邮件系统安全解决方案－20200302

邮件系统安全解决方案DAS-security更全卬国杭州安恒信息技术股份有限公司二二四年十一月

3.

2.邮件系统配置检查风险

3.

2.

1.邮件服务器端口风险检测邮件服务器通常在部署时考虑需要对外通信需要建立TCP连接，所以通常情况下邮件服务器SMTP协议（25端口）、POP3协议（1下端口）都必须对外网开放，端口对外开放的同时也导致了邮件服务器存在被入侵的风险通过对服务器端口的服务类型进行和配置进行远程检测，发现该邮件服务是否存在未进行

3.

2.

2.Web邮件系统漏洞风险检测邮件系统通常情况下会提供Web服务同样带来各种安全问题如弱口令漏洞、账号密码爆破、账号遍历猜测、垃圾账号问题、证书弱校验、敏感信息泄露、转发认证机制不当、SQL注入漏洞、XSS跨站脚本漏洞、CSRF跨站伪造请求、远程命令注入，Java反序列化漏洞、Struts2远程命令执行漏洞等事实证明，99%以上攻击都是利用已公布并有修补措施、但用户未修补的漏洞操作系统和应用漏洞能够直接威胁数据的完整性和机密性流行蠕虫的传播通常也依赖与严重的安全漏洞黑客的主动攻击往往离不开对漏洞的利用因此，如何行之有效的对互联网中的邮件系统做到实时的安全监测，并对邮件系统做深入的漏洞扫描成为了当务之急

3.

3.邮件系统远程漏洞扫描服务依赖于Sumap扫描引擎识别出互联网中的邮件服务器，利用Sumap漏洞引擎同时对互联网中邮件系统进行漏洞扫描如下图展现对互联网中的邮件系统做漏洞探测^UlTiap首页SUMAP统计漏洞探测探索数据导出tags:server:smtpcountry4=SprovincQ保存结果目V地图展现・，曰SUMAP期J

0.2461；,为念找到

19.855条结果TimeA IpPort TitleTags漏洞Data2017/09/2516X4:3625server3mtp弱口令220sdc.2017/09/2516:20:25__________25server:smtp信息泄骞220sta2017/09/2516:21:30425servecsmrp弱口令220lin.2017/09/2516:28:18AW▲.J.1W25servensmtp伪造邨件220sta2017,109/2516:2900—・---------25server^mtp伪造邮件220dev.201729/2516:35:21_

45.5——__325servensmtp伪造扣件220mai.2017/09/2516:36:28XX/.XV/.X//・44U25servensmtp伪造部件220Web.2017/09/2516:38:44—25servecsmrp弱口令220iZ

2.2017/09/2516:42:42-14/八4CCCCCL25servensmtp弱口令220SRV.2017/09/2517:16:16i025serveramtp谖冲区笳出220iZZ图3-3通过Sumap回声搜索平台实时对各个邮箱服务器漏洞探测漏洞扫描包括■对邮箱系统IP网络层安全扫描；■对Web邮件系统进行Web漏洞扫描；■对邮箱系统弱口令探测；■对邮箱系统进行病毒木马测试，钓鱼邮件测试；■对邮箱系统进行溢出漏洞测试邮件系统安全分析服务

4.

4.

1.主机安全漏洞扫描

4.

1.

1.服务介绍漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用的漏洞的一种安全检测（渗透攻击）行为通过对网络系统的扫描，网络管理员能了解网络的安全设置和运行的应用服务，及时发现安全漏洞，客观评估网络风险等级；同时，系统管理员也能了解到操作系统、中间件和数据库的安全漏洞，使得网络管理员和系统管理员能够根据扫描的结果更正网络安全漏洞和系统中的错误设置，在黑客攻击前进行防范通过定期的安全漏洞扫描服务，可以主动防御来自网络及系统自身的安全风险，有效避免黑客攻击行为，做到防患于未然本次网络安全扫描主要包括端口扫描、帐户扫描和系统漏洞扫描三大部分:

1.端口扫描是通过向目标主机发送TCP和UDP的数据探测包，以确定被测主机服务开启的情况，默认端口探测范围是1-1030和6000-6050o

2.帐户扫描主要是扫描目标主机帐户信息，通过探测列举目标主机上的帐号信息

3.系统漏洞扫描是主机安全扫描的重点，其目的是发现被测主机操作系统和所提供服务中存在的已知漏洞本次系统漏洞扫描内容包括以下14个安全类别信息搜集类、Windows NetBios类、后门类、协议欺骗类、代理月艮务器类、FTP类、Web类、DNS类、SNMP类、RPC类、NFS类、NIS类、Daemons类、CGI类

4.

1.

2.服务方式我方主要通过工具扫描的方式开展在本项服务期间，我方主要使用我司的明鉴远程安全评估系统开展此项工作

1.访谈通过问卷调查和当面沟通的方式进一步了解系统架构、功能模块构成、数据交互处理等技术细节问题，确定漏洞扫描的范围和接入方式；

2.工具扫描通过漏洞扫描专业工具挖掘系统相关设备的路由路径、开放服务与端口、文件存储目录等信息，并检测应用程序编码所存在的安全漏洞明鉴远程安全评估系统严格按照计算机信息系统安全的国家标准、相关行业标准设计、编写、制造明鉴远程安全评估系统可以对不同操作系统下的计算机（在可扫描IP范围内）进行漏洞检测主要用于分析和指出有关网络的安全漏洞及被测系统的薄弱环节，给出详细的检测报告，并针对检测到的网络安全隐患给出相应的修补措施和安全建议明鉴远程安全评估系统最终目标是成为加强中国网络信息系统安全功能，提高内部网络安全防护性能和抗破坏能力，检测评估已运行网络的安全性能，为网络系统管理员提供实时安全建议等的主流工具网络安全评估系统作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前可以提供安全防护解决方案并可根据用户需求对该系统功能进行升级在本项服务期间，我方主要使用我司的明鉴远程安全评估系统结合基线检查表开展此项工作主要检查内容如下

1、操作系统配置核查表4-1操作系统配置核查检查项检查项描述检查子项操作系统类型操作系统补丁系统运行时间补丁更新方式记录操作系统版本和闪存内存空间大小基本信息空间，为设备升级提供参考磁盘空间大小网络连接状况网络配置情况主机路由情况管理员账户信息普通账户信息账户信息操作系统账户安全信息可疑账户信息空口令账户信息检查项检查项描述检查子项弱口令账户信息系统进程个数系统进程数变化情况系统进程CPU利用率系统进程内存利用率操作系统的运行状态，主要运行状态对操作系统的安全可用性可疑进程信息参数进行检查系统磁盘使用率信息系统磁盘I/O信息进程的用户名、路径等信息系统TCP开放的端口TCP端口的数量变化TCP开放的可疑端口系统UDP开放的端口是否关闭全局下不常用（可UDP端口的数量变化疑）服务和端口，这些服UDP开放的可疑端口服务和端口务端口存在的漏洞可能被在特定情况下利用对网络系统开启的服务信息或系统本身造成危害系统开启服务的变化可疑的系统服务信息系统开放的默认共享信息系统开放的共享权限信息审核策略更改信息审核登录事件信息审核对象访问信息对操作系统日志进行分析，能够发现系统的非法登录、审核过程追踪信息日志审核病毒扩散、远程入侵等安审核目录服务访问全事件审核特权使用信息审核系统事件检查项检查项描述检查子项审核帐户登录事件审核帐户管理信息系统安全检查审计信息系统内核安全审计信息日志安全配置信息系统日志类型统计系统日志数量统计

2、中间件/数据库配置核查检查项检查项描述检查子项操作系统版本记录数据库和中间件应用程序版本基本信息的基础信息应用程序路径服务状态进程列表进程CPU使用率进程CPU使用率统计数据库和中间件运行进程内存使用量/率运行状态状态和资源占用情况进程内存使用量统计进程每秒读写次数进程每秒读写字节数进程虚拟内存使用量日志数目对运行日志进行分日志析日志分析

3、表4-2中间件/数据库配置核查表4-3网络设备配置核查检查项检查项描述检查子项网络设备配置核查基本信息设备品牌记录设备资产，操作系统版本检查项检查项描述检查子项和闪存空间，为设备升级提供参设备名称考设备型号操作系统版本闪存大小、利用率内存大小、利用率电源风扇模块机箱、电源、引擎、模块运行状设备及模块温度安全状态态及温度是否正常，当前设备时钟7E口准确正常运行时间最后一次重启原因当前时钟CPU利用率CPU、MEM、接口带宽利用率是否MEM利用率设备负载超限接口带宽利用率双工速率查看接口双工、速率、错误包和出入向错误包统计接口状态多端口捆绑等状态是否正常端口聚合TCP保持会话日志内容归并审计安全日志情况日志安全分析

4.

2.Web邮箱漏洞扫描

4.

2.

1.服务介绍本项服务旨在全面深入发现Web应用中存在的安全弱点，检测应用层漏洞和网页中存在的木马帮助应用开发者和管理者了解应用系统存在的脆弱性，为改善并提高应用系统安全性提供依据，帮助用户建立安全可靠的Web应用服务

4.

2.

2.服务方式我方主要通过工具扫描的方式开展在本项服务期间，我方主要使用我司的明鉴Web应用弱点扫描器开展此项工作明鉴Web应用弱点扫描器（MatriXay）是杭州安恒信息技术股份有限公司在深入分析研究B/S典型应用架构中常见安全漏洞以及流行的攻击技术基础上，研制开发的一款Web应用安全专用评估工具系统主要功能如下安全漏洞检测支持OWASP TOP10等主流安全漏洞的自动检测（A1-注入攻击、A2-失效的身份认证和会话管理、A3-跨站脚本（XSS）、A4-不安全的直接对象引用、A5-安全配置错误、A6-敏感数据泄露、A7-功能级访问控制缺失、A8-跨站请求伪造（CSRF）、A9-使用含有已知漏洞的组件、A10-未验证的重定向和转发）网页木马检测对各种挂马方式的网页木马如iframe、CSS、JS、SWF、Act iveX等，进行全自动、高性能、智能化分析，并对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位系统主要功能结构图如下:项目管理报表管理报表新建项目加载项目保存项目当前报表历史报表自定义I行业合规趋势分析扫描数据编辑项目关闭项目删除项目报表报表导出项目扫描工具管理弱点检测网络爬虫渗透测试SQL注入跨站脚本CSRF网页木马被动扫描配置审计暗链院藏字段,表单绕过命令注入SSL转发扫描计划弱配置的木木马代码注入弱口令灰盒扫描网站分析框架注入链接注入敏感文件逻辑漏洞谷歌黑客检测工具Cookie变形绕过第三方CMS指WEB2Q HTTP请求注入注入软件纹支持-编辑器,识另U编码/解Flash支持中间件敏感信息任意文件其他各类漏洞泄漏下载CGI漏洞,码工具.证书登陆正则表达支持式测试用户管理全局配置系统设置网站列表管理用户管理日志管理权限授权默认扫描设置■密保管理在线更新图4-1系统主要功能结构图

4.

3.邮件协议安全测试

4.

3.

1.服务介,通过专业的检测工具和分析手段，发现邮件协议相关漏洞，帮助应用开发者和管理者了解邮件系统存在的脆弱性，为改善并提高邮件系统安全性提供依据,帮助用户建立安全可靠的邮件应用服务

4.

3.

2.服务方式我方主要通过工具扫描的方式开展在本项服务期间，我方主要使用Nessu s开展此项工作Nessus是一种典型的基于客户/服务器结构的网络扫描系统，Nessus服务器程序可以运行在各种类UNIX平台上，包括FreeBSD、Linux、Solaris以及Wind ows系统上客户端包括用户配置工具和存储/报告生成工具服务端包括一个扫描方法库由插件组成、当前活动扫知识描库和一个扫描引擎其主要特点如下

1、提供完整的电脑漏洞扫描服务，并随时更新其漏洞数据库；

2、不同于传统的漏洞扫描软件，Nessus可同时在本机或远端上摇控，进行系统的漏洞分析扫描；

3、其运作效能能随着系统的资源而自行调整如果将主机加入更多的资源例如加快CPU速度或增加内存大小，其效率表现可因为丰富资源而提高；

4、可自行定义插件Plug-in；

5、完整支持SSL SecureSocket Layero相关协议漏洞如下表表4-4相关协议漏洞编号名称Symantec MailSecurity forSMTP响应处理拒绝服CVE-2017-12628务漏洞Roundcube steps/mail/sendmail.inc任意代码打LCVE-2016-9920行漏洞CVE-2016-9920CVE-2015-0824Mozilla Firefox拒绝服务漏洞CVE-2015-0824CVE-2014-3556nginx SMTP代理远程命令注入漏洞NJStar CommunicatorMiniSMTP Server远程栈缓冲CVE-2011-4040区溢出漏洞Microsoft WindowsSMTP服务可预测DNS查询ID漏CVE-2010-1689洞MS10-

41.

41.

61.

62.

63.

71.

3.

1.

4.

1.

93.

3.

2.

3.

2.

124.

4.

1.

4.

1.

124.

4.

2.

4.

2.

174.

4.

3.

4.

3.

194.

4.

4.

4.

4.伪装钓鱼邮件测试

4.

4.

1.服务介绍钓鱼邮件指利用伪装的电邮，欺骗收件人将账号、口令等信息回复给指定的接收者；或引导收件人连接到特制的网页，这些网页通常会伪装成和真实网站一样，如银行或理财的网页，令登录者信以为真，输入信用卡或银行卡号码、账户名称及密码等而被盗取频发的APT攻击事件告诉我们，员工都是企业安全最薄弱的环节在发起攻击时，黑客往往采用社会工程学手段对目标组织的员工下手，而这些手段中首当其冲的就是邮件钓鱼据统计，约92%的数据泄露事件与社会工程学事件和鱼叉式网络钓鱼攻击有关网络钓鱼攻击通常是电子邮件钓鱼，然后骗取受害者点击恶意链接，最后使用恶意的漏洞Payload攻击受害者计算机换句话说，如果一个员工误点击恶意链接，黑客可能被盗取账户信息，或者电脑被人种上木马，导致企业内网因此沦陷，业务数据和敏感信息也会陷入巨大风险之中本次服务计划在企业内部模拟网络钓鱼行动，找出那些粗心大意容易被钓鱼邮件欺骗的员工，进一步加强大家的互联网安全意识

4.

4.

2.服务方式

一、测试方式测试工作从钓鱼邮件构造、邮件钓鱼和安全意识教育等几个方面展开钓鱼邮件的模板中将设置若干相对明显的伪造信息点，识别难度处于中等水平，测试着力于提高员工安全意识

二、测试示意图服务方式

4.

4.

235.

5.

1.

5.

1.

5.

1.

5.

1.

5.

1.

5.

1.

5.

5.

1.

265.

5.

2.

6.

2.

7.

8.

2.

1.

1.

1.邮件系统安全解决方案概述互联网高速发展，邮件系统在互联中扮演着重要的角色，个人、企业、政府等用户将邮件系统作为通讯，传输文件的重要组成部分因此邮件系统保存着公司、企业及政府部门的大量敏感信息对于一些涉密部门的更是经常成为被攻击的目标，通过攻陷邮件系统来获取企业，政府敏感信息，以及敏感文件，特别是邮箱跨站、邮箱挂马、邮箱欺骗等已经成为邮箱攻击的最常使用的手段此问题引起了公安部门的高度重视杭州安恒信息技术股份有限公司提供了邮件系统安全方案，可以实现对邮件系统做实时的监测及预警此项目提出的邮件系统安全解决方案主要包含以下四部分■通过远程扫描和本地扫描的方式，检测邮箱漏洞扫描邮件中的病毒木马、钓鱼邮件、垃圾邮件、恶意附件；检测邮件常见邮件漏洞，如弱密码爆破、敏感信息泄露、转发认证、常见Web漏洞等■通过大数据分析以及回声搜索方式提供邮件异常行为的监控，如异常登陆、系统异常、恶意附件、钓鱼邮件、垃圾邮件、病毒木马、异常流量、邮箱资产等，从而可以及时修补安全问题，并发现舆情和非法信息的传播■通过邮箱欺骗检测技术、Webmail邮箱跨站检测技术、邮箱异常访问检测技术、邮箱后门检测技术、恶意文件分析技术以及云端高级分析技术,实现邮箱系统风险预警通过大数据分析邮箱日志的方式，执行追踪溯源容易操作等高级分析工作，从而及时发现泄密行为，并提供预警■提供安全培训，提高维护人员的安全意识和安全操作规范，以及邮箱系统的安全合规检查部署流程

1.

2.邮件系统存在风险分析互联网中包含了大量的邮件服务，境外攻击者通过大范围针对邮箱系统扫描攻击，来窃取资料，从邮件系统诞生针对邮件系统的安全攻击从来没有间断过并伴随着攻击手法越来越高级，通过APT（Advanced PersistentThreat高级持续性威胁）等攻击手法来持续化攻击，极大地困扰着企业，政府以及监管单位系，简单的邮件防护已经无法完全防御入侵事件的发生越来越多的邮件系统漏洞以及应用系统的漏洞被发现，攻击者的入侵方式也更加隐蔽，包括针对邮箱系统的邮件木马、邮件钓鱼、邮件系统溢出、针对WEB邮件的SQL注入、跨站攻击、邮件炸弹等攻击行为都会导致可怕的威胁,专门针对邮箱系统的木马种植等都可能会导致企业邮件长期被监控，资料外泄根据业界安全最佳实践国际安全标准（包括IS

017799、IS

013335、SSE-CMM）公认的风险模型定义，风险是由影响、威胁和脆弱性构成，其中影响实际上表现为资产的价值如图所示图1T风险模型因为资产的价值是固定的，威胁发生的可能性是客观存在的，所以安全不是绝对的，风险事件的发生率也不可能为零，风险只能通过对信息系统脆弱性采取一定措施的方式进行处理风险的处理方式有以下四种避免、降低、转移和接受，但不可能完全被消灭■避免，指通过不继续进行可能产生风险的活动来避免风险（在可行的情况下）；■降低，通过采取相应的风险控制措施、安全机制来降低风险；■转移，涉及承担或分担部分风险的第三方，包括使用合同、保险以及合伙，合资等组织结构；■接受，在风险降低或转移后，可能还有剩余的风险，完全的零风险是不可能的，而且降低风险的成本随着风险的降低而增大，必须考虑处理风险的成本与所得到的利益相称，因此应该根据实际情况接受一定量可以承受的风险为了保证互联网中邮件系统的正常运行，就必须具备对整体的邮箱信息安全风险有趋势化分析，以及漏洞快速处理的能力，并最终形成监控预警机制风险分析的主要目的是更加清晰、全面的了解网络的基本安全现状，发现系统的安全问题及其可能的危害，为安全体系建设中的安全防护技术实施提供了严谨的安全理论依据，为决策者制定网络安全策略、构架安全体系的安全产品、建立全面的安全防护层次提供了一套完整、规范的指导模型邮件系统安全系统整体设计

2.根据邮件服务的当前状况和所面临的风险与威胁，从网络安全、主机安全、系统安全、应用安全、数据安全等层面提出整体的技术建议方案，并从全局方面进行整体安全防护建议

2.

1.邮件系统安全的设计依据■公通字［2007］43号《信息系统安全等级保护管理办法》要求3级及以上系统强制性保护，政府备案，年度测评■电监会［2012］《行业等保基本要求（征求意见稿）》

2.

2.邮件系统安全的设计原则■稳定可靠对邮件系统说安全稳定可靠是最重要的在本次项目中建议的安全控制措施,包括其部署、应用的方式，都是有众多先例的■实时性和高效性在信息安全架构设计中考虑到实际情况，建议采用高处理能力的安全产品，以保证实时性和高效性■安全风险可控根据实际情况我们将对互联网中的邮件系统做出趋势化分析真正做到安全风险可控■灵活性和扩展性在项目中设计的架构在充分保证满足用户的可靠性运行要求，以及项目的灵活性和扩展性

2.

3.邮件系统安全的解决方案此项目提出的邮件系统安全解决方案主要包含以下四部分:■通过区域性检查分析和本地扫描方式，检测邮箱漏洞扫描邮件中的病毒木马、钓鱼邮件、垃圾邮件、恶意附件；检测邮件常见邮件漏洞，如弱密码爆破、敏感信息泄露、转发认证、常见Web漏洞等■通过大数据分析以及回声搜索方式提供邮件异常行为的监控和预警，如异常登陆、系统异常、恶意附件、钓鱼邮件、垃圾邮件、病毒木马、异常流量、邮箱资产等，从而可以及时修补安全问题，并发现舆情和非法信息的传播■通过大数据分析邮箱日志的方式，执行追踪溯源容易操作等高级分析工作，从而及时发现泄密行为■提供安全培训，提高维护人员的安全意识和安全操作规范，以及邮箱系统的安全合规检查部署流程全网邮件系统监测与漏洞扫描服务

3.为了在互联网中有效并快速的分析出有效的邮件服务器，并对邮件服务器进行漏洞扫描，根据邮件服务器的特征，以及安全风险设计了Sumap引擎用于快速扫描互联网中的邮件服务器，并通过结合Sumap漏洞引擎，对互联网中的邮件服务器进行漏洞验证，并提供回声搜索平台展现给用户，让用户能够直观看到互联网中存在多少邮件服务器，中国存在多少邮件服务器，这些邮件服务器存在多少安全问题该平台提供报告导出功能，数据导出功能，让用户能够实时掌握邮件系统在互联中的安全状况

3.

1.邮件系统发现服务

3.

1.

1.邮件服务器协议探测回声搜索vumap首页SUMAP统计漏洞探测探索敖据导出tWserver$mtp图3-1中国范围内邮件POP3协议分布杭州安恒信息技术股份有限公司的研究院自行设计并开发的Sumap全网快速扫描引擎，基于这套全网范围内的快速扫描和探测引擎，我们可以将对全网范围内的数据做大数据分析，和漏洞探测，包括全网环境下存在多少邮件服务器，存在多少Web服务器等，这些服务器以及端口是否存在漏洞，借助于Sumap我们可以以更多的方式展现出全网环境的下网络安全情况，以及漏洞情况在一个小时内迅速对（全国，全省，全市）范围内的邮箱系统协议快速识别，实时分析出当时，当地，邮件服务器资产情况，如图3-1图3-2对全国范围邮件服务器SMTP协议和POP3协议识别，分析出邮件服务器存在于各个地区地市的情况邮件服务器探测服务包括各种邮件协议包括SMTP协议，POP3协议，Imap协议等

3.

1.

2.邮件服务器软件版本探测vumap首页SUMAP统计漏洞探测探索数据导出tags:server:srr5UMAP耗药

0.246秒，为您找到

19.855条结果□一220iZ2zebm3c4gsp3oq9jmsw4Z ESMTPExim

4.89Mon,25Sep201717:23:56+08004p%/y_jtcp port25♦»server smtpAddedon2017/09/2517:16:16GMT■二国北京□・4，CVCCCCCL220SRV-EX10-Microsoft ESMTPMAIL Serviceready atMon,25Sep201716:50:21+0800tcp port25♦server smtpAddedon2017/09/2516:42:42GMT220iZ25692t86yz ESMTPPostfix Ubuntutcp port25•server smtpAddedon2017/09/2516:38:44GMT■u国北京,□**—**―-nno八220Winmail MailServer ESMTPready;Mon,25Sep201716:35:57+0800tcpport25♦server smtpAddedon2017/09/2516:36:28GMT■口国北京□220ESMTP ServiceIBM DominoRelease

9.

0.1FP5reaAK,外MM”jc9ni7iA-.

43.ni xnsnn图3-2Sumap引擎实时对互联网邮件系统监测Sumap引擎实时对互联网中邮件服务器监测，发现邮件服务器，探测邮件服务器版本如图3-2中对邮件服务器版本指纹探测。