telnet检测一下pop3服务是否正常.

yum install telnettelnet localhost pop3

如果你看到的和我看到的差不多,那么说明是pop3服务是正常的.

必威 5pop3服务

2016钓鱼邮件攻击事件盘点

钓鱼邮件不再是以前的广撒网式群发,目前的钓鱼邮件攻击呈现出越来越精准的特点,仅针对特定人员、公司、组织发送钓鱼邮件的鱼叉式网络钓鱼(Spear phishing),以及更具针对性的鲸钓(whaling),直接瞄准大型公司、重要人物发送特定钓鱼邮件的攻击。

使用钓鱼邮件发送带有恶意软件、超链接或各种欺骗信息,并加入社会工程学攻击手法,诱使收件人配合执行钓鱼攻击,结合其他泄露信息及社工攻击手段,这些类型的钓鱼邮件攻击成为目前最泛滥、成本最低、成功率最高的钓鱼攻击手法。仅2016年就发生数起严重的钓鱼邮件攻击事件,造成巨大损失。

原标题:64亿封假邮件、120亿美元损失 虚假电子邮件困扰全球

罪犯可在无意帮凶(被诱骗提交电汇请求的员工)的协助下盗取钱财。从公司财务部门的角度看,该笔交易完全合法。甚至确认电话或其他身份认证措施,也能联系到确实提交了该电汇请求的员工。

这里我们使用的MTA是Postfix, MRA是Dovecot.我们可以绘制出邮件服务器接受邮件,用户查收邮件以及用户发送邮件的过程.

2、邮件客户端:

1) 邮件客户端:采用支持数字证书加密、签名的邮件客户端登录管理电子邮件账户;

2) 强身份认证登录:申请沃通客户端证书实现强身份认证登录,替代不安全的弱口令密码登录方式;

3) 邮件加密:采用沃通客户端证书加密每一份电子邮件内容,加密后的电子邮件即使被窃取、被泄露也是密文状态,没有私钥无法解密邮件内容,确保电子邮件全程安全;

4) 邮件签名:采用沃通客户端证书为每一份电子邮件签名,确保邮件来源可信,防止钓鱼邮件或带毒邮件攻击。

其实,相关的安全机制早就有了(例如SFP),而DMARC则是以既有的机制为基础,包括发送方策略框架(SFP),以及域名密钥识别邮件技术(DKIM),其中,SFP确认的是电子邮件发送方的IP地址,而DKIM则负责审查电子邮件的内容结构,从而使电子邮件的验证更快速、方便,也让发件方、收件方之间的合作更紧密。而且还有一个重点,它能让发件方、收件方在发现有问题的邮件时,有个统一的回执机制,让成员可以持续了解电子邮件滥用的手法。

怎样检测BEC欺诈中的可疑电汇要求

数据库概览

创建mail数据库用以处理邮件相关的业务.并且创建邮件管理员.

GRANT SELECT, INSERT, UPDATE, DELETE ON mail.* TO 'mail_admin'@'localhost' IDENTIFIED BY 'mys123123';GRANT SELECT, INSERT, UPDATE, DELETE ON mail.* TO 'mail_admin'@'localhost.localdomain' IDENTIFIED BY 'mys123123';FLUSH PRIVILEGES;

这里的mys123123替换成自己的密码.我这里只是做示范使用,实际中应该使用强度更大的字符串作为密码.

必威 6数据库mail数据库中一共有4个表,分别是虚拟域名, 邮件转发, 用户信息以及传输路径四个表..必威 7表格

该表存储的是本地服务器用来接收邮件的域名.

必威 8虚拟域名表表结构

创建语句

CREATE TABLE domains (domain varchar NOT NULL, PRIMARY KEY ;

可以用来转发邮件.

必威 9邮件发送表表结构

CREATE TABLE forwardings (source varchar NOT NULL, destination TEXT NOT NULL, PRIMARY KEY ;

用来存储用户的账号密码.这里密码使用加密的方式进行存储.

必威 10用户信息表结构

CREATE TABLE users (email varchar NOT NULL, password varchar NOT NULL, PRIMARY KEY ;

传输表可以用来指定邮件的传输路径.

必威 11传输表结构

CREATE TABLE transport ( domain varchar NOT NULL default '', transport varchar NOT NULL default '', UNIQUE KEY domain ;

在配置完数据库以后,我们最好修改数据库的配置文件,只允许本地访问数据库,提高安全性.修改: /etc/my.cnf

bind-address=127.0.0.1

如果数据库存储在其他的服务器上面,我们这里的bind-address地址在后面配置Postfix的时候需要相应的修改.不过为了安全起见,最好还是不要让数据库能够直接在外部可以访问.

配置完成了以后,我们则可以重启数据,使配置生效.

systemctl restart mariadb.service

配置完成了数据库以后,我们就需要配置Postfix,让其可以与MariaDB协同工作.因为Postfix寻找域名,用户账号等需要通过数据库来完成,但是其本身是不知道如何查询的,因而需要我们定制化.下面的配置中,把mys123123替换成前面数据库管理员设置的密码

3、员工安全意识

1) 检查并识别真正的邮件发件人及发件服务器

2) 陌生来源的邮件,不要随便点击超链接,不要随意下载运行不明附件

3) 对商务邮件、通知邮件等常见邮件,同样需要保持警惕,防止假冒邮件

5. 律所类型

  • 字母顺序调换:…@companyABDC.com和…@companyABCD.com
  • 用下划线替代连字符:…@company_name.com 和 …@company-name.com
  • 用“m” 换掉“r”和“n”

DKIM:DomainKeys Identified Mail.功能目的与SPF相似,主要是让收件人可以通过加密解密的方式来得知发件人是否是真实的.原理就是在电子邮件的开头插入一段签名,然后接收方通过从DNS查询得到公钥以后,以进行验证,与SSH的公钥和密钥类似.记录一般如下:

钓鱼邮件攻击的常见套路

常见的钓鱼邮件类型有:

4. 供应链类型

骗局描述——欺诈犯也有做调查功课

MySQL:存取用户信息,监听的域名信息,用户邮箱地址以及登录密码等.

假冒知名企业服务通知邮件

假冒知名企业发送服务邮件,利用受害人的恐惧心理,比如通知账号被停用,需登录并确认相关数据后才能继续使用等话术,搭配一个以假乱真的钓鱼网站骗取敏感资料。比如下图这个以钓取Apple ID为目的钓鱼邮件。

《Valimail Q2 2018年电子邮件欺诈全景》完整报告链接:

这些骗局依赖似乎完全合法的电邮要求运转,这些要求要么来自真实电子邮件账户,要么来自非最严苛的审查不能发现差异的类似账户。

创建用户

接下来,我们在MariaDB中的邮箱中加入新的用户,用作日常邮件的发送.这里的用户密码不要使用明文存储.

USE mail;INSERT INTO domains  VALUES ('yusengy.info');INSERT INTO users (email, password) VALUES ('yusen@yusengy.info', ENCRYPT);quit

到这个时候,我们的邮件服务器基本就已经搭建完成了,接下来只要使用MUA进行连接,就能像正常的邮件服务器一样使用了.

必威 12MUA配置

尝试给自己的QQ邮箱发件看看.是不是收到了?

必威 13邮件截图

如果被拒收或者在垃圾箱中,说明我们的邮件发送服务器信誉不够,这个时候我们需要给我们的邮件服务器做一些条件,例如添加SPF, DKIM以及DMARC等,以提高邮件发送的成功率,当这些完成以后,基本能够直接发送到收件箱了.具体可以参考这一篇文章邮件服务器添加SPF,DKIM,DMARC,PTR

至此,一个邮件服务器的搭建就完成了,通过这一系列的操作,是否对于电子邮件协议又有了进一步的理解呢?如果没有在收件箱收到发送的邮件,可以在垃圾箱看看,或者看看是否退件了.这篇文章中我们没有谈到SPF, DKIM以及DMARC验证的配置,因而有可能会被QQ邮箱退件的,毕竟现实中的邮件服务器还需要一系列的配置,以提高送达率.这些我在后面会开一篇文章专门讲解.如果MUA提示发件失败,那么我们可以查看一下日志,分别在/var/log/maillog以及/home/vmail/dovecot-deliver.log,找到对应的错误,然后回到文章相应的地方看看是否配置错了.如果还无法解决,可留言私信,我看到了会进行相应的解答.

日大型旅行社遭遇钓鱼邮件800万用户资料被泄露

2016年6月,日本大型旅行社JTB宣布,因员工打开钓鱼邮件导致网路遭到非法入侵,有近800万客户资料外泄,包括姓名、地址及护照号码等。办案人员称,该钓鱼邮件伪装成全日空(ANA)发来的电子邮件。邮件地址包含「ana」,内容为提醒确认机票预定。员工打开该邮件后,导致电脑及服务器中毒,大量资料被泄露。

Valimail 目前的客户包括 Splunk、City National Bank 以及Yelp等。2018年8月底,该公司表示,将向美国各州选举委员会、投票系统供应商和美国主要党派竞选团队提供电子邮件反欺诈服务。

  1. 罪犯入侵或假冒公司某高管的电子邮件账户,比如说首席财务官(CFO)的。
  2. 罪犯从被黑高管账户,向负责处理汇款事宜的下级雇员,比如主管会计,发送电汇要求。
  3. 主管会计根据其“老板”的指示,提交电汇支付请求。

POP3,Post Office Protocol Version 3,直译就是邮局协议第三版,由RFC1939进行定义.这个协议的主要服务于用户管理邮件服务器上面的电子邮件.具体过程是:当外来邮件发送到收件人的邮件服务器上时,收件人可以使用邮件客户端连接邮件服务器,把未阅读的邮件服务器以及部分信息拉取回本地进行处理.在拉取的过程中,我们可以选择拉取完删除以及拉取完不删除两种方式,不过现在默认一般都是拉取完不删除,方便我们在其他的地方也能对邮件进行阅读以及管理.

假冒商务往来邮件

一般常见通知、商务通信的面貌出现的邮件,是最容易被疏忽的钓鱼邮件。由于这类邮件收件人经常收到,已经习惯以机械化的方式做处理或响应,因此很容易上钩。

责任编辑:

  • 有关该公司的一般性信息,他们的业务领域和生意往来对象;
  • 公司管理人员的姓名和职务;
  • 管理组织架构:谁向谁汇报;
  • 新融资轮的信息;
  • 新产品、服务或专利的信息;
  • 产品或地理扩张计划;
  • 旅行计划。

必威 14用户查收邮件过程

邮件诈骗损失近5000万欧元,奥中资企业CEO遭解雇

2015年12月到2016年1月,被中航工业集团收购的奥地利飞机零部件制造商(FACC)陆续向多个海外账户汇出5000万欧元。攻击者冒充其他员工或合作伙伴,给首席执行官发送电子邮件,要求紧急汇款。2016年5月,FACC公司CEO沃尔特•史蒂芬因此被解雇。

根据Valimail最新调查数据显示,超过70%的联邦域名拥有DMARC记录,以及43%的联邦域名正在“以保护代理机构免受冒名欺诈的方式”进行配置。

如果没能黑掉高管的电邮账户,他们会创建一个看起来很像的域名,比如:

MRA: Mail Receive Agent,邮件接收代理,用来实现IMAP,POP3协议,负责与MUA交互,将服务器上的邮件通过IMAP以及POP3传输给客户端.本例中使用的MRA是Dovecot.

假冒内部运维通知邮件

以内部系统升级、离职人员账号清理、OA系统账号重新验证等理由,要求内部人员输入管理系统、企业邮箱等重要账户密码,获取企业员工详细信息,从而获取进入企业内部系统的权限,或利用员工信息进行进一步的诈骗。

Valimail首席执行官兼联合创始人AlexanderGarcía-Tobar表示,Valimail的研究表明,虚假电子邮件仍然是全球范围内的一个关键问题。不过好消息是,全球各行业在打击虚假电子邮件方面已经取得了令人鼓舞的进展。其中,美国联邦政府起到了非常重要的表率作用,以国土安全部(DHS)为例,他们已经部署了前所未有的“防冒名顶替”技术。

例 1:来自公司高管的邮件

根据上面的几个示意图,我们已经基本了解了邮件发送,接收的一般流程以及每个组件在其中的职责.了解清楚以后,邮件服务器的搭建则会变得简单了许多,明白其中每一步的作用以及缘由.

邮件传播新型敲诈木马数家大型机构受冲击

2016年2月,一款名为Locky的敲诈者木马,在全世界各地快速传播,并成为当今最流行勒索病毒。Locky木马主要利用电子邮件附件传播含有恶意宏的Office文档,用户一旦感染病毒,计算机的文档、图片等重要资料会被恶意加密。用户要想重新解开数据的密码,就必须向木马研发者缴纳一定数量的赎金。

除此之外,Valimail的研究报告还揭示了虚假电子邮件问题的本质。报告指出,虚假电子邮件不仅仅是单纯的“社会工程”问题,而是电子邮件实施方式存在技术问题的直接结果:其缺乏内置的身份验证机制,使得发件人欺诈行为变得非常容易实现。

【编辑推荐】

MTA: Mail Transfer Protocol.邮件传输代理,是SMTP的一种实现.常用的MTA有sendmail,Postfix.本例中使用Postfix.MTA仅仅负责邮件的传输,MDA负责把接收到的邮件保存在硬盘中.

值得注意的是,得益于美国国土安全部2017年10月的授权行为,美国联邦政府如今正在领导所有其他部门落实电子邮件身份验证标准DMARC的实践和执法。DMARC的全名是“基于域名的消息认证、报告和一致(Domain-based Message Authentication, Reporting & Conformance)”,它本身就是一个新的技术规范的名字,用来解决与电子邮件认证协议相关的运作、部署和报告的问题,从而降低电子邮件的滥用情况。

  1. 财务部收到冒充CEO讨论机密公司并购案的罪犯来邮。邮件强调该交易的敏感属性,让雇员感到能被CEO拉进该机密行动圈子是很特别的事。
  2. 邮件解释称,负责该并购案的律师将跟进下达电汇指示。
  3. 罪犯以那名所谓律师的身份,通过邮件或电话的形式,如那封来自CEO的邮件所言,跟进指示电汇支付事宜。
  4. 财务部提交电汇支付请求。

PTR:反向域名解析,可以通过发件人的IP地址反向得知域名,也是一种用以判断发件人是否正常的方式.

  1. 新建邮件,并在收件人栏填入高管的已知邮件地址,向高管确认汇款要求;不要回复可疑邮件,因为很可能会回到罪犯邮箱。如果觉得这么做有点傻,不妨问问自己:“是愿意询问一下CEO或CFO,确认电汇要求真实性;还是愿意不得不告诉他们你刚刚给诈骗犯汇了笔款?”
  2. 欺诈邮件通常措辞相似,要求保密和便利。可以设置电子邮件网关标红关键词,比如“支付”、“紧急”、“敏感”或“秘密”。
  3. 尽管BEC中所用后期邮件可能不含有恶意软件、前期入侵雇员邮箱的部分却往往用到恶意代码,因此,请确保你有个有效的恶意软件检测解决方案。
  4. 注册与真实公司域名略有差异的所有域名。
  5. 仔细审查所有涉及资金转账请求的电子邮件,确定这些请求是否超出正常范围。了解你客户的习惯,包括支付细节、支付原因和支付数额。
  1. MUA向Dovecot请求IMAP连接.
  2. Dovecot发送自己的SSL证书.
  3. MUA发送用户的账号密码.
  4. Dovecot得到账号密码向MySQL查询.
  5. MySQL返回查询结果.
  6. 如果账号密码正确,Dovecot读取在改用户路径下的信息.
  7. 得到最新的邮件以及其他的一些统计信息.
  8. 通过IMAP协议发送给MUA.

Vailimail 是一家专注于防止虚假和欺诈性电子邮件进入用户收件箱的公司。2018年7月,该公司宣布为自家反假冒平台扩展一些新功能,这些功能将让黑客更难通过电邮冒充别人。据悉,这套名为“Valimail”的新解决方案聚焦的是两类利用虚假来信实施的攻击:

FBI警告称,此类电汇转账要求措辞得当,特定于具体业务,不会引起对汇款要求合法性的怀疑。以往那种充斥语法和拼写错误,或者场景描述极端不真实的拙劣诈骗,已经绝迹于江湖了。

LMTP:Local Mail Transfer Protocol.本地邮件传输协议,是SMTP协议的扩展.本例中用与同一主机内邮件传输.

必威 15

例 3:关于公司并购的律师来邮

创建虚拟域名配置

创建:/etc/postfix/mysql-virtual_domains.cf

user = mail_adminpassword = mys123123dbname = mailquery = SELECT domain AS virtual FROM domains WHERE domain='%s'hosts = 127.0.0.1

1. 公司高管类型

一旦知道了该冒充谁,该针对谁,哪些消息是最可信的,罪犯就建立了发送欺诈请求的方式方法。如果他们能入侵高管的电邮账户,他们会控制邮件流以规避检测。他们可能会设置收件箱规则,比如重定向或删除攻击中的特定邮件,防止该账户合法用户看到这些邮件。或者,他们可以编辑“回复”地址,将对欺诈相关邮件的回复,重定向到罪犯设置的电邮地址。

IMAP, Internet Message Access Protocol, 直译过来就是网络信息访问协议,可能和现在主流的翻译不太一致,不过能理解其意思就好.相对于pop3协议所有邮件的管理都需要下载下来进而管理,IMAP提供了用户远程访问邮件服务器的途径,因而通过IMAP,用户可以直接管理邮件服务器上的邮件.

这一总数还仅仅包含了精确域(exact-domain)发件人欺诈,在这种形式中,发件人会在“From”(邮件来源)一栏中放入虚假的电子邮件地址。这是最难检测且极具破坏性的虚假电子邮件类型之一。例如,联邦调查局(FBI)最近报告称,过去几年中,企业电子邮件诈骗(BEC诈骗)损失成本已达到120亿美元。所谓“BEC诈骗”,即通过冒充/盗用决策者的邮件,来下达与资金、利益相关的指令。

例 2:通过欺骗性电邮地址发来的供应商/商业合作伙伴发票

Postfix:一个开源的MTA服务器,负责通过SMTP协议管理发送到本机的邮件以及由本机向外发送的邮件.与sendMail相似.现今流行的服务器套件例如Zimbra,IRedMail内部都采用Postfix作为MTA.

  • 美国在虚假电子邮件来源方面仍然领跑全球;
  • 各个行业的DMARC实践率都在不断提高;
  • DMARC执法仍然是一项重大挑战,每个行业的失败率为75%-80%;
  • 尽管实践率很高,但每个行业的SFP使用率仍在持续增长;

必威 16

必威 17DKIM公钥

FBI还总结并公布了几种常见的BEC欺诈手段:

创建邮件转发配置

创建:/etc/postfix/mysql-virtual_forwardings.cf

user = mail_adminpassword = mys123123dbname = mailquery = SELECT destination FROM forwardings WHERE source='%s'hosts = 127.0.0.1

3. 房地产交易类型

SMTP全称是Simple Mail Transfer Protocol,直译过来就是简单邮件传输协议, 由RFC5321定义.主要的工作就是把邮件信息从发件人的邮件服务器中传送到接收人的邮件服务器中,偶尔我们使用MUA来发送邮件的话,也承载传输用户邮件到发件服务器的功能, 因而也称作协议,顺带提一下,SMTP协议的出现是比HTTP还早的,最早在1982年中发布第一版的RFC.因而因为提出的年代久远,所以在当时有许多问题都考虑不全面并且也有这许多的限制,例如SMTP要求信息内容需要是7位的ASCII来承载,因而我们在发送以及接受的时候,都需要将其编码解码.另外,SMTP还存在一个问题就是没有对发送方进行一个身份验证,虽然在早期的互联网环境没有很大问题,但是在垃圾邮件满天飞的今天,这却是一个明显的短板.因而衍生出了SPF, DKIM, DMARC等一系列用来验证发件人身份的方法.

根据最新报告显示,虚假电子邮件的日发送量已经高达64亿封——大多数行业在保护自身免受虚假电子邮件欺诈方面的能力也取得了渐进式的进展——尤其是美国政府,作为虚假电子邮件最大的来源国,其在打击虚假电子邮件方面也展示了超强的领导能力。

假设yusen@Foxmail.com发送一封邮件到yusen@yusengy.info中.

罪犯以被黑公司高管电邮账户,向公司负责保管报税表或其他个人可识别信息(PII)的人员,发送索要此类信息的邮件。

修改防火墙开放端口

修改防火墙开发相应的端口,分别是25, 465, 587, 110, 995, 143, 993.

美国时间2018年8月22日,世界上唯一的全自动电子邮件身份验证服务提供商Valimail,宣布了其关于电子邮件欺诈状况的最新季度研究结果。

必威 18邮件服务器接受邮件

如今,在其最新发布的系列报告中,Valimail已经有能力展示全球各行各业在打击虚假电子邮件的斗争中所取得的突出成果。

  1. foxmail.com服务器会通过DNS查询到yusengy.info的MX记录,然后找到Postfix所在的服务器所在.
  2. 邮件通过SMTP协议发送给Postfix.
  3. Postfix通过MySQL查询,yusengy.info是否是本机需要处理的域名.
  4. MySQL通过查询返回确认信息给Postfix.
  5. Postfix得到确认信息,把邮件传送给Dovecot,由Dovecot的LMTP服务来说投递工作.
  6. Dovecot把邮件的内容保存在对应的路径中.

罪犯冒充或黑了公司高管(比如首席信息官和首席财务官)的电子邮箱,指示下属向欺诈账户电汇款项。

SPF:Sender Policy Framework,直译过来就是发件人保证框架.出现的主要原因是SMTP协议的缺陷.XMTP中,发件人的邮箱地址是可以伪造的,因而SPF的出现就是防止伪造发件人.SPF的记录实际上就是DNS服务器上面的一个记录.如果邮件服务器收到了一封邮件,来自主机的IP是45.76.210.63并且生成发件人为yusengy@info.邮件服务器会去查询yusengy@info的SPF记录.如果SPF记录的IP为45.76.210.63,那么就认为是合法的,否则通常都会被退信.SPF记录一般如下.

虽然,打击虚假电子邮件还有很长的路要走,但美国国土安全部的例子已经表明,阻止电子邮件冒名顶替对我们的最高机构而言至关重要,并且完全有能力实现。

MDA: Mail Deliver Agent,邮件分发代理.负责将接收到的邮件保存在邮件服务器上.sendmail以及Postfix默认使用的MDA是procmail.

罪犯在房产交易中冒充卖家、经纪人、过户公司或律所,要求买家向欺诈账户打钱。

MUA:Mail User Agent.用户邮件代理,用户通过MUA接收发送邮件.例如Outlook, formail等.

关于Vailimail

必威 19用户发送邮件过程.png-19.1kB

因此,想要解决虚假电子邮件危机也需要诉求于技术解决方案,建议用户可以从电子邮件身份验证标准DMARC、SPF以及DKIM入手

必威 20SPF记录

《Valimail Q2 2018年电子邮件欺诈全景》报告显示,虚假电子邮件仍然是一个非常严重的问题,目前,全球虚假电子邮件的日发送量估计已高达64亿封。

域名解析配置

必威 21域名解析配置

由于Centos中默认的源没有MySQL,因而使用MariaDB代替,实际使用与MySQL一致.首先更新系统yum update -y.把系统的一些组件更新到最新,然后需要修改一些CentOS的源设置,因为CentOS默认源里面的Postfix默认是不能和MariaDB协同工作的,因而我们需要安装扩展源里面的Postfix.修改: /etc/yum.repos.d/CentOS-Base.repo

[base]name=CentOS-$releasever - Baseexclude=postfix#released updates[updates]name=CentOS-$releasever - Updatesexclude=postfix

修改完毕以后,我们让扩展源生效,并且安装我们所需要的应用以及服务.

yum --enablerepo=centosplus install postfixyum install dovecot mariadb-server dovecot-mysql

接下来,我们配置MariaDB数据库来处理虚拟域名以及用户信息.

MariaDB的安装配置与MySQL有些许不同,MySQL是在安装的时候设置root的密码,而MariaDB则是在安装完毕后设置密码.首先我们启动MariaDB.

systemctl enable mariadb.servicesystemctl start mariadb.service

然后,我们进行一些初始化的配置.

mysql_secure_installation

输入mysql_secure_installation后,我们可以修改root用户的密码,禁止外部使用root登录,删除匿名账户以及删除test表等等.

本文由必威发布于必威技术,转载请注明出处:从零开始邮件服务器搭建,无标题文章

关键词:

上一篇:大佬言论,子弹短信B轮融资基本完成

下一篇:没有了

最火资讯