輕松應(yīng)對郵件服務(wù)器攻擊

　　加固郵件服務(wù)器，首先在它前面安裝郵件過濾網(wǎng)絡(luò)工具，或者使用被管理的郵件過濾服務(wù)將有助于減輕來自垃圾郵件發(fā)送者和其它途徑的攻擊。

　　隨著針對最終用戶和他們的桌面系統(tǒng)的攻擊日漸增多，直接攻擊郵件服務(wù)器的情況有所減少(雖然這種減少是相對的)。但是，服務(wù)器仍然是脆弱的，因?yàn)楣粽卟粩喟l(fā)現(xiàn)微軟的EXChange server甚至Sendmail的漏洞。下面來看兩個常見的攻擊，以及減少或終止郵件服務(wù)器遭受這些攻擊的方法。

　　根源之一：緩沖區(qū)溢出漏洞

　　當(dāng)一個軟件程序，如郵件服務(wù)器軟件，在一個數(shù)據(jù)緩沖區(qū)中存儲了超過最初允許量的更多的數(shù)據(jù)，并且未曾防備始料未及的輸入時，就會發(fā)生緩沖區(qū)溢出。攻擊者可以利用這個缺陷讓郵件服務(wù)器執(zhí)行它未計(jì)劃執(zhí)行的其它程序。如果郵件服務(wù)器的運(yùn)行享有特權(quán)的話，就會危及到整個系統(tǒng)的安全。即便郵件服務(wù)器不享有特權(quán)，攻擊者還是能夠危及它的安全，并獲得對它的資源的完全控制權(quán)限。

　　雖然緩沖區(qū)溢出是由于偶然的編程錯誤導(dǎo)致的，但是它對于數(shù)據(jù)完整性而言卻是一種很常見的安全漏洞。當(dāng)發(fā)生緩沖區(qū)溢出情況時，多余的數(shù)據(jù)會包含被設(shè)計(jì)用于觸發(fā)特定行為的代碼，如：向被攻擊的服務(wù)器發(fā)送可能損壞用戶文件、修改數(shù)據(jù)或暴露絕密信息的新指令。

　　過去攻擊者常常利用緩沖區(qū)溢出漏洞使蠕蟲在因特網(wǎng)上不同的服務(wù)器之間穿行，從而證明他們的本領(lǐng)。但是近來，緩沖區(qū)溢出漏洞有了更明確的目標(biāo)。它們讓攻擊者危及郵件服務(wù)器的安全，以便接下來它們能夠利用郵件服務(wù)器來發(fā)送垃圾郵件。

　　這種攻擊會導(dǎo)致兩個嚴(yán)重后果。首先，郵件服務(wù)器被危及安全意味著攻擊者可以閱讀公司的來往郵件。結(jié)果可能是災(zāi)難性的。其次，攻擊者可以使用公司的服務(wù)器資源發(fā)送垃圾郵件。這種情況會給公司帶來壞名聲，并違反ISP合同，常常意味著服務(wù)終止。

　　加固郵件服務(wù)器(以及任何其它公共服務(wù)器)，防止緩沖區(qū)溢出漏洞和其它形式的攻擊是非常重要的。還可以采取其它一些保護(hù)措施。

　　應(yīng)對之一：服務(wù)器加固

　　減少郵件服務(wù)器的安全受到威脅的機(jī)會的最好方式就是加固郵件服務(wù)器本身。在任何情況下，加固都值得努力做出。在加固過的服務(wù)器上，特別是那些因特網(wǎng)上的服務(wù)器，很少有服務(wù)會被漏洞攻擊到，那些服務(wù)通常是被“區(qū)別對待” 的。加固通常需要采取如下措施：

　　• 從物理上保證計(jì)算機(jī)的安全;

　　• 更新操作系統(tǒng)和應(yīng)用軟件;

　　• 啟用日志，記錄管理員訪問和使用資源的操作;

　　• 刪除不必要的應(yīng)用程序、服務(wù)和工具;

　　• 啟用本地防火墻服務(wù);

　　• 限制有特權(quán)賬號的使用。

　　通過加固服務(wù)器，可以大大減少它們的薄弱環(huán)節(jié)。但僅僅加固郵件服務(wù)器通常是不夠的。更好的解決方案是在加固服務(wù)器的同時，在郵件實(shí)際抵達(dá)服務(wù)器之前提供額外的對郵件通訊的過濾。

　　可以通過使用網(wǎng)絡(luò)工具、管理服務(wù)和集成到現(xiàn)存的郵件系統(tǒng)(如：微軟的EXChange)中的軟件來預(yù)先對郵件通訊進(jìn)行過濾。切記防御要分成不同的層次——例如：加固內(nèi)部郵件服務(wù)器，同時為保護(hù)周邊環(huán)境而部署已被供應(yīng)商加固的網(wǎng)絡(luò)工具。

　　應(yīng)對之二：網(wǎng)絡(luò)工具

　　郵件過濾網(wǎng)絡(luò)工具是部署在內(nèi)部郵件服務(wù)器前面的。這些工具通常提供兩種類型的防火墻：包過濾防火墻和應(yīng)用級防火墻。作為包過濾防火墻的網(wǎng)絡(luò)工具只允許到郵件服務(wù)(如：SMTP，通常是POP3和IMAP)所使用的端口的有效TCP/IP通訊。作為應(yīng)用級防火墻的工具確保發(fā)送服務(wù)器正確地使用SMTP，并遵循相關(guān)的IEEE Requests for Comments(RFCS)和慣例(如：支持反向DNS設(shè)置)。

　　網(wǎng)絡(luò)工具由于這樣幾個原因而不易受到攻擊。首先，絕大多數(shù)工具都運(yùn)行在高度定制的操作系統(tǒng)上。這些操作系統(tǒng)已經(jīng)將絕大多數(shù)可能使攻擊者立足的額外服務(wù)禁止掉了(或者從最開始就專門為工具的使用而對操作系統(tǒng)進(jìn)行了定制)。

　　其次，工程師們在加固工具時嚴(yán)格遵守最佳實(shí)踐。

　　最后，一個工具只允許進(jìn)出郵件服務(wù)器的限定類型的通訊(即與郵件傳輸相關(guān)的通訊)，甚至這類通訊都要經(jīng)過仔細(xì)的檢查。

　　應(yīng)對之三：被管理的服務(wù)

　　采用被管理的服務(wù)，所有的郵件都先被發(fā)送到一個過濾郵件的offsite服務(wù)中，這個服務(wù)隨后將有效的郵件轉(zhuǎn)發(fā)到公司的郵件服務(wù)器。

　　要運(yùn)用這個策略有效地防止直接使用郵件協(xié)議的攻擊，內(nèi)部郵件服務(wù)器必須只接收被管理的服務(wù)發(fā)起的連接，而不接收任何其它連接。但是這些服務(wù)只對進(jìn)入的郵件通訊有效。出去的郵件通訊還是直接被發(fā)送到因特網(wǎng)上的其它服務(wù)器，從而激活使用郵件協(xié)議的可能漏洞(例如：在SMTP傳輸過程中一個接收郵件服務(wù)器會攻擊發(fā)送郵件服務(wù)器軟件中的緩沖區(qū)溢出漏洞)。

　　應(yīng)對之四：集成軟件

　　最后，可以安裝集成軟件來幫助保護(hù)郵件服務(wù)器。這個安裝在本地的軟件能防范網(wǎng)絡(luò)攻擊，使服務(wù)器更穩(wěn)固。集成軟件通常運(yùn)行在應(yīng)用層(即SMTP)來保護(hù)服務(wù)器免受漏洞攻擊。一些集成軟件用一個定制的加固版本代替服務(wù)器本地的TCP/IP棧。

　　但是，更為常見的是本地過濾軟件和郵件軟件合作，而不是在郵件軟件和外部系統(tǒng)之間建立一堵墻。當(dāng)攻擊者可以直接訪問到郵件服務(wù)器時(例如：如果一個內(nèi)部的可信任的用戶發(fā)起攻擊)，采用這種方法的集成軟件就能夠發(fā)揮作用。

　　應(yīng)對五：拒絕服務(wù)攻擊和目錄收集攻擊

　　拒絕服務(wù)(Denia1 of Service，DoS)攻擊會降低目標(biāo)系統(tǒng)的能力。比方說一個郵件服務(wù)器，攻擊者試圖放慢它或者把它搞癱瘓。攻擊者以幾種方式發(fā)起拒絕服務(wù)攻擊，包括消耗網(wǎng)絡(luò)資源和發(fā)起目錄收集攻擊。

　　當(dāng)攻擊者通過網(wǎng)絡(luò)資源消耗實(shí)施拒絕服務(wù)攻擊時，攻擊常常集中在消耗目標(biāo)機(jī)器的所有可獲得的進(jìn)入連接上。因?yàn)镾MTP是一個TCP協(xié)議，一個成功的漏洞攻擊只要求攻擊者請求的TCP連接的數(shù)目比能夠獲得的TCP連接數(shù)更多。也就是說，攻擊者創(chuàng)建比郵件服務(wù)器所能處理的連接數(shù)更多的指向郵件服務(wù)器的連接。這樣郵件服務(wù)器就不能再接受來自合法的郵件服務(wù)器的有效的進(jìn)入連接了。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]