国际化电子邮箱会给企业带来怎样的安全风险?

日期:2015-6-2作者:Michael Cobb翻译:邹铮来源:TechTarget中国 英文

【TechTarget中国原创】无处不在的国际化电子邮箱即将出现。这将对企业有什么影响?本文中专家Michael Cobb解释了这个问题。

谷歌最近进行了一些语言/文字更改,使Gmail成为更国际化的电子邮件服务。这种变化的安全优势是什么?国际化电子邮件应用/服务对企业安全有什么影响?

Michael Cobb:互联网是一种全球性现象,但其标准仍然主要是基于英文字母—全球不到一半的人口在使用英语。例如,电子邮件地址josé@mialmacen.es是无效的,因为josé包含字母é。根据RFC 5321,邮件名只可以使用7位ASCII—不允许使用á、é、ó、í等特殊字符。大多数邮件服务器会忽略é,并试图发送电子邮件到jose@mialmacen.es。(按照RFC 5890域名已经国际化,所以邮件地址jose@mialmacen.es为有效。)

对于想要在邮箱地址中使用自己名字的人来说,这可能有些令人沮丧。例如有人叫做Cristóbal Colón,即西班牙语的Christopher Columbus(哥伦布),他只能选择cristobal.colon@作为邮箱地址--不再是著名的探险家,只是标点符号。

为了解决这个问题,互联网工程任务组(IETF)创建了新的电子邮件标准,支持包含非ASCII字符的地址。这是早在2012年的事情,并且在2008年UTF-8已经超越ASCII成为网络最常用的字符编码,尽管如此,目前用户仍然只能使用基本的拉丁字符,因为每个电子邮件服务提供商和每个网站(在注册时需要提供有效邮箱地址)都需要采用新标准。

谷歌是第一个增加非拉丁字符支持的大型邮件服务提供商;Gmail现在可以正确处理包含重音或非拉丁字符的地址。这意味着Gmail用户可以发送和接收邮箱地址中包含这些字符的邮件,但目前还不可以使用重音或非拉丁字符创建Gmail账户。

然而,这里会带来安全隐患,对非拉丁字符的支持会让网络钓鱼攻击者更容易地伪造用户的邮箱地址。

让我来解释一下。

在ASCII编码中,有几对看起来很像的字符:例如,大写字母O和数字0,小写字母l(L)和大写字母I(i)。在大多数字体中,它们几乎没有区别,但计算机系统在处理它们时会区别对待。例如,ASCII对大写l的编码是73,而对小写l的编码是108。基于这些相似之处的欺骗攻击被称为同形异义欺骗攻击。这类似于注册近似域名,例如攻击者注册www.goog1e.co.uk,但这依赖于自然人类错别字,同形异义欺骗攻击会利用视觉上无区别的名称来欺骗用户。

Unicode融入了很多书写系统,并增加了相似字符的数量,例如希腊Ο、拉丁O和西里尔О。这样一来,网络罪犯或攻击者可以创建邮箱地址,让收件人相信这是来自可信的朋友或者同事,例如аndrew123@gmail.com,而不是andrew123@gmail.com,第一个地址使用的是Unicode字符U+430,西里尔小字母a,而不是Unicode字符U + 0061,拉丁小字母a。

对于试图利用Unicode同形字符来发动攻击的攻击者,谷歌正试图先发制人,通过更新其Gmail垃圾邮件过滤器来提高有针对性网络钓鱼攻击的难度,阻止使用可疑字符组合的邮箱地址的邮件。怎样来判断邮箱地址是否可疑呢?这是根据Unicode协会设置的规范,该协会对一致表述以及处理世界上大部分书写系统中的文本制定了计算机行业标准。

虽然其他网络邮件提供商可能会先看看全球化Gmail是否会为谷歌带来更多用户以及影响其自己的用户数量,才考虑引入更多语言本地化,但邮件地址全球化势在必行。为了解决Unicode同形字符攻击带来的危害,网站和用户都可以使用数字证书,让其他人可以验证他们正在访问的域名,以及确认收到邮件的发送者的身份。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Michael Cobb
Michael Cobb

Michael Cobb, CISSP - ISSAP在IT行业的安全方面有10年以上的经验,财经方面有16年的经验,他是Cobweb Applications Ltd的创办人兼常务董事,IT培训和数据安全与分析顾问。与人共同撰写IIS Security 这本书,并为许多IT出版物写了大量的技术性文章。Michael也是微软认证数据库管理员和微软认证专家。

Email安全基础>更多

相关推荐

技术手册>更多

  • Vista BitLocker磁盘加密向导

      BitLocker是微软Vista企业版和旗舰版(Vista Enterprise and Ultimate)中的一个功能,可以加密系统磁盘。这一点在Windows之前的版本中,如果没有第三方产品是不可能实现的。为了使用BitLocker,需要有可信平台模块(Trusted Platform Module,TPM)硬件的系统,1.2版本或者更好的。现在有些PC厂商已经开始支持了,虽然需要额外付费。  但是如果想要在没有TPM的系统上使用BitLocker应该怎么办呢?  本技术指南将介绍如何启动BitLocker,并在没有TPM的电脑上运行的方法,以及没有它的时候需要什么,应该怎么做以及可以获得的结果等。

  • 防火墙架构

    企业的防火墙设计和安装是一项艰巨的工作。在设计过程中对防火墙的选择在以后的多年中对安全的意义深远。在这一系列文章中,我们将详细探讨防火墙的安装,希望对防火墙设计的过程会有帮助。
    我们将会分四个部分来探讨。

  • 企业合并安全

    在本专题中,安全专家解释了管理两个公司完全不同的员工的最好方法、技术和策略。本文中介绍了在并购时的需要注意的问题,并为合并的每一步提供了参考的办法。

  • 笔记本电脑安全防护手册

    笔记本——多个身份——盗窃”这个话题好像已经重复了很多次了。不管是谁,饭店的清洁人员还是把笔记本放在车里的知名的审计员(他会在每年检查时想客户重复这些不注意的地方),笔记本和其他物理上不安全的电脑都在大量的丢失或者被窃。丢失笔记本已经不再只是不方便的事情了。最重要的是,这样会导致很多敏感信息处于风险之中。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算