Michael Cobb是認證信息系統安全架構專家(CISSP-ISSAP)，知名的安全作家，具有十多年豐富的IT行業經驗，并且還從事過十六年的金融行業。他是Cobweb Applications公司的創始人兼常務董事，該公司主要提供IT培訓，以及數據安全和分析的支持。Michael還合著過IIS Security一書，并為領先的IT出版物撰寫過無數科技文章。此外，Michael還是微軟認證數據庫系統管理員和微軟認證專家。

 [[135559]]  

無處不在的國際化電子郵箱即將出現。這將對企業有什么影響?本文中專家Michael Cobb解釋了這個問題。

谷歌最近進行了一些語言/文字更改，使Gmail成為更國際化的電子郵件服務。這種變化的安全優勢是什么?國際化電子郵件應用/服務對企業安全有什么影響?

Michael Cobb：互聯網是一種全球性現象，但其標準仍然主要是基于英文字母—全球不到一半的人口在使用英語。例如，電子郵件地址josé@mialmacen.es是無效的，因為josé包含字母é。根據RFC 5321，郵件名只可以使用7位ASCII—不允許使用á、é、ó、í等特殊字符。大多數郵件服務器會忽略é，并試圖發送電子郵件到jose@mialmacen.es。(按照RFC 5890域名已經國際化，所以郵件地址jose@mialmacen.es為有效。)

對于想要在郵箱地址中使用自己名字的人來說，這可能有些令人沮喪。例如有人叫做Cristóbal Colón，即西班牙語的Christopher Columbus(哥倫布)，他只能選擇cristobal.colon@作為郵箱地址--不再是著名的探險家，只是標點符號。

為了解決這個問題，互聯網工程任務組(IETF)創建了新的電子郵件標準，支持包含非ASCII字符的地址。這是早在2012年的事情，并且在2008年UTF-8已經超越ASCII成為網絡最常用的字符編碼，盡管如此，目前用戶仍然只能使用基本的拉丁字符，因為每個電子郵件服務提供商和每個網站(在注冊時需要提供有效郵箱地址)都需要采用新標準。

谷歌是第一個增加非拉丁字符支持的大型郵件服務提供商;Gmail現在可以正確處理包含重音或非拉丁字符的地址。這意味著Gmail用戶可以發送和接收郵箱地址中包含這些字符的郵件，但目前還不可以使用重音或非拉丁字符創建Gmail賬戶。

然而，這里會帶來安全隱患，對非拉丁字符的支持會讓網絡釣魚攻擊者更容易地偽造用戶的郵箱地址。

讓我來解釋一下。

在ASCII編碼中，有幾對看起來很像的字符：例如，大寫字母O和數字0，小寫字母l(L)和大寫字母I(i)。在大多數字體中，它們幾乎沒有區別，但計算機系統在處理它們時會區別對待。例如，ASCII對大寫l的編碼是73，而對小寫l的編碼是108。基于這些相似之處的欺騙攻擊被稱為同形異義欺騙攻擊。這類似于注冊近似域名，例如攻擊者注冊www.goog1e.co.uk，但這依賴于自然人類錯別字，同形異義欺騙攻擊會利用視覺上無區別的名稱來欺騙用戶。

Unicode融入了很多書寫系統，并增加了相似字符的數量，例如希臘Ο、拉丁O和西里爾О。這樣一來，網絡罪犯或攻擊者可以創建郵箱地址，讓收件人相信這是來自可信的朋友或者同事，例如аndrew123@gmail.com，而不是andrew123@gmail.com，第一個地址使用的是Unicode字符U+430，西里爾小字母a，而不是Unicode字符U + 0061，拉丁小字母a。

對于試圖利用Unicode同形字符來發動攻擊的攻擊者，谷歌正試圖先發制人，通過更新其Gmail垃圾郵件過濾器來提高有針對性網絡釣魚攻擊的難度，阻止使用可疑字符組合的郵箱地址的郵件。怎樣來判斷郵箱地址是否可疑呢?這是根據Unicode協會設置的規范，該協會對一致表述以及處理世界上大部分書寫系統中的文本制定了計算機行業標準。

雖然其他網絡郵件提供商可能會先看看全球化Gmail是否會為谷歌帶來更多用戶以及影響其自己的用戶數量，才考慮引入更多語言本地化，但郵件地址全球化勢在必行。為了解決Unicode同形字符攻擊帶來的危害，網站和用戶都可以使用數字證書，讓其他人可以驗證他們正在訪問的域名，以及確認收到郵件的發送者的身份。