當「退信」成爲攻擊,咱們可以作什麼？

企業信息按其存在形態，分爲結構化數據和非結構化數據。在企業全部信息中，80% 左右的信息是非結構化數據(包括電子郵件、圖像、視頻、文檔、社會媒體等) ，而非結構化數據中，將企業的電子郵件數據做爲其中最主要的數據信息，相信無人會反對。可是，當電子郵件發錯對象時，由於郵件系統在SMTP鏈接階段，會 檢查收件人是否存在，若是收件人不存在，或是接收端由於某種緣由而不能接收，郵件系統將自動生成退信信息(NDR【Non-Delivery Report】)，並自動發送給發件人。這只是一個再正常不過的郵件服務之一，但已被SPAMMER用來成爲一種常見的攻擊武器，退信已再也不僅僅只是退 信，已然成爲了一種網路上攻擊郵件服務器的手段，甚至防不勝防。
　　那先跟隨咱們的腳步，瞭解下退信攻擊的流程吧。Invalid Non-Delivery Report Messages，垃圾郵件退信攻擊，是將欲攻擊的對象假裝成發件人地址，收件人地址則選用一個(或一組)其餘單位不存在的帳號，而後經過殭屍計算機 Botnet，發送大量假裝郵件，由於該收件人帳號不存在，因此，郵件主機會退信給被假裝的發件人地址，形成被僞冒的公司郵件主機收到大量的退信通知郵 件，不但增長系統Loading，也會容易使該公司變成垃圾郵件黑名單的一員。

　　"退信"成爲了一把雙面刃。只要一次發信的動做，能夠同時攻擊兩臺郵件服務器。他對企業來講，就會形成不少不利影響，諸如：
　　1. 企業員工休假或出差在外，如果由於公司郵件服務器備退信攻擊致使沒法正常收發郵件，沒法第一時間當即處理客戶郵件，致使訂單流失。
　　2. 由於退信攻擊致使IP被加進RBL，變得沒法正常收發郵件。
　　上述兩種情況，都是會影響公司訂單，大筆交易金額資訊的傳達或是工做信息的發佈，都是影響重大的。以本例來講，近來筆 者經常看到許多企業的郵箱，被退送郵件塞爆，影響公司正常運做，經瞭解緣由後，發現是有人假冒公司帳號大量發送垃圾郵件。例如某廣告垃圾郵件發送者，僞造 發件人的字段爲咱們公司帳號 並大量發送垃圾郵件，可是因爲收件人可能有作阻擋防護(字典擋、限制內部收件人最大人數….)，形成寄送郵件沒法順利送達，而發生退信狀況。這時候郵件系統(不管是本機帳號或非本機帳號)會收到許多的退信，有可能會形成使用者困擾也可能影響整個公司郵件寄送正常運做。
　　退信攻擊在程度上有所區別，上面介紹的這種攻擊，被攻擊者可能一天以內收到數百上千封各類退信。
　　通常用戶碰到的退信攻擊屬於騷擾性質，垃圾郵件發送者在發送垃圾郵件時，經常隨機的設置發件人，例如其中包括 bobo@abc.com ，當大量發送垃圾郵件時， 有些郵件多是以 bobo@abc.com 發送的，則bobo就可能收到退信，有時一天只有幾封或幾十封，但老是不斷，讓人十分鬱悶。
　　退信信息一般比較有規律，例如發件人爲空，或者爲 MAILER-DAEMON@xxx.com ， 主題通常爲Undelivered Mail Returned等。有些用戶採用關鍵詞的技術將退信予以阻斷，或者乾脆限定阻止空發件人，可是這常常會把正常的退信也阻止掉，致使信息不順暢。通常而言， 退信佔一個公司的郵件量5%以上，這其中絕大部分是垃圾退信。如何防止收到這種垃圾退信，避免退信攻擊呢？遇到這樣的問題，有沒有什麼樣的方式能夠解決 呢？
　　若要防止這種情況，就大部分的技術來講，要設置相關對應的條件，就比較複雜，而市場上防範垃圾郵件產品常見的作法之一 是設置SPF驗證，但遺憾的是不少服務器不作SPF驗證，所以，即便某些企業設置了SPF記錄，也依然沒法阻擋退信形成的垃圾郵件威脅;另外一些產品採用回 復郵件的驗證機制，須要在外發郵件時加入時間標示和密鑰，且郵件外發後產生的退信中，也須要包括髮送時的時間標示和密鑰，若沒有上述信息，則說明該郵件不 是由本機發出的，就被列爲退信垃圾，並將其阻擋。如此設置每一封郵件，這對管理人員來講，是否麻煩了些呢？而就JDMAIL金笛郵件系統的產品就無需如此繁複的設置，只需輕點鼠標勾選便可，對管理人員來講較爲簡單，又更容易上手。

　　如圖作法，只需設置郵件大小，如有須要，加入容許退信的IP掩碼加入，設置就搞定了，再多的「退信」攻擊也不會入侵企 業內部。JDMAIL企業郵件內容管理系統，不但解決郵件非結構化數據的安全防範、採集、管理、利用、傳遞，更可從中獲取業務連續性管理的洞察力和競爭 力，並將沒必要要的風險性作到更及時的可控性。 18810891023