任意邮件伪造漏洞的修复总结

任意邮件伪造漏洞的修复总结

接入支付宝开放平台时收到了一封漏洞检测邮件,提示在我的网站检测到了任意邮件伪造检测漏洞。

由于是第一次解决此类问题,官方给出的解决方法也不是简单易懂的,一度使我头疼。

经过多处查找资料学习,现将解决方法分享。

漏洞类型

任意邮件伪造检测

漏洞危害

该漏洞可导致黑客伪装为管理员或用户获取系统的信任,严重可导致服务器被黑客控制。

漏洞说明

WEB应用程序因对服务/用户等的标识不能唯一的,阶段随机的实现,导致恶意用户可构造其他用户或服务的标识用来获取信息或执行操作

修复建议

为了防止邮箱伪造,出现了SPF。 SPF(或是Sender ID)是Sender Policy Framework的缩写。 当定义了域名的SPF记录后,接收邮件方会根据你的SPF记录来判断连接过来的IP地址是否被包含在SPF记录里面,如果在,则认为是一封正确的邮件,否则则认为是一封伪造的邮件。现在绝大部份反垃圾邮件系统都支持SPF过滤,这种过滤一般不会有误判,除非是邮件系统管理员自己把SPF记录配置错误或遗漏。 增加SPF记录非常简单,在DNS里面添加TXT记录即可。

具体步骤

首先,登录你的域名提供商的管理页面,这个页面就是通常是用来设置域名解析ip地址的地方。例如上述例子,可以这样声明,在域名的解析记录里添加一条txt记录,

二级域名:空或<span class="hljs-decorator">@</span>
txt记录值为:v=spf1 ip4:<span class="hljs-number">1.1</span><span class="hljs-number">.1</span><span class="hljs-number">.1</span> -all

这样,就设置了你的邮件只能是从1.1.1.1这个ip发出的。其中txt记录的意义:

v=spf1      <span class="hljs-comment">#版本号声明;</span>
ip4:x.x.x.x <span class="hljs-comment">#指定ip地址;</span>
-all        <span class="hljs-comment">#对其余的标记为无效(FAIL)</span>

当然这样设置有些问题就是你的域名可能需要变化的ip地址,或扩增多个ip,这时候就可以用其他方式,更改中间的部分(ip4对应位置):

二级域名:空或@
txt记录值为:v=spf1 <span class="hljs-keyword">include</span>:spf1.a.com <span class="hljs-keyword">include</span>:spf2.a.com -all

再设置一个spf1.a.com的txt解析记录,内容为:

二级域名:spf1
txt记录值为:v=spf1 ip4:1.1.1.0/24 ip4:1.2.3.4 -all

其中include的意思是使用其后的地址的SPF记录。而

ip4:1.1.1.0/24

则是使用一个段。设置spf2.a.com与此类似。这样就可以使用更多的地址作为合法地址。也可以include多层,但常见的一般最多三层已经够用,最后一层要指定到具体的ip或域名。

其他如:

v=spf1 a mx ip4:x.x.x.x -all

使用a记录,mx解析记录和指定的ip作为合法地址。

更多

关于剩余检查项all前面的“-”符号,参见下表:

<span class="hljs-string">"+"</span>  Pass(通过)
<span class="hljs-string">"-"</span>  Fail(拒绝)
<span class="hljs-string">"~"</span>  Soft Fail(软拒绝)
<span class="hljs-string">"?"</span>  Neutral(中立)

建议使用“-all”来拒绝陌生地址的邮件。当使用“~all”时,一般会将邮件标记为垃圾邮件。但是由于有时人们还是会翻查垃圾邮件(甚至有时官方都会建议去检查垃圾邮件),因此这样处理并不安全。所以如无特殊需求,建议使用“-all”来拒绝。

禁用所有邮件服务:

<span class="hljs-keyword">v</span>=spf1 -<span class="hljs-literal">all</span>

参考链接

详细语法说明(英文): http://www.openspf.org/SPF_Record_Syntax

http://www.openspf.org/RFC_4408

中文:http://www.renfei.org/blog/introduction-to-spf.html

© 版权声明
THE END
喜欢就支持一下吧
点赞635赞赏
分享
评论 共1条

请登录后发表评论