邮箱域名反查_苹果 网易 QQ Gmail等邮箱均被“改名邮件”以假乱真 后果严重

厨师的锦鲤？ 万豪正式道歉？ 老板的汇款邮箱？

IT时报记者 郝俊辉

“你好，我是蒂姆·库克。你已被选为苹果的锦鲤。点击下面的链接，苹果会给你一个 XS。” “尊敬的用户，万豪国际集团正在采取措施调查处理喜达屋宾客预订数据库的安全事件，请登录以下地址修改您的信息”、“××，您好，有人使用了您的Apple ID刚才，建议您去……修改密码”“××，上次提到的合同已经签订，请汇10万元到该账户。”……这些邮件近日出现在记者的邮箱中。 当然，它们是假的，尽管这些邮箱的地址与真实的完全相同。

近日，有白帽子团队向《IT时报》记者爆料称，目前全球主流电子邮件地址的邮件服务器存在漏洞。 黑客可以直接伪造官方电子邮件并发送给用户，而无需侵入服务器。 内容通常是网络钓鱼。 网站或木马病毒。

与以往的电子邮件诈骗不同的是，虚假电子邮件的地址与真实地址相同。 用户根本无法辨别真伪，防范极其困难。 据测试，苹果、万豪、Gmail、腾讯QQ邮箱、网易163邮箱、139手机邮箱等国内外主流邮件服务器均受到攻击影响。 至少有数亿用户的邮箱存在安全风险。

个人测试：2分钟准备一份

“老板邮箱”

12月3日，白帽子金科（化名）向记者进行了演示：一整套“黑客”程序被包装在一个巴掌大的盒子里。 通过这套软件，金科可以随意写一封电子邮件。 ，并设置其电子邮件地址，然后发送到指定的电子邮件地址。

两分钟后，记者的QQ邮箱收到了老板发来的邮件。 邮箱地址与真实地址一模一样，后缀为@。 随后，记者的邮箱不断收到来自、等邮箱要求修改密码的邮件，甚至还有一封来自库克（）的锦鲤邮件。 当然，这些都是金科开发的。

在金科的测试中，国内外几乎所有主流邮箱都存在同样的漏洞。 无论是像Gmail、QQ、163、139这样的免费邮箱，还是苹果、万豪等公司的企业公共邮箱，几乎都可以被仿冒，更大的风险在于收件人邮箱很难识别这些虚假电子邮件。

“移动电子邮件客户端尤其是受灾最严重的地区，”金科告诉记者。 部分邮箱的网页版对于这些假冒邮件会有提示：由×××@×××.com发送，但这表明是代发的。 地址也可以提前设置，手机App的收件箱中不会有任何提示。 从收件人的角度来看，这是一封来自官方的正常电子邮件。

原因：邮件服务器“懒”

“如果安全措施配置不正确，它们将成为新的漏洞。” 金科告诉记者，几个月前，这种新型的邮件诈骗手段在国外逐渐出现。 根本原因在于最初用于电子邮件安全的 DMARC 协议。 如果服务提供商配置错误，不仅反网络钓鱼功能完全被禁用，而且几乎所有其他用于保护收件人免受欺诈性电子邮件侵害的预防措施也被禁用，例如垃圾邮件过滤器、IP 信誉查询、SPF 和 DKIM 策略。 再次工作。

DMARC（基于域的消息认证、报告和一致性）是微软、微软、雅虎等于2012年1月30日联合推出的一种新的电子邮件安全协议。此后，中国的网易、QQ等邮箱服务供应商也纷纷加入进来。

DMARC 的基本原则是允许域所有者发布一项策略，告诉收件人在邮件未通过安全验证时该怎么做。

例如，当收件人收到可疑电子邮件时，它会向发件人发送信令，请求 DMARC 验证。 它会询问真正的发件人，“我收到了一封可疑的电子邮件。我该怎么办？” “怎么处理？” DMARC 协议清楚地解释了如何回复收件人。 处理方式从最轻到最重依次为：none 表示不处理；none 表示不处理； 意味着将电子邮件标记为垃圾邮件； 意味着拒绝电子邮件。 DMARC 协议最初的建议是将其设置为 none，但安全公司一般建议至少将其设置为更安全，并且应该是直接的。

换句话说，即使钓鱼邮箱服务器设置了DMARC验证，它们也没有修改初始状态。 当收件箱“回电”询问收到的邮件是否安全时，这些钓鱼邮箱的服务器会直接回复“不处理”，即默认是安全的。 收件人可以很方便地将虚假电子邮件自然地放入收件箱，而不是使用其他垃圾邮件工具来过滤它们。 这个过程有点像以前流行的“改号软件”，诈骗者利用“改号软件”将自己的网络IP电话显示为110或95588等电话号码，以获取收件人的信任。 接收者识别的最佳方法是挂断电话并回电。 但DMARC验证时的“无”设置就像你拨打110问我刚刚接到一个疑似假冒110的电话，我该怎么办？ 而对方告诉你不用处理，默认接受即可。

当然，如果不进行DMARC验证，风险就更大，因为攻击者可以使用正常的信封地址发送电子邮件，但修改标头地址。 这样，当收件人的邮件服务器检测到它时，由于它不执行DMARC，因此只会检查信封地址，而不检查信头显示的发件人地址，使得欺骗性电子邮件很容易直接进入您的收件箱。

在金科的测试中发现Gmail和QQ邮箱都有Dmarc，但是p=none，163邮箱和139邮箱没有Dmarc。 他试图伪造发件人来自这些域，最终虚假电子邮件最终出现在收件人的收件箱中。

金科分析，之所以这样设置，一种可能是这些公司的保安人员“偷懒”；另一种可能是这些公司的保安人员“偷懒”。 另一方面，也可能是公司担心自己的营销邮件也会被收件人拒绝，所以干脆给所有询问“开绿灯”。

危害：精准捕捞“鲸鱼”

“这类改名邮件的最大危险是用户无法识别。” 上海市信息安全行业协会专家委员会副主任张伟告诉《IT时报》记者，黑客利用“改名软件”进行诈骗的方式通常有两种：一种是一次性攻击，针对的是骗取您点击并植入木马； 还有精准攻击，行话叫“捕鲸”。 它针对一些中高端人群，通过现有的社会工程库分析社会关系，然后准确地利用电子邮件进行钓鱼，例如伪造老板的电子邮件地址并向会计师发送要求付款的电子邮件，或者使用伪造的邮件进行钓鱼。 Apple 电子邮件地址，诱骗用户点击钓鱼网站并窃取 Apple ID 和密码。 这种方法成功率高，利润也高。 ，俗称“捕鲸”。

钓鱼邮件作为一种“古老”的网络诈骗手段，不仅依然大量存在，而且还在不断使用新的伎俩。 据不完全统计，全球每天约有1亿封钓鱼邮件被发送。

张伟认为，从这个漏洞可以看出，很多公共邮箱和企业机构在安全防范方面缺乏专业精神，认为有钱就能买到“安全”。 然而，众所周知，如果安全工具部署得不好，其危害甚至比没有工具还要高。

在国外，这个问题已经开始受到重视。 2017 年 10 月 19 日，（DHS）发布“约束性操作指令 18-01”（BOD 18-01），要求联邦机构在 90 天内应用两项协议：DMARC 和 年内，DMARC“拒绝”（）政策（所有二级域名和邮件发送主机都会设置拒绝邮件服务器端未经验证的邮件。

不过，张伟也指出，除了相关机构认识不足之外，这次部署并不简单。 尽管国土安全部明确了时间点，但截至今年9月14日，美国所有.gov域名中DMARC采用率为83%，而使用“p=”的行政部门域名数量策略只有64%。 “要在旗下所有域名都部署DMARC，工作量还是很大的，尤其是一些中小企业的QQ邮箱、网易邮箱。公共邮箱部署自己的企业邮箱时，需要自己修改，但这些企业往往不具备这样的能力，因此这些公共邮箱不仅要修改自己的服务器，还要告诉这些企业客户如何操作。”

12月5日，即测试后的第三天，苹果修改了DMARC验证政策，虚假的苹果电子邮件被纳入垃圾邮件邮箱。 这意味着它将收件人关于真假电子邮件的查询的答案从“无”更改为“无”。 ，但仍然没有拒绝（）。