国际化电子邮箱会给企业带来怎样的安全风险?

日期:2015-6-2作者:Michael Cobb翻译:邹铮来源:TechTarget中国 英文

【TechTarget中国原创】无处不在的国际化电子邮箱即将出现。这将对企业有什么影响?本文中专家Michael Cobb解释了这个问题。

谷歌最近进行了一些语言/文字更改,使Gmail成为更国际化的电子邮件服务。这种变化的安全优势是什么?国际化电子邮件应用/服务对企业安全有什么影响?

Michael Cobb:互联网是一种全球性现象,但其标准仍然主要是基于英文字母—全球不到一半的人口在使用英语。例如,电子邮件地址josé@mialmacen.es是无效的,因为josé包含字母é。根据RFC 5321,邮件名只可以使用7位ASCII—不允许使用á、é、ó、í等特殊字符。大多数邮件服务器会忽略é,并试图发送电子邮件到jose@mialmacen.es。(按照RFC 5890域名已经国际化,所以邮件地址jose@mialmacen.es为有效。)

对于想要在邮箱地址中使用自己名字的人来说,这可能有些令人沮丧。例如有人叫做Cristóbal Colón,即西班牙语的Christopher Columbus(哥伦布),他只能选择cristobal.colon@作为邮箱地址--不再是著名的探险家,只是标点符号。

为了解决这个问题,互联网工程任务组(IETF)创建了新的电子邮件标准,支持包含非ASCII字符的地址。这是早在2012年的事情,并且在2008年UTF-8已经超越ASCII成为网络最常用的字符编码,尽管如此,目前用户仍然只能使用基本的拉丁字符,因为每个电子邮件服务提供商和每个网站(在注册时需要提供有效邮箱地址)都需要采用新标准。

谷歌是第一个增加非拉丁字符支持的大型邮件服务提供商;Gmail现在可以正确处理包含重音或非拉丁字符的地址。这意味着Gmail用户可以发送和接收邮箱地址中包含这些字符的邮件,但目前还不可以使用重音或非拉丁字符创建Gmail账户。

然而,这里会带来安全隐患,对非拉丁字符的支持会让网络钓鱼攻击者更容易地伪造用户的邮箱地址。

让我来解释一下。

在ASCII编码中,有几对看起来很像的字符:例如,大写字母O和数字0,小写字母l(L)和大写字母I(i)。在大多数字体中,它们几乎没有区别,但计算机系统在处理它们时会区别对待。例如,ASCII对大写l的编码是73,而对小写l的编码是108。基于这些相似之处的欺骗攻击被称为同形异义欺骗攻击。这类似于注册近似域名,例如攻击者注册www.goog1e.co.uk,但这依赖于自然人类错别字,同形异义欺骗攻击会利用视觉上无区别的名称来欺骗用户。

Unicode融入了很多书写系统,并增加了相似字符的数量,例如希腊Ο、拉丁O和西里尔О。这样一来,网络罪犯或攻击者可以创建邮箱地址,让收件人相信这是来自可信的朋友或者同事,例如аndrew123@gmail.com,而不是andrew123@gmail.com,第一个地址使用的是Unicode字符U+430,西里尔小字母a,而不是Unicode字符U + 0061,拉丁小字母a。

对于试图利用Unicode同形字符来发动攻击的攻击者,谷歌正试图先发制人,通过更新其Gmail垃圾邮件过滤器来提高有针对性网络钓鱼攻击的难度,阻止使用可疑字符组合的邮箱地址的邮件。怎样来判断邮箱地址是否可疑呢?这是根据Unicode协会设置的规范,该协会对一致表述以及处理世界上大部分书写系统中的文本制定了计算机行业标准。

虽然其他网络邮件提供商可能会先看看全球化Gmail是否会为谷歌带来更多用户以及影响其自己的用户数量,才考虑引入更多语言本地化,但邮件地址全球化势在必行。为了解决Unicode同形字符攻击带来的危害,网站和用户都可以使用数字证书,让其他人可以验证他们正在访问的域名,以及确认收到邮件的发送者的身份。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Michael Cobb
Michael Cobb

Michael Cobb, CISSP - ISSAP在IT行业的安全方面有10年以上的经验,财经方面有16年的经验,他是Cobweb Applications Ltd的创办人兼常务董事,IT培训和数据安全与分析顾问。与人共同撰写IIS Security 这本书,并为许多IT出版物写了大量的技术性文章。Michael也是微软认证数据库管理员和微软认证专家。

Email安全基础>更多

相关推荐

技术手册>更多

  • Web服务器安全设置

    本专题将介绍如何策划并进行Web服务器操作系统和服务的安装,并列出了在Web服务器的安装和使用的过程中,所面临的主要的威胁和攻击类型。此外本专题还将详细解释了加固步骤以及如何保护其他的诸如SMTP之类的网络服务。

  • 手持和移动设备安全防护手册

    现在智能手机和PDA的功能越来越强大,越来越受到商务人士的青睐。通过提供实时有效的信息访问连接,移动设备的出现提高了工作效率。但是移动设备在带来机遇的同时,也会由于设备的丢失造成企业机密和个人信息的丢失。还有日益盛行的恶意软件、垃圾邮件和针对移动设备的黑客事件。这些都危及到移动设备的安全,那么作为企业用户该采取哪些保护措施来保护您移动设备的安全呢?本技术手册主要介绍了手持和移动设备所面临的安全威胁,以及保护笔记本电脑和智能手机安全的方法,并总结了移动设备的安全应用策略。

  • 高级持续性威胁(APT)剖析与防护

    高级持续性威胁(APT)的目标是访问企业网络、获取数据,并长期地秘密监视目标计算机系统。这种威胁很难检测和清除,因为它看起来并不象是恶意软件,却深入到企业的计算系统中。此外,APT的设计者和发动者为逃避检测还会不断地改变其代码,从而持续地监视和指引其活动。那么,企业是否就拿这种威胁束手无策了呢?当然不是的。

  • 无线攻击和漏洞

    目前很多公司都已经配置了企业级别的802.11 (Wi-Fi)无线局域网。然而,虽然最近技术提高了,但是安全问题依然被认为是首要的挑战。没有充足的安全措施,无线就会为新的攻击开放企业网络。本专题将帮助您理解Wi-Fi的技术内在漏洞和对它攻击。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算