對郵件服務器的攻擊形式多種多樣:有利用緩沖區(qū)溢出漏洞進行的攻擊����,還有拒絕服務攻擊和目錄收集攻擊等等�����。加固郵件服務器、使用郵件過濾工具�����、采用被管理的服務��、安裝集成軟件等措施都可以從不同的側面終止郵件服務器所受到的攻擊����。本文對上述這些措施都有具體描述。
加固郵件服務器���,首先在它前面安裝郵件過濾網(wǎng)絡工具�,或者使用被管理的郵件過濾服務將有助于減輕來自垃圾郵件發(fā)送者和其它途徑的攻擊����。
隨著針對最終用戶和他們的桌面系統(tǒng)的攻擊日漸增多,直接攻擊郵件服務器的情況有所減少(雖然這種減少是相對的)����。但是,服務器仍然是脆弱的,因為攻擊者不斷發(fā)現(xiàn)微軟的EXChange server甚至Sendmail的漏洞�����。下面來看兩個常見的攻擊����,以及減少或終止郵件服務器遭受這些攻擊的方法。
根源之一:緩沖區(qū)溢出漏洞
當一個軟件程序���,如郵件服務器軟件,在一個數(shù)據(jù)緩沖區(qū)中存儲了超過最初允許量的更多的數(shù)據(jù)�����,并且未曾防備始料未及的輸入時�,就會發(fā)生緩沖區(qū)溢出。攻擊者可以利用這個缺陷讓郵件服務器執(zhí)行它未計劃執(zhí)行的其它程序��。如果郵件服務器的運行享有特權的話����,就會危及到整個系統(tǒng)的安全。即便郵件服務器不享有特權�,攻擊者還是能夠危及它的安全,并獲得對它的資源的完全控制權限�。
雖然緩沖區(qū)溢出是由于偶然的編程錯誤導致的,但是它對于數(shù)據(jù)完整性而言卻是一種很常見的安全漏洞�����。當發(fā)生緩沖區(qū)溢出情況時����,多余的數(shù)據(jù)會包含被設計用于觸發(fā)特定行為的代碼,如:向被攻擊的服務器發(fā)送可能損壞用戶文件�、修改數(shù)據(jù)或暴露絕密信息的新指令。
過去攻擊者常常利用緩沖區(qū)溢出漏洞使蠕蟲在因特網(wǎng)上不同的服務器之間穿行���,從而證明他們的本領����。但是近來�,緩沖區(qū)溢出漏洞有了更明確的目標。它們讓攻擊者危及郵件服務器的安全����,以便接下來它們能夠利用郵件服務器來發(fā)送垃圾郵件。
這種攻擊會導致兩個嚴重后果�����。首先,郵件服務器被危及安全意味著攻擊者可以閱讀公司的來往郵件���。結果可能是災難性的���。其次,攻擊者可以使用公司的服務器資源發(fā)送垃圾郵件�����。這種情況會給公司帶來壞名聲����,并違反ISP合同�����,常常意味著服務終止�����。
加固郵件服務器(以及任何其它公共服務器)����,防止緩沖區(qū)溢出漏洞和其它形式的攻擊是非常重要的����。還可以采取其它一些保護措施���。
應對之一:服務器加固
減少郵件服務器的安全受到威脅的機會的最好方式就是加固郵件服務器本身���。在任何情況下,加固都值得努力做出�。在加固過的服務器上,特別是那些因特網(wǎng)上的服務器����,很少有服務會被漏洞攻擊到,那些服務通常是被“區(qū)別對待” 的�。加固通常需要采取如下措施:
• 從物理上保證計算機的安全;
• 更新操作系統(tǒng)和應用軟件;
• 啟用日志,記錄管理員訪問和使用資源的操作;
• 刪除不必要的應用程序��、服務和工具;
• 啟用本地防火墻服務;
• 限制有特權賬號的使用�����。
通過加固服務器�����,可以大大減少它們的薄弱環(huán)節(jié)。但僅僅加固郵件服務器通常是不夠的�����。更好的解決方案是在加固服務器的同時���,在郵件實際抵達服務器之前提供額外的對郵件通訊的過濾����。
可以通過使用網(wǎng)絡工具���、管理服務和集成到現(xiàn)存的郵件系統(tǒng)(如:微軟的EXChange)中的軟件來預先對郵件通訊進行過濾�����。切記防御要分成不同的層次——例如:加固內部郵件服務器,同時為保護周邊環(huán)境而部署已被供應商加固的網(wǎng)絡工具����。
應對之二:網(wǎng)絡工具
郵件過濾網(wǎng)絡工具是部署在內部郵件服務器前面的。這些工具通常提供兩種類型的防火墻:包過濾防火墻和應用級防火墻��。作為包過濾防火墻的網(wǎng)絡工具只允許到郵件服務(如:SMTP,通常是POP3和IMAP)所使用的端口的有效TCP/IP通訊�����。作為應用級防火墻的工具確保發(fā)送服務器正確地使用SMTP���,并遵循相關的IEEE Requests for Comments(RFCS)和慣例(如:支持反向DNS設置)����。
網(wǎng)絡工具由于這樣幾個原因而不易受到攻擊����。首先,絕大多數(shù)工具都運行在高度定制的操作系統(tǒng)上���。這些操作系統(tǒng)已經(jīng)將絕大多數(shù)可能使攻擊者立足的額外服務禁止掉了(或者從最開始就專門為工具的使用而對操作系統(tǒng)進行了定制)����。
其次����,工程師們在加固工具時嚴格遵守最佳實踐。
最后���,一個工具只允許進出郵件服務器的限定類型的通訊(即與郵件傳輸相關的通訊)�,甚至這類通訊都要經(jīng)過仔細的檢查。
應對之三:被管理的服務
采用被管理的服務�,所有的郵件都先被發(fā)送到一個過濾郵件的offsite服務中,這個服務隨后將有效的郵件轉發(fā)到公司的郵件服務器�����。
要運用這個策略有效地防止直接使用郵件協(xié)議的攻擊�����,內部郵件服務器必須只接收被管理的服務發(fā)起的連接�,而不接收任何其它連接。但是這些服務只對進入的郵件通訊有效�����。出去的郵件通訊還是直接被發(fā)送到因特網(wǎng)上的其它服務器�,從而激活使用郵件協(xié)議的可能漏洞(例如:在SMTP傳輸過程中一個接收郵件服務器會攻擊發(fā)送郵件服務器軟件中的緩沖區(qū)溢出漏洞)。
應對之四:集成軟件
最后�����,可以安裝集成軟件來幫助保護郵件服務器����。這個安裝在本地的軟件能防范網(wǎng)絡攻擊��,使服務器更穩(wěn)固�。集成軟件通常運行在應用層(即SMTP)來保護服務器免受漏洞攻擊。一些集成軟件用一個定制的加固版本代替服務器本地的TCP/IP棧��。
但是�����,更為常見的是本地過濾軟件和郵件軟件合作���,而不是在郵件軟件和外部系統(tǒng)之間建立一堵墻�����。當攻擊者可以直接訪問到郵件服務器時(例如:如果一個內部的可信任的用戶發(fā)起攻擊)����,采用這種方法的集成軟件就能夠發(fā)揮作用����。
應對五:拒絕服務攻擊和目錄收集攻擊
拒絕服務(Denia1 of Service�,DoS)攻擊會降低目標系統(tǒng)的能力�����。比方說一個郵件服務器����,攻擊者試圖放慢它或者把它搞癱瘓。攻擊者以幾種方式發(fā)起拒絕服務攻擊���,包括消耗網(wǎng)絡資源和發(fā)起目錄收集攻擊����。
當攻擊者通過網(wǎng)絡資源消耗實施拒絕服務攻擊時��,攻擊常常集中在消耗目標機器的所有可獲得的進入連接上�。因為SMTP是一個TCP協(xié)議,一個成功的漏洞攻擊只要求攻擊者請求的TCP連接的數(shù)目比能夠獲得的TCP連接數(shù)更多���。也就是說��,攻擊者創(chuàng)建比郵件服務器所能處理的連接數(shù)更多的指向郵件服務器的連接�����。這樣郵件服務器就不能再接受來自合法的郵件服務器的有效的進入連接了���。
幾乎找不到什么基于服務器的解決方案能夠防止拒絕安全服務攻擊。大多數(shù)郵件服務器運行在通常用途的操作系統(tǒng)上����,這些操作系統(tǒng)不會為防止拒絕服務攻擊而做調整��。即使在一個加固過的UNIX系統(tǒng)上�����,要提高服務器耐受大量拒絕服務攻擊的能力也需要不同的網(wǎng)絡設置�。因此,公司通常會購買為發(fā)現(xiàn)和防止拒絕服務攻擊而特別創(chuàng)建的系統(tǒng)�����,或能夠接受比通常用途的郵件服務器多得多的同時連接的加固的過濾工具����。這種過濾設備通常能夠更好地發(fā)現(xiàn)拒絕服務攻擊,并采取防御措施。
目錄收集攻擊是由垃圾郵件發(fā)送者發(fā)起的資源密集型攻擊���,從而為將來發(fā)送垃圾郵件確定可用的有效地址���。在發(fā)生目錄收集攻擊時,郵件服務器負載會大大增加�����,影響有效郵件的傳輸�����。此外�����,本地郵件服務器會為無效地址試圖向垃圾郵件發(fā)送者所使用的From地址返回未送達報告�。
返回未送達報告生成另外的外發(fā)郵件通訊���,消耗昂貴的帶寬,進而增加郵件服務器的負載����。因為垃圾郵件發(fā)送者使用的大多數(shù)From地址都是假的�����,所以傳輸未送達報告總是超時���,要求郵件服務器晚些時候再嘗試傳輸�����??傊夸浭占羰且环N代價昂貴的攻擊郵件服務器的形式��。
遺憾的是���,幾乎找不到減輕目錄收集攻擊危險的方法。一種解決方案是使用被管理的服務����。通常被管理的服務維護的郵件服務器的數(shù)量比一個公司所能提供的郵件服務器的數(shù)量要多得多,因此��,目錄收集攻擊并不會在很大程度上影響郵件傳輸。
另一種解決方案是安裝針對這類攻擊優(yōu)化過的前端過濾工具�。在工具中維護一份合法郵件用戶列表(通過靜態(tài)列表或輕型目錄訪問協(xié)議訪問內部目錄)�����,以便過濾器不會將發(fā)給無效用
