據瑞星"云安全"監測系統統計顯示，從2011年起，釣魚攻擊就已經成為網絡環境中最主要的惡意攻擊方式，其攻擊數量是惡意掛馬攻擊數量的數十倍。網民經常收到黑客偽造官網發來的各種釣魚郵件，要甄別這些釣魚郵件并不容易，很多人經常采用的方法是查驗發件人地址信息是否為官網郵件地址。但是，是否顯示為官方地址發送的郵件就是安全可信的呢？答案是否定的。據瑞星安全專家介紹，在現有的技術下，黑客可以把釣魚郵件偽裝成任何地址發送給用戶，從而達到釣魚攻擊的目的。

偽造郵件攻擊方法詳解

下面我們結合黑客常用的偽造郵件手法進行分析，然后結合實例對偽造郵件攻擊的原理進行描述。首先黑客可以通過提供在線匿名郵件服務的網站進行發送，如http://www.deadfake.com/，如下圖1所示。

圖1

正如網站上面介紹的，通過點擊菜單欄的"send fake mail"的標簽，我們就可以進行偽造郵件的發送了，需要填寫的內容如下圖2所示。

圖2

這里From表示郵件發送者信息，我們可以在此進行偽造，例如偽造內容為騰訊服務的郵箱地址service@tencent.com，這里為了實現釣魚攻擊的目的，我們將郵件的標題和內容寫成騰訊QQ安全提示的內容，并將郵件正文中的鏈接地址指向釣魚網站地址http://aq.qq-1.tk/ss，最后發送郵件。片刻后，我們收到了該偽造郵件的信息，如下圖3所示。

圖3

我們可以發現，發件地址為service@tencent.com，郵件的主題和內容也是剛剛我們發送郵件內容的自定義內容，但是在郵件正文的第一行中，多了一行來自于deadfake的提示信息，提示用戶這封郵件不是真的。那么在這封郵件中，惟一的瑕疵就是deadfake的提示信息內容，然而這對于黑客來說，也不是不能處理的。黑客可以將這個提示信息隱藏，實現的方法就是通過一個與郵件背景顏色相同的圖片進行覆蓋，我們重新構造郵件內容如下圖4所示。

圖4

與構造的上一封偽造郵件類似，我們增加了一行HTML代碼，主要作用是在郵件正文中插入一個圖片，圖片顯示為純白色，然后通過style屬性對圖片的位置和大小信息進行設定，保證圖片在顯示時可以將deadfake提示的內容進行覆蓋，然后再次進行發送，當接收到該偽造郵件時，我們可以看到deadfake的提示信息不見了，如下圖5所示。

圖5

但是，通過郵件的源代碼文件我們發現，deadfake的提示信息還是有的，只是在郵件顯示的時候不可見了，因為該文字信息已經被我們純白色的圖片覆蓋了。

deadfake網站的偽造郵件是由網站提供的服務，同樣，黑客也可以構建本地的SMTP服務器實現偽造郵件的發送。例如通過軟件Advanced Direct Remailer這款軟件，如圖6所示。

圖6

當電腦安裝并運行Advanced Direct Remailer后，就相當于是一臺SMTP服務器了。這里我們使用網易閃電郵作為郵件客戶端軟件進行演示，運行以后我們需要對郵箱進行配置，作為演示，我們仍然使用騰訊提供服務的郵箱地址service@tencent.com，如下圖7所示。

圖7

然后點擊下一步進行SMTP服務器信息的配置，這一步也是配置的關鍵，我們將發送服務器的地址設置為本地的地址，即127.0.0.1，協議選擇SMTP協議，端口采用默認的25端口，這樣郵件客戶端就可以不經過ISP的SMTP服務器而是用本地構建的SMTP服務器直接向目的郵箱發信，配置信息如下圖8所示。

圖8

配置完成后，就可以按照正常的郵件發送流程進行發送，我們發送一個測試郵件內容如下圖9所示。

圖9

然后點擊發送按鈕，這封郵件就會進入到Advanced Direct Remailer的窗口中，我們點擊Advanced Direct Remailer窗口的運行按鈕，郵件就會進行發送。稍等片刻后，我們的郵箱就會收到剛剛偽造發送的郵件，并且發件人的信息為我們設置的service@tencent.com，如下圖10所示。

圖10#p#

偽造郵件攻擊原理分析

從上面兩種偽造郵件攻擊的方法我們了解到，想實現偽造郵件，偽造發件人的攻擊方式基本上沒有什么技術含量，只需要瀏覽網頁，添加一些文字或者安裝兩個軟件即可。但是，為什么可以輕易地實現偽造郵件攻擊呢？

SMTP（Simple Mail Transfer Protocol）協議，即簡單郵件傳輸協議，是定義郵件傳輸的協議，它是基于TCP服務的應用層協議，用戶通過SMTP協議所指定的服務器就可以把郵件發送到收件人的服務器上。其郵件傳輸過程共分為三個階段：建立連接、傳輸數據和關閉連接。

由于傳輸數據的階段是人為可控的，所以就會出現人為控制傳輸數據中發件人、發送的信息實現的偽造郵件攻擊。數據傳輸過程中，SMTP協議主要是通過以下五個主要命令實現的。

a)Helo：與SMTP服務器處理郵件的進程開始通信。

b)Mail from：郵件發件人的信息，即黑客偽造的發件人地址信息。

c)Rcpt to：郵件接收人得信息，即黑客發送偽造郵件的目的郵箱地址。

d)Data：郵件正文內容。

e)Quit：退出郵件。

這些命令封裝在應用程序中，對用戶是隱藏的，用戶在發送郵件過程中不會察覺這些命令的使用。

通過分析SMTP協議工作過程中的主要過程我們了解到，發件人的信息、郵件正文信息均是在發送過程中人為可控的數據，也就解釋了為什么我們之前使用deadfake網站和Advanced Direct Remailer軟件可以實現隨意偽造發件人的地址和郵件正文信息，那么我們結合SMTP傳輸過程中的主要命令，在Advanced Direct Remailer軟件環境來具體了解一下郵件發送的過程。

首先，我們通過telnet連接SMTP服務器的25端口。輸入命令為telnet 127.0.0.1 25，然后我們看到SMTP服務器返回給我們的信息，然后我們依次輸入剛剛介紹的數據傳輸中的命令，如下圖11所示。

圖11

其中，

HELO tencent.com表示偽造的主機域名信息為tencent.com。

MAIL FROM: service@tencent.com表示偽造的發件人信息為service@tencent.com。

RCPT TO: xxx@xxxx.com表示發送的目標郵箱地址為xxx@xxxx.com

DATA表示開始輸入郵件正文內容

smtp command test表示郵件的正文內容

.表示輸入結束

輸入完成以后即可發現在Advanced Direct Remailer軟件中提示有一封郵件等待發送，如下圖12所示，我們點擊菜單欄中的播放按鈕即可實現該對郵件的發送。

圖12#p#

如何防范偽造郵件攻擊

通過上述對偽造郵件攻擊方法及原理的分析和描述，我們了解到，發件人地址是可以進行偽造的。所以瑞星安全專家建議廣大網民，在收到涉及敏感信息的郵件時，要對郵件內容和發件人信息進行仔細的確認，防范可能存在的偽造郵件攻擊行為。主要的防范方法可以分為以下幾種：

1.通過郵件信息確定郵件發送者的真實IP信息。雖然發件人地址是可以偽造的，但是對方的真實IP地址信息卻可以，用戶可以通過分析IP地址信息來確定是否受到偽造郵件攻擊，如下圖13所示。

圖13

2.安裝網絡安全防護軟件。黑客通過偽造郵件攻擊的方式攻擊收件人，很大一部分是通過郵件中的釣魚網站竊取用戶隱私。只要用戶安裝了網絡安全防護軟件，如瑞星個人防火墻或瑞星全功能安全軟件等，就可以對釣魚網站或釣魚行為的識別和攔截，有效防止通過偽造郵件實施的釣魚攻擊。

3.通過與發件人直接線下溝通的方式。一旦收到親友、同事發出的可以郵件，最好在線下確認郵件內容的真實有效，再執行相應的操作，以免受到惡意偽造郵件攻擊，造成不必要的損失。

偽造郵件攻擊是很常見的一種黑客攻擊手法，但是目前還沒有針對該種類型攻擊的完美解決方案。瑞星安全專家提醒廣大用戶，在已有的防范釣魚郵件、釣魚網站攻擊的基礎上，借助本文描述的防范偽造郵件攻擊的方法，當收到疑似偽造郵件攻擊時，對郵件信息進行仔細辨認，遠離偽造郵件攻擊的危害。