国际化电子邮箱会给企业带来怎样的安全风险?

日期:2015-6-2作者:Michael Cobb翻译:邹铮来源:TechTarget中国 英文

【TechTarget中国原创】无处不在的国际化电子邮箱即将出现。这将对企业有什么影响?本文中专家Michael Cobb解释了这个问题。

谷歌最近进行了一些语言/文字更改,使Gmail成为更国际化的电子邮件服务。这种变化的安全优势是什么?国际化电子邮件应用/服务对企业安全有什么影响?

Michael Cobb:互联网是一种全球性现象,但其标准仍然主要是基于英文字母—全球不到一半的人口在使用英语。例如,电子邮件地址josé@mialmacen.es是无效的,因为josé包含字母é。根据RFC 5321,邮件名只可以使用7位ASCII—不允许使用á、é、ó、í等特殊字符。大多数邮件服务器会忽略é,并试图发送电子邮件到jose@mialmacen.es。(按照RFC 5890域名已经国际化,所以邮件地址jose@mialmacen.es为有效。)

对于想要在邮箱地址中使用自己名字的人来说,这可能有些令人沮丧。例如有人叫做Cristóbal Colón,即西班牙语的Christopher Columbus(哥伦布),他只能选择cristobal.colon@作为邮箱地址--不再是著名的探险家,只是标点符号。

为了解决这个问题,互联网工程任务组(IETF)创建了新的电子邮件标准,支持包含非ASCII字符的地址。这是早在2012年的事情,并且在2008年UTF-8已经超越ASCII成为网络最常用的字符编码,尽管如此,目前用户仍然只能使用基本的拉丁字符,因为每个电子邮件服务提供商和每个网站(在注册时需要提供有效邮箱地址)都需要采用新标准。

谷歌是第一个增加非拉丁字符支持的大型邮件服务提供商;Gmail现在可以正确处理包含重音或非拉丁字符的地址。这意味着Gmail用户可以发送和接收邮箱地址中包含这些字符的邮件,但目前还不可以使用重音或非拉丁字符创建Gmail账户。

然而,这里会带来安全隐患,对非拉丁字符的支持会让网络钓鱼攻击者更容易地伪造用户的邮箱地址。

让我来解释一下。

在ASCII编码中,有几对看起来很像的字符:例如,大写字母O和数字0,小写字母l(L)和大写字母I(i)。在大多数字体中,它们几乎没有区别,但计算机系统在处理它们时会区别对待。例如,ASCII对大写l的编码是73,而对小写l的编码是108。基于这些相似之处的欺骗攻击被称为同形异义欺骗攻击。这类似于注册近似域名,例如攻击者注册www.goog1e.co.uk,但这依赖于自然人类错别字,同形异义欺骗攻击会利用视觉上无区别的名称来欺骗用户。

Unicode融入了很多书写系统,并增加了相似字符的数量,例如希腊Ο、拉丁O和西里尔О。这样一来,网络罪犯或攻击者可以创建邮箱地址,让收件人相信这是来自可信的朋友或者同事,例如аndrew123@gmail.com,而不是andrew123@gmail.com,第一个地址使用的是Unicode字符U+430,西里尔小字母a,而不是Unicode字符U + 0061,拉丁小字母a。

对于试图利用Unicode同形字符来发动攻击的攻击者,谷歌正试图先发制人,通过更新其Gmail垃圾邮件过滤器来提高有针对性网络钓鱼攻击的难度,阻止使用可疑字符组合的邮箱地址的邮件。怎样来判断邮箱地址是否可疑呢?这是根据Unicode协会设置的规范,该协会对一致表述以及处理世界上大部分书写系统中的文本制定了计算机行业标准。

虽然其他网络邮件提供商可能会先看看全球化Gmail是否会为谷歌带来更多用户以及影响其自己的用户数量,才考虑引入更多语言本地化,但邮件地址全球化势在必行。为了解决Unicode同形字符攻击带来的危害,网站和用户都可以使用数字证书,让其他人可以验证他们正在访问的域名,以及确认收到邮件的发送者的身份。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Michael Cobb
Michael Cobb

Michael Cobb, CISSP - ISSAP在IT行业的安全方面有10年以上的经验,财经方面有16年的经验,他是Cobweb Applications Ltd的创办人兼常务董事,IT培训和数据安全与分析顾问。与人共同撰写IIS Security 这本书,并为许多IT出版物写了大量的技术性文章。Michael也是微软认证数据库管理员和微软认证专家。

Email安全基础>更多

相关推荐

技术手册>更多

  • 终端安全基础指导手册

    为什么我们有了越来越多先进的安全技术,但遭受攻击的次数却有增无减呢?本技术手册将分几部分,为你提供保护常见终端安全的技巧和方法,降低你数据泄漏的风险。

  • 金融行业安全指导

    安全是金融行业永远的话题。现在网络犯罪分子们越来越多的利用综合渠道,包括网络,手机,邮件等,制造机会,跟踪欺诈消费者。本技术手册将从三个方面为您提供详细的安全策略,包括:金融安全风险及挑战,案例学习:金融安全启示录和金融安全最佳实践。

  • 创建网络访问隔离控制

    NAQC(Network Access Quarantine Control,网络访问隔离控制)可以阻止从远程地址不受阻碍、自由地访问网络,直到目标计算机已经证明远程计算机的配置可以满足脚本中列出的特定要求和标准。

  • 缓冲区溢出防范策略

    软件是一种典型的以有效的方式操纵数据的书面形式的产品。这些数据可以是文本,图像,视频或声音;但是,就程序而言,本质上它只是一串数据——通常以字节(8位数据)的形式代表某些意义(例如,颜色或文本字符)。当一个程序员申明一个缓冲区时,非常容易申请一个可能不适合程序后来的指针使用的缓冲区,或者可能会在没有很充分地验证输入时接受超出缓冲区大小的数据。这就涉及到缓冲区溢出的问题,本手册将围绕这一问题展开讲解。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算