弱帐号攻击防范与SPAM SQR分析工具

2018-06-14 来源：

垃圾邮件（SPAM）定义：

垃圾邮件（SPAM）是未经收件人许可，即大量发送的邮件，邮件内容大都以促销商品为意图。垃圾邮件的也称作UCE（Unsolicited Commercial Email）或UBE（Unsolicited Bulk Email）。

而SPAM，最初是一个罐装肉的牌子。作为品牌标志SPAM，于这个牌子名字的来源有很多解释，官方版本说，它是“Specially Processed Assorted Meat”特殊加工过的混和肉。这种SPAM肉有段时间非常普及，到了无处不在，令人讨厌的程度。导致人们后来用SPAM来称呼互联网上到处散布、同样令人讨厌至极的垃圾邮件（SPAM）。

假设一个用户在每星期收到 12 封垃圾邮件（SPAM），个人用户的损失并非立刻显现，但若一个企业内，每个员工都收到此类邮件时，它对企业网络环境的伤害可不仅仅是一件麻烦事罢了。没有一家企业欢迎垃圾邮件（SPAM），可是SMTP服务器却得负荷传送的流程。CPU、服务器硬盘空间、终端机用户硬盘空间都得因它而影响速度和空间。垃圾邮件（SPAM）除了将使网络陷入动弹不得的境地外，更令人忧心的是其附件更可能是病毒的载体，同时将大量侵占企业网络；附件网址又大都附赠恶性程序，许多木马病毒（Trojan Horses）就是藉此大量扩散。您可想象假如让这些未经许可的垃圾邮件（SPAM）继续为所欲为，将造成企业多大的损失。

SPAM 的进化：

随着时间的进化，SPAM已经不再是用自己一台服务器，大量收购名单，或使用字典文件账号攻击来攻击SMTP主机了。

由于网络的普及，不论是各种企业，都已经至少会有一台SMTP服务器，来接收与客户之间信息沟通的媒介。而通常企业都会在SMTP之前，装上AntiSPAM的产品，阻挡外部的垃圾邮件。而通常在不影响外点人员或业务在Internet中，要发信的需求，都会在AntiSPAM上面装上身份认证功能，已防止他人也能滥用企业的AntiSPAM当做转发垃圾邮件服务器。由此，就产生了另一个问题：弱账号。

所谓的弱账号：

聪明的垃圾邮件发送者（SPAMMER），也看准这点，几乎所有的MailServer或AntiSPAM都会支持SMTP 身分认证功能。所以攻击者都会先准备一些常用账号的名单，类似字典文件的模式再加上密码与账号一样的认证信息，交给AntiSPAM或Mail Server做认证攻击。而企业如果没有明文或强制限定密码的复杂度，则总是有几个密码会跟账号一样的。如果第一波没有扫到密码与账号一样，就会在进行第二波的密码更换成常用的密码，例如：12345678,1234,qweasdzxc,iloveyou,password…

当被SPAMMER猜中密码的时候，这种行为我们称为一种弱账号攻击。他就能取得发送邮件的权限，然后再把大量的垃圾邮件透过已破解下的服务器传到外部。

弱账号衍生两个问题：

一、会被RBL国际黑名单组织，加入被攻陷的企业IP，导致正常邮件可能会无法投递到其他主机。

二、造成服务器效能低落，大量的垃圾邮件往外发送且发不出去，而造成垃圾邮件退信，将会使AntiSPAM无法正常运作。造成企业正常邮件延迟或无法进入。

今天我们讨论的重点在于，如何在外点人员可以利用服务器来发送正常邮件外，又可以保护服务器不被外部用弱账号攻击。

1. 治本的方式，请勿让员工使用单纯是数字或是英文作为密码。

2. 密码长度至少为 6 个字符。

3. 组成密码的字符必须包含下列五种类别中的三种：

4. 英文大写字符 (A - Z)

5. 英文小写字符 (a - z)

6. 10 个基本数字 (0 - 9)

7. 非英数字元 (例如：!、$、#、%)