国际化电子邮箱会给企业带来怎样的安全风险?

日期:2015-6-2作者:Michael Cobb翻译:邹铮来源:TechTarget中国 英文

【TechTarget中国原创】无处不在的国际化电子邮箱即将出现。这将对企业有什么影响?本文中专家Michael Cobb解释了这个问题。

谷歌最近进行了一些语言/文字更改,使Gmail成为更国际化的电子邮件服务。这种变化的安全优势是什么?国际化电子邮件应用/服务对企业安全有什么影响?

Michael Cobb:互联网是一种全球性现象,但其标准仍然主要是基于英文字母—全球不到一半的人口在使用英语。例如,电子邮件地址josé@mialmacen.es是无效的,因为josé包含字母é。根据RFC 5321,邮件名只可以使用7位ASCII—不允许使用á、é、ó、í等特殊字符。大多数邮件服务器会忽略é,并试图发送电子邮件到jose@mialmacen.es。(按照RFC 5890域名已经国际化,所以邮件地址jose@mialmacen.es为有效。)

对于想要在邮箱地址中使用自己名字的人来说,这可能有些令人沮丧。例如有人叫做Cristóbal Colón,即西班牙语的Christopher Columbus(哥伦布),他只能选择cristobal.colon@作为邮箱地址--不再是著名的探险家,只是标点符号。

为了解决这个问题,互联网工程任务组(IETF)创建了新的电子邮件标准,支持包含非ASCII字符的地址。这是早在2012年的事情,并且在2008年UTF-8已经超越ASCII成为网络最常用的字符编码,尽管如此,目前用户仍然只能使用基本的拉丁字符,因为每个电子邮件服务提供商和每个网站(在注册时需要提供有效邮箱地址)都需要采用新标准。

谷歌是第一个增加非拉丁字符支持的大型邮件服务提供商;Gmail现在可以正确处理包含重音或非拉丁字符的地址。这意味着Gmail用户可以发送和接收邮箱地址中包含这些字符的邮件,但目前还不可以使用重音或非拉丁字符创建Gmail账户。

然而,这里会带来安全隐患,对非拉丁字符的支持会让网络钓鱼攻击者更容易地伪造用户的邮箱地址。

让我来解释一下。

在ASCII编码中,有几对看起来很像的字符:例如,大写字母O和数字0,小写字母l(L)和大写字母I(i)。在大多数字体中,它们几乎没有区别,但计算机系统在处理它们时会区别对待。例如,ASCII对大写l的编码是73,而对小写l的编码是108。基于这些相似之处的欺骗攻击被称为同形异义欺骗攻击。这类似于注册近似域名,例如攻击者注册www.goog1e.co.uk,但这依赖于自然人类错别字,同形异义欺骗攻击会利用视觉上无区别的名称来欺骗用户。

Unicode融入了很多书写系统,并增加了相似字符的数量,例如希腊Ο、拉丁O和西里尔О。这样一来,网络罪犯或攻击者可以创建邮箱地址,让收件人相信这是来自可信的朋友或者同事,例如аndrew123@gmail.com,而不是andrew123@gmail.com,第一个地址使用的是Unicode字符U+430,西里尔小字母a,而不是Unicode字符U + 0061,拉丁小字母a。

对于试图利用Unicode同形字符来发动攻击的攻击者,谷歌正试图先发制人,通过更新其Gmail垃圾邮件过滤器来提高有针对性网络钓鱼攻击的难度,阻止使用可疑字符组合的邮箱地址的邮件。怎样来判断邮箱地址是否可疑呢?这是根据Unicode协会设置的规范,该协会对一致表述以及处理世界上大部分书写系统中的文本制定了计算机行业标准。

虽然其他网络邮件提供商可能会先看看全球化Gmail是否会为谷歌带来更多用户以及影响其自己的用户数量,才考虑引入更多语言本地化,但邮件地址全球化势在必行。为了解决Unicode同形字符攻击带来的危害,网站和用户都可以使用数字证书,让其他人可以验证他们正在访问的域名,以及确认收到邮件的发送者的身份。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Michael Cobb
Michael Cobb

Michael Cobb, CISSP - ISSAP在IT行业的安全方面有10年以上的经验,财经方面有16年的经验,他是Cobweb Applications Ltd的创办人兼常务董事,IT培训和数据安全与分析顾问。与人共同撰写IIS Security 这本书,并为许多IT出版物写了大量的技术性文章。Michael也是微软认证数据库管理员和微软认证专家。

Email安全基础>更多

  • 又一轮电邮中间人攻击来袭 企业如何自保?

    互联网犯罪投诉中心日前发布了有关企业电子邮件欺诈活动的警告。那么,这个欺诈活动是什么,它与网络钓鱼攻击有何不同?企业是否应该部署额外安全措施来保护自身?

  • 选择电子邮件安全网关 你该知道这五个标准

    现在市面上有很多电子邮件安全网关产品和服务,它们几乎可以满足所有企业的需求。然而,从这么多产品中选出最合适的产品或服务并不是简单的事情

  • 如何对付“新垃圾邮件”?

    攻击者正在通过反向和扭转编写主题行或文本或者使用不同的字体和语言来重写编写垃圾邮件。是否有垃圾邮件过滤器可以检测到这种类型的垃圾邮件?

  • 企业邮箱安全性的保护技巧

    过去杀毒软件和基本的反垃圾邮件过滤器,就可以确保企业邮箱安全,但现在新技术盛行,企业需要一些新方法。

相关推荐

技术手册>更多

  • PDF安全使用策略指导手册

    PDF是企业常用的文件形式,但是随着企业对它的依赖性增长,PDF文件也越来越受到攻击者的关注。目前的PDF攻击采用壳代码(shellcode),它使恶意软件很难被发现和移除。然而企业需要用PDF文件来传输信息,尤其是敏感信息,所以企业应该重新评估其PDF安全策略,重视PDF的安全性。本迷你电子书将提供保护PDF文件安全的最佳实践,并且对何时使用PDF文件提出建议。

  • BYOD安全指南

    随着越来越多的移动设备涌入企业,BYOD已经不再是一个趋势,而是无可置疑的事实。但是,BYOD在给我们带来便捷的同时,也常常会导致安全问题。这个安全需要考虑很多因素。

  • 虚拟化安全手册

    未来企业在IT基础架构建设中,将侧重于建设领先的虚拟化IT环境。但虚拟化环境面临着不同于物理环境的安全问题,本技术手册将为你详细介绍虚拟化安全挑战,并提供解决策略和方法。

  • Web应用程序安全手册

    现在,黑客们已将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。本技术手册为你全面解析Web应用程序安全问题,提供保证Web应用程序安全的方法和技巧。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算