電子郵件系統(tǒng)的安全性分析

摘 要：電子郵件系統(tǒng)作為現(xiàn)代社會網(wǎng)絡(luò)技術(shù)的一項重要應(yīng)用，其所面臨的安全風(fēng)險日益嚴(yán)峻，現(xiàn)在電子郵件系統(tǒng)安全性的大多數(shù)的研究都集中在如何防范垃圾郵件上。本文就電子郵件系統(tǒng)的設(shè)計原理和操作流程進(jìn)行闡述，對電子郵件系統(tǒng)所受到的安全威脅的漏洞原理進(jìn)行分析，并針對電子郵件系統(tǒng)的功能特點分析了各種漏洞的利用方式和危害影響。

關(guān)鍵詞：電子郵件；系統(tǒng)安全；漏洞原理

中圖分類號：TP393.098

在人類社會發(fā)展史中，人們一開始通過書信進(jìn)行交流，而隨著信息時代的到來，電子郵件成為人們之間交流信息的重要方式之一，深受人們的歡迎并扮演著越來越重要的角色。近年來，中國互聯(lián)網(wǎng)發(fā)展迅猛，作為互聯(lián)網(wǎng)服務(wù)的重要組成部分，電子郵件服務(wù)已成為互聯(lián)網(wǎng)用戶范圍最廣、使用量高速增長的基本應(yīng)用之一。隨著電子郵箱應(yīng)用的深入，其重要性不容小覷，隨之而來的問題是，一旦郵箱系統(tǒng)出現(xiàn)安全問題，所引發(fā)的后果毫無疑問將是災(zāi)難性的，不僅會影響郵箱系統(tǒng)本身的安全，同時將影響通過郵箱賬號綁定的所有應(yīng)用的安全。

1 電子郵件系統(tǒng)的工作原理和所用協(xié)議

1.1 工作原理

電子郵件系統(tǒng)的運作方式與其它的網(wǎng)絡(luò)應(yīng)用有著根本上的不同。在其它的絕大多數(shù)的網(wǎng)絡(luò)應(yīng)用中，網(wǎng)絡(luò)協(xié)議直接負(fù)責(zé)將數(shù)據(jù)發(fā)送到目的地。而在電子郵件系統(tǒng)中，發(fā)送者并不等待發(fā)送工作完成，而是僅僅將要發(fā)送的內(nèi)容發(fā)送出去。

電子郵件系統(tǒng)的操作過程是發(fā)送方將要發(fā)送的內(nèi)容通過自己的電子郵局將信件發(fā)給接收方的電子郵局。如果接收方的電子郵局暫時繁忙，那么發(fā)送方的電子郵局就會暫存信件，直到可以發(fā)送。而當(dāng)接收方未上網(wǎng)時，接收方的電子郵局就暫存信件，直到接收方去取?？梢赃@么說，電子郵件系統(tǒng)就像是在Internet上實現(xiàn)了傳統(tǒng)郵局的功能，而且是更加快捷方便地實現(xiàn)。

1.2 SMTP協(xié)議

SMTP目前已是事實上的在Internet傳輸E-Mail的標(biāo)準(zhǔn)，是一個相對簡單的基于文本的協(xié)議。在其之上指定了一條消息的一個或多個接收者（在大多數(shù)情況下被確定是存在的），然后消息文本就傳輸了?？梢院芎唵蔚赝ㄟ^Telnet程序來測試一個SMTP服務(wù)器，SMTP使用TCP端口25。要為一個給定的域名決定一個SMTP服務(wù)器，需要使用MX DNS。

在SMTP這種方式下，郵件的發(fā)送可能經(jīng)過從發(fā)送端到接收端路徑上的大量中間中繼器或網(wǎng)關(guān)主機(jī)。域名服務(wù)系統(tǒng)（DNS）的郵件交換服務(wù)器可以用來識別出傳輸郵件的下一跳IP地址。SMTP協(xié)議的目標(biāo)是可靠高效地傳送郵件，它獨立于傳送子系統(tǒng)，而且僅要求一條可以保證傳送數(shù)據(jù)單元順序的通道。

1.3 IMAP/POP3協(xié)議

IMAP的英文全稱是Internet Message Access Protocol，也即是因特網(wǎng)消息訪問協(xié)議，它是一個應(yīng)用層的協(xié)議，主要用來從Web郵件前端或者本地郵件客戶端訪問遠(yuǎn)程服務(wù)器上的郵件。

POP3即郵局協(xié)議的第3個版本，它是規(guī)定個人計算機(jī)如何連接到互聯(lián)網(wǎng)上的郵件服務(wù)器進(jìn)行收發(fā)郵件的協(xié)議。它是因特網(wǎng)電子郵件的第一個離線協(xié)議標(biāo)準(zhǔn)，POP3協(xié)議允許用戶從服務(wù)器上把郵件存儲到本地主機(jī)上，同時根據(jù)客戶端的操作刪除或保存在郵件服務(wù)器上的郵件，而POP3服務(wù)器則是遵循POP3協(xié)議的接收郵件服務(wù)器，用來接收電子郵件的。POP3協(xié)議是TCP/IP協(xié)議族中的一員，由RFC 1939定義。本協(xié)議主要用于支持使用客戶端遠(yuǎn)程管理在服務(wù)器上的電子郵件。

總的來說，IMAP/POP3服務(wù)器用于實現(xiàn)對郵件內(nèi)容服務(wù)器上郵件的讀取和操作。

2 電子郵件系統(tǒng)所受攻擊類型分析

電子郵件系統(tǒng)可以通過客戶端和Web兩種方式進(jìn)行訪問，客戶端訪問可以通過限制連接數(shù)進(jìn)行訪問控制，從而杜絕垃圾郵件利用，其安全防范較為簡單。而通過Web方式訪問電子郵件，其針對網(wǎng)頁應(yīng)用的漏洞和攻擊形式都可以運用到網(wǎng)頁郵箱系統(tǒng)中，然而考慮到Web郵箱系統(tǒng)自身的特點以及各種類型Web漏洞的在實際運用中的普遍程度和攻擊效果，我們側(cè)重考慮如下五種安全風(fēng)險類型。

2.1 注入漏洞攻擊

這種漏洞是現(xiàn)在應(yīng)用最廣泛，殺傷力也很大的漏洞，可以說微軟的官方網(wǎng)站也存在著注入漏洞。注入漏洞是因為字符過濾不嚴(yán)謹(jǐn)所造成的，可以得到管理員的賬號密碼等相關(guān)資料。這種漏洞包括SQL注入、代碼注入、命令注入、LDAP注入、XPath注入等。

對于Web電子郵箱系統(tǒng)，注入漏洞和一般的Web應(yīng)用并無太多差別，因而測試方法和一般的Web應(yīng)用注入漏洞測試方法無異，對于SQL注入漏洞主要測試Web郵箱系統(tǒng)中涉及數(shù)據(jù)庫操作的部分，其他類型的注入漏洞則根據(jù)目標(biāo)Web郵箱的具體實現(xiàn)而進(jìn)行分析。從開發(fā)者的角度來考慮，Web應(yīng)用程序中能觸發(fā)此類注入漏洞的點是相對固定的，此類漏洞的測試和利用方式亦無太大變化，因而比較容易分析和防御。

2.2 跨站請求偽造攻擊

跨站請求偽造（Cross-site request forgery），也被稱為one-click attack或者session riding，通?？s寫為CSRF或者XSRF，是一種挾制用戶在當(dāng)前已登錄的Web應(yīng)用程序上執(zhí)行非本意的操作的攻擊方法。跟跨站腳本（XSS）相比，XSS利用的是用戶對指定網(wǎng)站的信任，CSRF利用的是網(wǎng)站對用戶網(wǎng)頁瀏覽器的信任。

跨站請求偽造漏洞的根源在于瀏覽器不同標(biāo)簽頁之間共享同域會話數(shù)據(jù)的'機(jī)制，具體來說，當(dāng)用戶完成對目標(biāo)Web應(yīng)用站點的登錄驗證之后，瀏覽器會存儲登陸驗證之后由Web應(yīng)用服務(wù)器返回給瀏覽器的會話認(rèn)證信息（即Cookie數(shù)據(jù)），之后凡是針對該站點的HTTP請求，瀏覽器都會自動帶上會話認(rèn)證信息.進(jìn)行校驗，利用這一特性，攻擊者可以偽造HTTP表單，誘騙受害用戶瀏覽執(zhí)行，從而在受害用戶不知情的情況下以受害用戶的身份執(zhí)行表單請求操作，這就是跨站請求偽造。除此而外，最為重要的一點需要注意，目前主流的Web郵箱系統(tǒng)大多數(shù)都提供了郵件自動轉(zhuǎn)寄功能，一旦存在跨站請求偽造漏洞，攻擊者可以在用戶不知情的情況下篡改目標(biāo)用戶的郵件轉(zhuǎn)發(fā)地址，這毫無疑問是一種操作極其簡單而危害卻非常嚴(yán)重的攻擊方式。

2.3 URL訪問控制

URL訪問控制是指Web應(yīng)用開發(fā)者未能對URL的訪問權(quán)限進(jìn)行認(rèn)證，導(dǎo)致攻擊者可以通過簡單地修改URL地址，訪問本該需要通過用戶名密碼認(rèn)證授權(quán)才能訪問的資源，實現(xiàn)越權(quán)訪問操作。

對于URL訪問控制的問題，一般情況來講，目前已有的Web郵箱系統(tǒng)都不至于出現(xiàn)如此低級的錯誤，除非目標(biāo)Web郵件系統(tǒng)由比較粗心或者不熟悉業(yè)務(wù)的程序員編寫，不然一般不會犯URL訪問控制權(quán)限上缺乏校驗的錯誤。之所以在此提及此類漏洞，是因為在實際應(yīng)用中，目前的Web應(yīng)用大多釆用XML或者是JSON格式傳遞數(shù)據(jù)，生成此類動態(tài)數(shù)據(jù)的接口中，所以不排除有URL訪問控制缺乏校驗的問題，這將引發(fā)個人隱私公共安全等信息泄露的問題。

2.4 JSON劫持攻擊

JSON劫持是指利用Web應(yīng)用開發(fā)者不規(guī)范的JSON數(shù)據(jù)傳遞格式，實現(xiàn)跨域內(nèi)容操作，通過JSON劫持攻擊的主要危害是泄露敏感數(shù)據(jù)。通過JSON格式進(jìn)行數(shù)據(jù)傳遞已是目前Web應(yīng)用開發(fā)中常用的手段，當(dāng)然Web郵箱系統(tǒng)也不例外，很多情況下，Web郵箱系統(tǒng)的訪問URL地址中都會帶有用戶登錄系統(tǒng)之后生成的Session校驗數(shù)據(jù)的ID號，比如QQ郵箱系統(tǒng)、新浪郵箱系統(tǒng)。

由于JavaScript被用于傳送數(shù)據(jù)而不是純粹的代碼，因此，一個惡意Web站點可以利用同源策略處理JavaScript方面的缺陷，訪問由其他應(yīng)用程序生成的數(shù)據(jù)。如前所述，實施這種攻擊時需要提交一個XSRF請求。但是，由于現(xiàn)在惡意站點能夠讀取在跨站點響應(yīng)中返回的數(shù)據(jù)，因而它能夠與目標(biāo)應(yīng)用程序進(jìn)行雙向交互?？偠灾琂SON劫持可能導(dǎo)致Web電子郵件中機(jī)密信息的泄露。

2.5 跨站腳本攻擊

跨站腳本攻擊（也稱為XSS）指利用網(wǎng)站漏洞從用戶那里惡意盜取信息。人們經(jīng)常將跨站腳本攻擊（Cross Site Scripting）縮寫為CSS，但這會與層疊樣式表（Cascading Style Sheets，CSS）的縮寫混淆。因此有人將跨站腳本攻擊縮寫為XSS。

跨站腳本分為3個類型。（1）持久型跨站：最直接的危害類型，跨站代碼存儲在服務(wù)器數(shù)據(jù)庫。（2）非持久型跨站：反射型跨站腳本漏洞，最普遍的類型。用戶訪問服務(wù)器-跨站鏈接-返回跨站代碼。（3）DOM跨站（DOM XSS）：客戶端腳本處理邏輯導(dǎo)致的安全問題。

Web郵箱系統(tǒng)主要是提供用戶操作電子郵件的接口，最基本的一個功能就是對電子郵件內(nèi)容的呈現(xiàn)，目前主流的Web郵箱系統(tǒng)都支持郵件內(nèi)容包含HTML的富文木標(biāo)簽，從而為跨站腳本漏洞提供了泛濫的溫床，一旦Web郵箱系統(tǒng)對郵件內(nèi)容的過濾稍有不慎，則將導(dǎo)致跨站腳本漏洞的產(chǎn)生。實際情況下，做到對富文本標(biāo)簽的郵件內(nèi)容過濾是非常困難的：第一，HTML語法比較松散，允許不常用的特殊字符進(jìn)行插入分隔；第二，可注入JavaScript腳本觸發(fā)跨站腳本漏洞的攻擊向量繁復(fù)；第三，HTML5標(biāo)準(zhǔn)引入了新的HTML標(biāo)簽，原有的許多HTML標(biāo)簽則增加了新的特性，進(jìn)一步拓寬了跨站腳本的攻擊向量類型。從跨站腳本漏洞的危害性來看，一旦Web郵箱系統(tǒng)中出現(xiàn)跨站腳本漏洞，攻擊者可以輕易獲取Web郵箱系統(tǒng)的有效數(shù)據(jù)，還可操縱Web郵箱系的數(shù)據(jù)，刪除郵件、發(fā)送包含特定信息的郵件內(nèi)容，修改聯(lián)系人信息等。Web郵箱系統(tǒng)中的跨站腳本漏洞利用的高級形式是編寫針對Web郵箱系統(tǒng)的跨站腳本蠕蟲，實現(xiàn)大范圍的傳播和攻擊。一旦利用蠕蟲進(jìn)行傳播，破壞性是可想而知的。

3 電子郵件系統(tǒng)的改進(jìn)方案

從對上面5種漏洞的分析來看，針對目前主流的Web郵箱系統(tǒng)，安全威脅主要來自于JSON劫持、跨站請求偽造和跨站腳本三種種漏洞類型。至于URL越權(quán)訪問、注入問題兩種類型的漏洞，對于現(xiàn)在主流Web郵箱系統(tǒng)的處理都相對安全。因此在電子郵件服務(wù)器的前端可以對郵件內(nèi)容的富文本以及漏洞進(jìn)行檢測掃描，并提供有效的防御策略以及修復(fù)建議，從而保證電子郵件系統(tǒng)的健康安全的運行。從實際應(yīng)用的角度考慮，分析并改進(jìn)目前主流的電子郵件系統(tǒng)的安全性具有廣泛的現(xiàn)實意義。

參考文獻(xiàn)：

[1]PORTSWIGGER.Burp Suite，the leading toolkit for web application securitytesting[J/OL].http：//www.portswigger.net/burp/

[2]Wikipedia.郵局協(xié)議（第三版）[OL].http：//zh.wikipedia.org/wiki/郵局協(xié)定.

[3]Grosse E，Upadhyay M.Authentication at scale[J].SecurityPrivacy，IEEE，2013（01）：15-22.

[4]Wikipedia.因特網(wǎng)消息訪問協(xié)議[OL].http：//zh.wikipedia.org/wiki/IMAP

[5]David d.rude.Advanced Code Injection Exploitation[Z].Black Hat DC 2010.

[6]Wikipedia.簡單郵件傳輸協(xié)議[OL].http：//zh.wikipedia.org/wiki/簡單郵件傳輸協(xié)議.

作者簡介：陳錦花（1981.06-），女，江蘇人，中級職稱，碩士，研究方向：計算機(jī)網(wǎng)絡(luò)安全、計算機(jī)網(wǎng)絡(luò)教育研究、郵件系統(tǒng)防攻擊研究。

作者單位：南通大學(xué)，江蘇南通 226019