BreakSPF 攻击:战胜黑客,保护您的电子邮件
作者:
阅读时间 8 分钟
随着技术的快速演进和发展,虚拟威胁和攻击也在迅速发展。新形式的电子邮件威胁正在形成,其强度和规模也越来越大。Researchgate 的一项详细研究强调了最近发现的基于电子邮件的威胁的一个重要实例--BreakSPF,它利用了最广泛使用的电子邮件验证协议之一--发件人策略框架(SPF)中的现有漏洞。这种新型威胁尤其令人担忧的是,它可以造成大规模危害,同时危及数百万个域。
主要收获
什么是 BreakSPF 攻击 - 黑客的新伎俩
BreakSPF 是一种新的攻击框架,可绕过 SPF 检查尝试欺骗电子邮件。具有许可 SPF 配置的域名特别容易受到这种攻击。许多企业使用共享电子邮件基础设施,无论是由云电子邮件服务提供商、代理服务器还是内容交付网络(CDN)提供的共享 IP 池,BreakSPF 都能利用这一事实 共享 IP 池.这些共享电子邮件基础设施的 SPF 记录中广泛定义的 IP 范围为黑客和攻击者采取行动提供了肥沃的土壤。
利用 PowerDMARC 防止 BreakSPF 攻击!
BreakSPF 攻击与其他基于电子邮件的威胁对比
大多数传统的电子邮件欺骗或网络钓鱼攻击都试图通过社会工程学或恶意软件绕过电子邮件安全。而 BreakSPF 则以 SPF 机制本身为目标,利用旨在保护您免受电子邮件欺骗企图的系统。换句话说,SPF 或 DKIM 检查可以阻止基本的、传统的电子邮件欺骗或网络钓鱼攻击,而在 BreakSPF 攻击中,威胁行为者可以绕过这些验证检查,使欺骗的电子邮件能够轻松到达毫无戒心的收件人邮箱。
BreakSPF 如何工作绕过 SPF 检查
根据 会议论文,"51.7% 的域名的 SPF 记录包含超过 65,536 (216) 个 IP 地址"。如此大的范围不仅危险,而且完全没有必要,因为大多数电子邮件域并不需要如此多的 IP 地址。过度嵌套、过大的 SPF 记录可能会导致SPF 查找限制被突破。这可能会让黑客通过现有的安全协议溜之大吉。这是因为,当 SPF 记录过于复杂并超过 SPF 查找限制时,保护层就不再发挥其最初的作用了。
攻击的原理如下:攻击者发现一个热门域名(如 example.com)的 SPF 配置存在漏洞,这意味着其 SPF 记录允许广泛的 IP 地址。攻击者使用公共服务访问该允许范围内的 IP 地址。然后,他们从这些 IP 地址向受害者发送欺骗性电子邮件。由于 SPF 验证会检查发件人的 IP 地址并将其视为合法地址(因为它属于域的 SPF 记录范围),因此欺骗性电子邮件通过了 SPF 和 DMARC 检查。因此,受害者收到的是绕过标准电子邮件验证措施的真实电子邮件。
这次攻击的关键因素包括
- 目标域的 SPF 记录包含过度许可的 IP 范围。
- 攻击者控制了足够多的公共基础设施来选择 SPF 记录中包含的 IP 地址。
- 攻击者无需 DNS 欺骗或修改 DNS 条目等高级功能,就能发送欺骗电子邮件。
BreakSPF 攻击类型
电子邮件一般通过两个主要渠道传输:HTTP 服务器和 SMTP 服务器。在此基础上,Researchgate 将 BreakSPF 攻击本身分为三类:
1.固定 IP 地址攻击
在固定 IP 地址攻击中,攻击者长期控制特定 IP 地址。他们充当邮件传输代理(MTA),直接向受害者的电子邮件服务发送恶意的欺骗性电子邮件。这些攻击通常利用云服务器和代理服务等共享基础设施。传统的垃圾邮件防御机制(包括灰名单)通常对固定 IP 地址攻击无效。
2.动态 IP 地址攻击
使用这种方法时,攻击者无法控制每个连接的具体传出 IP 地址。但是,他们会根据当前的传出 IP 动态评估哪些域最容易受到攻击,从而通过各种功能或方法暂时获得控制权。由于这些 IP 地址不断变化,传统的 IP 黑名单方法又无法有效对付动态 IP 地址攻击。前一种方法,即固定 IP 地址攻击使用云服务器和代理服务,而动态 IP 地址攻击则利用公共基础设施(如无服务器功能、CI/CD 平台等)。
3.跨协议攻击
使用跨协议攻击时,攻击者甚至不需要直接控制 IP 地址。相反,黑客会将 SMTP 数据嵌入 在 HTTP 数据包中。然后,他们利用 HTTP 代理和 CDN 出口节点将这些数据包转发到目标受害者的电子邮件服务。在针对受害者进行跨协议攻击时,黑客通常会使用共享基础设施(如开放式 HTTP 代理、CDN 服务等)。由于这种攻击方式非常不透明,因此极难检测或追踪。
BreakSPF 攻击的影响
由于 BreakSPF 攻击,全球域名很容易成为网络钓鱼攻击的受害者,并将非常敏感的机密数据暴露给黑客.企业也会在信任它们的人中失去声誉,失去来自它们的通信。
许多知名企业可能会因声誉下降而遭受重大经济损失和市场份额损失。这意味着,BreakSPF 攻击不仅会对数据安全和隐私造成直接和间接的影响,还会影响企业的其他方面,如品牌形象、销售和市场地位。
除了对组织的微观影响外,这种大规模的网络钓鱼攻击和广泛的电子邮件欺骗将削弱人们对电子邮件交流的整体信任,影响个人、专业和企业通信。这包括依靠电子邮件从事副业的个人,如自由职业者或在线企业,他们的成功在很大程度上依赖于安全可信的通信。受这些威胁的制约,人们可能被迫转而使用其他平台,从而扰乱以电子邮件为核心策略的既定通信框架和营销活动。
因此,BreakSPF 攻击的影响将超越任何特定的地理或分类区域。它影响的是出于各种需要和目的而使用电子邮件通信的个人和企业。
如何防止 BreakSPF 攻击
您可以采取几个关键步骤来防止域名受到此类攻击,并保护您的企业和员工:
1.降低 SPF 记录的复杂性
根据 SPF 最佳实践,一个给定域只能有一条 SPF 记录。遗憾的是,由于域名所有者对准确的 SPF 管理不够重视,如今单个域名拥有多个复杂 SPF 记录的情况非常普遍。
这种渎职行为导致 SPF 验证失败,结果即使是合法的电子邮件也经常被标记为垃圾邮件。这损害了电子邮件的整体可送达性,危及企业通信和声誉。
2.避免超过 10 次 DNS 查询限制
"SPF Permerror: too many DNS lookups"(SPF Permerror:DNS 查询次数过多)是当您的 DNS 查询次数超过 10 次限制时收到的信息。由于永久性错误,Permerror 被视为 SPF 失败,通常会导致电子邮件无法到达目标收件人的收件箱,或被标记为可疑邮件。这可能会对电子邮件的送达率造成严重影响。
有几种方法可以避免超过 10 次 DNS 查询的限制。例如,可以使用 SPF 扁平化服务,删除不必要的 "include "语句和嵌套 IP。
您最好使用 SPF 宏.在 PowerDMARC,我们通过我们的 托管 SPF解决方案,每次都能实现无差错、无限制的查询。
如需了解更多信息,请查看我们的博文,了解修复 SPF Permerror 的必要步骤。 修复 SPF Permerror.
3.修复协议配置错误中的漏洞
BreakSPF 可以绕过 SPF 和 DMARC 验证。必须识别并修复 SPF 和 DMARC 采用过程中的任何漏洞或错误配置,以防止攻击者绕过验证检查。这些漏洞和错误配置可能包括 DMARC 和 SPF 采用不正确、缺乏及时更新或优化等。
4.监控 DMARC 报告
为您的域启用 DMARC 报告并仔细关注它们,还可以帮助您发现现有电子邮件验证协议中的任何问题和错误配置。这些报告可为您提供大量信息,从而发现可疑的 IP 地址。
5.执行 DMARC 政策
DMARC 不仅应与 SPF 和 DKIM 结合使用,还应与 DMARC Reject 等严格的策略一起部署,以避免过于放任的策略。DMARC none 政策不提供任何防范网络攻击的保护。它只能用于电子邮件验证的初始阶段(即监控阶段)。
但是,如果您在最初的监控阶段之后继续遵循这一策略,可能会导致严重的安全问题,因为这将使您的域名容易受到网络攻击。这是因为即使DMARC对您的电子邮件失效,在 "无 "策略下,电子邮件仍会被发送到收件人的收件箱,而且往往带有恶意内容。
6.加强港口管理
加强和改进云服务的端口管理也有助于阻止攻击者滥用云 IP。云服务是网络攻击的常见来源。这是因为云通常被用作重要、敏感数据的存储空间,因此成为黑客的攻击目标。此外,云攻击还可能导致数据泄露,因为一旦黑客设法进入云账户,他们就能立即看到并一次性窃取所有数据。
因此,将所有数据集中到一个云平台固然有其优势,但也可能会对网络安全造成极大威胁。因此,数据加密、入侵检测和严格的访问控制等前瞻性措施对于加强云服务和整个业务的安全性至关重要。
总结
您需要有关正确采用电子邮件验证协议的帮助和建议吗?PowerDMARC 将为您提供帮助!
PowerDMARC 惯用的托管 SPF 服务 - PowerSPF PowerSPFPowerSPF 为世界各地的企业提供广泛的托管 SPF 管理和优化解决方案,帮助您防止 BreakSPF 和许多其他 SPF 相关的错误和问题。提高您域名的安全性 立即联系 PowerDMARC并在进行数字通信时安心无忧!
域名和电子邮件安全专家PowerDMARC
Yunes 是 PowerDMARC 的运营团队负责人,拥有电子邮件验证和安全方面的专业知识。Yunes 是微软认证的 Azure 管理员助理,并获得了 CompTIA A+ 等认证。
Yunes Tarada 的最新帖子(查看全部)
- 电子邮件加盐攻击:隐藏文本如何绕过安全性- 2025 年 2 月 26 日
- SPF 扁平化:它是什么,为什么需要它?- 2025 年 2 月 26 日
- DMARC 与 DKIM:主要区别及如何协同工作- 2025 年 2 月 16 日
