基于多因素的郵箱安全檢測模型

李揚 方勇 黃誠 劉亮

摘 要：針對缺乏中國域名電子郵箱安全檢測研究的問題，設計了一種基于多因素電子郵箱安全性檢測模型。首先，基于數據采集和域名篩選模塊提取真實有效的不同類別域名數據；其次，基于多因素漏洞檢測和數據分析模塊檢測SPF、DMARC、STARTTLS等電子郵箱安全擴展協議的實施情況。實驗獲取了18140個政府機構域名和2766個教育機構域名，其中 25.5%的教育機構和4.50%的政府機構域名發布了有效SPF記錄；僅7個教育機構和2個政府機構域名發布了有效DMARC記錄；46.8%的教育機構和10.4%的政府機構域名支持STARTTLS擴展。

關鍵詞：電子郵箱偽造；SPF協議；DMARC協議；STARTTLS協議；電子郵箱安全

中圖分類號：TP309 文獻標識碼：A

Abstract： A multi-factor based e-mail security detection model is designed to solve the problem of lack of Chinese domain name e-mail security detection research. Firstly， the real and effective domain datasets are obtained by data acquisition and domain name filtering and extraction. Secondly， based on multi-factor vulnerability detection and data analysis module to detect the implementation of SMTP security extensions such as SPF， DMARC， STARTTLS. The experiment obtained 18140 government domains and 2766 educational institution domains， which 25.5% educational institutions and 4.50% government domains published valid SPF records. Only 7 educational institutions and 2 government domains published valid DMARC records. In addition， 46.8% of educational institutions and 10.4% of government domains support STARTTLS extensions.

Key words： e-mail forgery； SPF； DMARC； STARTTLS； e-mail security

1 引言

網絡釣魚攻擊成為當今網絡安全威脅中不可忽視的重要部分。根據國際反釣魚工作組APWG（Anti-Phishing Working Group）發布的2018網絡釣魚活動趨勢報告（Phishing Activity Trends Report），2018年第一季度總共檢測到263，538次網絡釣魚攻擊，比2017年第四季度增加46%[1]。

電子郵箱偽造作為實施網絡釣魚攻擊中至關重要的步驟，使用偽造的發件人地址創建電子郵件，欺騙受害者認為該電子郵件是由合法可信的來源發送，從而可能導致嚴重的網絡安全風險[2]。SMTP（Simple Mail Transfer Protocol）簡單郵件傳輸協議，采用明文方式傳輸，缺乏內置防止電子郵箱偽造的安全設計[3]。盡管目前相關機構已經發布了致力于提高郵件安全性、驗證郵件發送者的SMTP安全擴展協議，包括SPF、DKIM、DMARC、STARTTLS等，但是該類SMTP安全擴展的實施采用率卻不容樂觀。

此外，據360互聯網安全中心統計，2017年中國企業級電子郵箱收發電子郵件共計5861.9億封[4]。電子郵箱偽造及郵箱安全是反釣魚防護工作中亟待解決的安全問題，嚴重威脅著相關機構郵箱安全的健康發展。

Ian Foster等人研究分析了TLS、SPF、DMARC在全球郵件提供商的應用情況[5]。Hang Hu等人的研究表明，2017年10月，Alexa排名TOP1百萬域名中，僅49.3%的域名DNS設置了SPF記錄，僅4.6%的域名DNS設置了DMARC記錄[6]。然而，此類研究均缺乏針對中國域名的郵箱安全性檢測技術研究，尤其缺乏針對教育行業域名、政府機構域名等影響范圍巨大的不同類別域名郵箱安全性的相關檢測研究。

論文的主要貢獻有三項。

（1）提出了一種基于多因素的郵箱安全檢測模型。

（2）采集了中國18140個政府機構域名和2766個教育機構域名。

（3）檢測了教育機構和政府機構的SPF、DMARC、STARTTLS的實施情況和安全風險，并提出相應的防護建議和對策。

2 多因素郵箱安全防護技術

為了保障電子郵件的安全，相關機構已經提出了SPF、DKIM、DMARC、STARTTLS等SMTP標準化的安全擴展協議[7]。其中，SPF、DKIM和DMARC則致力于保障電子郵件的真實性，是防止電子郵箱地址欺騙的主要策略措施，而STARTTLS旨在提供電子郵件通信中的機密性。

2.1 發送方策略框架SPF

發送方策略框架SPF（Sender Policy Framework）建議組織機構或電子郵件服務提供商在其域名解析記錄中發布其主機地址或IP地址塊。電子郵件接收方在接收電子郵件時發起DNS查詢檢查SPF策略，并根據策略拒絕來自非授權IP地址的電子郵件。此外，SPF協議允許域名管理者指定電子郵件接收方如何處理未通過SPF策略檢查的電子郵件，包括通過（Pass）、拒絕（Fail）、軟拒絕（Soft Fail）、中立（Neutral）四種處理策略[8]。其中，軟拒絕的處理策略為服務器應該接收對應的電子郵件，但是標記為可疑電子郵件[9]。

如果組織機構的域名缺乏SPF記錄或者SPF記錄配置存在缺陷，可能導致攻擊者能夠在任意服務器發送偽造了電子郵箱地址的電子郵件。另一方面，SPF策略只能檢測電子郵件的發送者屬于發送者指定的域中，滿足該條件的攻擊者仍然可以偽造發件人的地址，但是接收者卻無法檢測到此類篡改攻擊場景[10]。

2.2 域名密鑰識別郵件DKIM

域名密鑰識別郵件DKIM（Domain Keys Identified Mail）使用基于公鑰的方法驗證電子郵件發送者并檢查電子郵件的完整性。電子郵件發送者在電子郵件頭部添加和域名相關的數字簽名，電子郵件接收方在接收電子郵件時發起DNS請求，檢索發送者的公鑰進行簽名驗證[11]。

雖然DKIM在電子郵件傳遞轉發的場景時仍然能夠正確驗證簽名的有效性，但是由于DKIM允許與發送者不同域的第三方進行簽名，導致DKIM無法確定電子郵件中所附簽名對應的簽名者是否合法[12]。

此外，驗證DKIM公鑰的有效性，不僅需要發送者的域名，還需要對應的選擇器（Selector），選擇器的作用使得在同一域下的多個密鑰進行更細粒度的簽名控制。也正因為選擇器自定義和多樣化的特性，使得基于域名進行DKIM檢測存在一定的困難，目前缺乏全面有效的檢測評估電子郵箱域名DKIM的方法。

2.3 基于域的消息認證，報告和一致性DMARC

由于SPF和DKIM均缺乏策略機制有效性的反饋，無法有效判斷發送郵件的屏蔽、策略配置是否正確有效等情況[13]。基于域的消息認證、報告和一致性DMARC（Domain-based Message Authentication， Reporting and Conformance）是一種建立在SPF和DKIM協議基礎上的電子郵件身份驗證、策略和報告協議[14，15]。組織機構或電子郵件服務提供商在其域名解析記錄添加DMARC記錄，發布該發送方是否支持DKIM、SPF身份驗證，以及如果驗證失敗，接收方應采取什么措施，其措施類型包括拒絕（Reject）、隔離（Quarantine）即標記為可疑郵件，無（None）不采取任何具體行動。

DMARC為了實現沒有郵件服務器域的消息報告機制，并將消息報告轉發到能夠接收和處理的外部域，所以允許指定域之外的外部域作為DMARC報告反饋的目的地址。然而，如果攻擊者惡意發布DMARC策略記錄，將DMARC報告外部目的地址指定為受害者，并發送大量郵件，由于DMARC檢測失敗，可能會導致受害者收到大量不必要的報告。為了防止受害者接受大量不必要的DMARC報告攻擊，DMARC提出了外部目的地驗證（Verifying External Destinations）的驗證機制。

如果組織機構的域名缺乏DMARC記錄或者DMARC記錄設置存在缺陷（如外部目的地驗證配置存在缺陷），導致DMARC檢測失敗，從而可能導致攻擊者仍然能夠成功發送偽造電子郵箱地址的電子郵件。

2.4 加密通信端口的擴展STARTTLS

STARTTLS是一種將純文本通信升級為加密通信且不使用單獨的加密通信端口的擴展[16]。基于STARTTLS的SMTP安全擴展，旨在解決SMTP明文中繼傳輸的缺陷，保護電子郵件在郵件傳輸代理MTA服務器每一跳之間傳輸過程中的機密性，防止郵件內容被惡意竊取[17]。

如果組織機構的電子郵箱服務器不支持STARTTLS，則在電子郵件的傳輸過程中可能會被攻擊者截獲通信內容。此外，由于STARTTLS是一種機會性加密，存在中間人降級攻擊等風險則不屬于論文討論的范疇。

3 檢測模型

為了有效地對中國不同類別域名郵箱安全性進行研究，分析其域名的郵箱偽造防護策略的實施情況和機密性通信的支持情況，論文提出了基于多因素的郵箱安全檢測模型。

檢測模型總體結構，如圖1所示，主要包括四個模塊，分別是數據采集模塊、域名篩選提取模塊、多因素漏洞檢測模塊、數據分析模塊。首先，基于數據采集和域名篩選提取真實有效的不同類別域名數據；其次，基于多因素漏洞檢測和數據分析檢測研究SPF、DMARC、STARTTLS等電子郵箱安全擴展的實施情況。

3.1 數據采集模塊

基于聚合網站、搜索引擎和流量提取的多源信息渠道，結合動態爬蟲技術和信息提取技術采集不同行業類別的域名。例如，針對教育行業域名數據收集的步驟：首先，采集中國高等教育學生信息網在線院校信息庫域名數據[18]；其次，根據全國高等學校名單[19]并結合搜索引擎，基于關鍵詞信息提取技術提取域名信息；最后，基于DNS域名流量信息提取教育機構相關域名數據[20]，綜合多渠道信息形成初始域名庫數據。

3.2 域名篩選提取模塊

域名篩選提取模塊進一步篩選提取數據采集模塊采集形成的初始域名庫數據。結合域名有效性檢測、URL存活性檢測、基于網頁Title的內容篩選以及基于Chrome Headless動態獲取網頁快照的篩選技術對不同行業的初始域名庫進行篩選，并對篩選后的域名數據進行去重化處理從而形成不同類別的域名數據庫。

3.3 多因素漏洞檢測模塊

根據域名可能存在的不同電子郵箱安全問題，分析SPF、DMARC、STARTTLS等不同電子郵箱安全因素的特征，編寫對應的漏洞檢測插件。多因素漏洞檢測模塊采用插件式的漏洞掃描架構，調度不同漏洞掃描插件對篩選去重后的不同類別域名數據庫進行漏洞掃描，檢測其對應的安全缺陷，并將檢測結果存儲到漏洞信息數據庫。

3.4 數據分析模塊

數據分析模塊基于多因素漏洞檢測模塊檢測形成的漏洞信息數據庫進行數據分析，統計分析不同類別域名電子郵箱偽造防護策略的實施情況和機密性通信的支持情況，聚合分析采取不同策略及措施的分布情況和特點，并進一步分析其安全配置的缺陷以及配置無效的原因。此外，針對不同類別的域名電子郵箱存在的安全性缺陷提出相應的建議。

4 實驗及結果分析

4.1 實驗環境

實驗環境的軟硬件配置信息。CPU：Intel（R） Core（TM） i7-7700 3.60GHz；內存：16G；GPU： NVIDIA GeForce GTX 1060 6GB；操作系統Ubuntu 16.04.4 LTS操作系統，檢測框架基于Python3.6語言實現。

4.2 實驗數據

基于論文提出的檢測框架，為了驗證模型的有效性，針對國內的教育機構域名、政府機構域名進行電子郵箱安全性檢測。結合數據采集模塊進行多源渠道信息采集，以及域名篩選提取模塊處理過后，獲取得到18140個政府機構網站、2827個教育機構網站（其中包含2569所高等學校網站）。由于存在部分教育機構使用不同子域名但是使用相同域名的情況，經過篩選處理去重后，最終收集了18140個政府機構域名、2766家教育機構域名（其中包含2508所高等學校域名）的數據庫作為論文實驗數據集。

4.3 實驗結果及數據分析

基于實驗數據集，2018年8月針對政府機構和教育機構域名發布實施SPF、DMARC的情況，以及對應電子郵箱服務器支持STARTTLS的情況進行檢測。

4.3.1 SPF的統計分析

教育機構（包括高等學校）和政府機構域名SPF的統計分析結果如表1所示。教育機構789家（28.5%）的域名存在SPF記錄，其中有效SPF記錄為704個（25.5%）。

如果SPF認證失敗后：采取軟拒絕策略的有418個（15.1%），采取拒絕策略的有275個（9.9%），采取中立策略的有11個（0.40%），沒有采取通過策略的域名。教育機構中高等學校的743個（29.6%）域名存在SPF記錄，其中有效SPF記錄為666個（26.6%）。

如果SPF認證失敗后：采取軟拒絕策略的有399個（15.9%），采取拒絕策略的有258個（10.3%），采取中立策略的有9個（0.36%），沒有采取通過策略的域名。相比較而言，高等學校域名存在SPF記錄的比例以及有效SPF記錄的比例均高于教育機構域名。此外，SPF認證失敗后高等學校采取軟拒絕策略和拒絕策略的比例也高于教育機構域名。另一方面，有905個（4.99%）的政府機構域名存在SPF記錄，其中817個（4.50%）為有效的SPF記錄。

如果SPF認證失敗后，采取軟拒絕策略的有405個（2.23%），采取拒絕策略的有402個（2.22%），采取中立策略的9個（0.05%），采取通過策略的1個（0.006%）。

分析發現，部分域名雖然發布了SPF記錄，但是SPF記錄配置無效，導致不能通過SPF驗證機制。主要原因包括發布多條SPF記錄、缺乏有效的分隔符、存在無效字符、拼寫錯誤、缺乏必要配置信息等。

4.3.2 DMARC的統計分析

教育機構和政府機構域名DMARC統計分析結果如表2所示。教育機構184個（6.65%）域名發布了DMARC記錄，有效的DMARC記錄為7個（0.25%）。

如果DMARC認證失敗后，采取無策略的有5個（0.18%）域名，采取隔離策略的有2（0.07%），沒有采取拒絕策略的域名。政府機構49個（2.7%）的域名發布了DMARC記錄，有效的DMARC記錄為2個（0.01%）。

如果DMARC認證失敗后，采取隔離策略的有1個（0.005%），采取拒絕策略的1個（0.005%），沒有采取無策略的域名。

分析發現，部分教育機構和政府機構域名采用第三郵箱服務器發送企業郵件，雖然發布了DMARC記錄，但是由于第三方電子郵件服器域名沒有發布對應的外部目的地驗證授權記錄，導致DMARC外部目的地驗證失敗，從而導致DMARC驗證無效。另一方面，分析發現教育機構中發布有效DMARC記錄的域名，大部分域名在DMARC認證失敗后，采取無策略，其原因可能是為了防止丟失電子郵件的權衡之策。

4.3.3 STARTTLS的統計分析

教育機構和政府機構域名STARTTLS統計分析結果如表3所示。

教育機構1294個（46.8%）域名的電子郵箱服務器支持STARTTLS，政府機構1893個（10.4%）域名的電子郵箱服務器支持STARTTLS。分析發現，存在電子郵箱服務的域名中，大部分機構使用，如qq.com、163.com、icoremail.net、netease.com、mxhichina.com等提供的郵箱服務，也因為這些服務器均支持STARTTLS，所以支持STARTTLS的比例高于SPF和DMARC。

5 防護建議及對策

根據目前中國的教育機構和政府機構域名在SPF、DMARC、STARTTLS等郵箱安全擴展實施比例不高的問題，以及存在因各種配置缺陷導致安全措施無效的問題。針對發送郵件域名與非發送電子郵件域名兩種場景，提出相應的防護建議和對策。

（1） 針對發送郵件域名的建議

a） 發布有效的SPF記錄，聲明對未通過SPF驗證的電子郵件采取“拒絕”策略，避免使用“通過”策略。

b） 發布有效的DMARC記錄，聲明對未通過DMARC驗證的郵件采取“拒絕”策略，避免使用“無”策略。

c） 采用第三方電子郵箱服務器發送郵件的域名，除了需要發布對應的SPF、DMARC記錄外，還需要在第三方電子郵件服器域名發布相應的聲明，如外部目的地驗證授權記錄等。

d） 建議所有的郵箱服務器均配置支持STARTTLS通信。

（2） 針對非發送郵件域名的建議

建議在非發送郵件域名的DNS記錄中發布“v = spf1 -all”的SPF記錄，表明該域名不發送電子郵件，從而限制任何偽造該域名的電子郵件，均無法通過SPF的驗證。

6 結束語

電子郵箱偽造作為實施釣魚攻擊的重要步驟，嚴重威脅著企業的網絡安全。論文設計了一種基于多因素的郵箱安全檢測模型，基于數據采集模塊和域名篩選提取模塊獲取有效的教育機構域名和政府機構域名，然后基于多因素漏洞檢測模塊和數據分析模塊檢測分析其電子郵箱偽造防護策略的實施情況和機密性通信的支持情況，并提出相應的防護建議和對策。

實驗采集了18140個政府機構域名和2766家教育機構域名，其中25.5%的教育機構和4.50%的政府機構域名發布了有效SPF記錄；僅7家教育機構和2個政府機構域名發布了有效DMARC記錄；46.8%的教育機構和10.4%的政府機構域名支持STARTTLS擴展。

實驗結果表明，論文提出的模型可以有效地收集不同類別的域名數據并有效地對其郵箱安全性進行多因素檢測分析。下一步工作可以針對其他類別的域名進行多因素電子郵箱安全性檢測分析。

參考文獻

[1] APWG. Phishing Activity Trends Report. [EB/OL]. 2018. http：//docs.apwg.org/reports/apwg_trends_report_q1_2018.pdf.

[2] Margaret Rouse. email spoofing. [EB/OL]. 2018. https：//searchsecurity.techtarget.com/definition/email-spoofing.

[3] J. B. Postel， “Simple mail transfer protocol，” 1982， https：//tools.ietf.org/ html/rfc821.

[4] 360互聯網安全中心. 2017中國企業郵箱安全性研究報告. [EB/OL]. 2018. http：//zt.360.cn/1101061855.php？did=491163339&dtid;=1101062514.

[5] Foster I D， Larson J， Masich M， et al. Security by any other name： On the effectiveness of provider based email security[C]//Proceedings of the 22nd ACM SIGSAC Conference on Computer and Communications Security. ACM， 2015： 450-464.

[6] Hu H， Wang G. Revisiting Email Spoofing Attacks[J]. arXiv preprint arXiv：1801.00853， 2018.

[7] Durumeric Z， Adrian D， Mirian A， et al. Neither snow nor rain nor MITM...： An empirical analysis of email delivery security[C]//Proceedings of the 2015 Internet Measurement Conference. ACM， 2015： 27-39.

[8] The SPF Council. Sender Policy Framework. [EB/OL]. 2018. http：//www.openspf.org/SPF_Record_Syntax.

[9] Opazo B， Whitteker D， Shing C C. Email trouble： Secrets of spoofing， the dangers of social engineering， and how we can help[C]//2017 13th International Conference on Natural Computation， Fuzzy Systems and Knowledge Discovery （ICNC-FSKD）. IEEE， 2017： 2812-2817.

[10] Zhao S， Liu S. An Add-on End-to-end Secure Email Solution in Mobile Communications[C]//Proceedings of the 10th EAI International Conference on Mobile Multimedia Communications. ICST （Institute for Computer Sciences， Social-Informatics and Telecommunications Engineering）， 2017： 57-61.

[11] Crocker D， Hansen T， Kucherawy M. DomainKeys Identified Mail （DKIM） Signatures[R]. 2011.

[12] Konno K， Dan K， Kitagawa N. A Spoofed E-Mail Countermeasure Method by Scoring the Reliability of DKIM Signature Using Communication Data[C]//Computer Software and Applications Conference （COMPSAC）， 2017 IEEE 41st Annual. IEEE， 2017， 2： 43-48.

[13] Gersch J， Massey D， Rose S. DANE Trusted Email for Supply Chain Management[C]//Proceedings of the 50th Hawaii International Conference on System Sciences. 2017.

[14] Kucherawy M， Zwicky E. Domain-based message authentication， reporting， and conformance （DMARC）[R]. 2015.

[15] Derouet E. Fighting phishing and securing data with email authentication[J]. Computer Fraud & Security， 2016， 2016（10）： 5-8.

[16] Chan C， Fontugne R， Cho K， et al. Monitoring TLS adoption using backbone and edge traffic[C]//IEEE INFOCOM 2018-IEEE Conference on Computer Communications Workshops （INFOCOM WKSHPS）. IEEE， 2018.

[17] Malatras A， Coisel I， Sanchez I. Technical recommendations for improving security of email communications[C]//Information and Communication Technology， Electronics and Microelectronics （MIPRO）， 2016 39th International Convention on. IEEE， 2016： 1381-1386.

[18] 中國高等教育學生信息網. 院校信息庫. [EB/OL]. 2018. http：//gaokao.chsi.com.cn/sch/.

[19] 中華人民共和國教育部. 全國高等學校名單. [EB/OL]. 2018. http：//www.moe.gov.cn/srcsite/A03/moe_634/201706/t20170614_306900.html.

[20] Rapid7. Forward DNS. [EB/OL]. 2018. https：//opendata.rapid7.com/sonar.fdns_v2/2018-07-21-1532160001-fdns_any.json.gz.