1- Bảo mật trong các phiên POP3/IMAP
POP3 và IMAP4 có chế độ xác thực ngầm định là plain-text (plain-text authentication). Việc bảo mật các phiên làm việc của POP3 hoặc IMAP4 là sử dụng các dịch vụ mã hoá ở mức truyền tải (transport-level encryption) như IPSec hay các công nghệ mạng riêng ảo-VPN khác. Tuy nhiên, các biện pháp trên chủ yếu bảo vệ các gói thông tin bị bắt giữ bên goài Firewall, thực tế có nhiều sự tấn công xuất phát từ bên trong firewall. Để khắc phục, các giao thức mạng phải sử dụng một số kiểu giao thức bắt tay challenge/response, không gửi mật khẩu thực sự truyền trên mạng.
Các nhà cung cấp đã đưa ra nhiều giải pháp cho mã hoá xác thực POP và IMAP. SSL POP và IMAP có sự hỗ trợ tốt nhất từ phía Microsoft và Netscape. Qualcomm triển khai APOP (Authentication POP) và KPOP (Kerberos POP) có sức thuyết phục trong một số môi trường, nhưng giống như NTLM của Microsoft (NT LAN Man) qua sơ đồ xác thực SASL (Simple Authentication Security Layer), cả 2 đều có giới hạn về sự hỗ trợ của các nhà sản xuất khác nhau, và SASL cho ta thấy được những sơ lược về tương lai của xác thực IP.
+ APOP
POP trong RFC 1460 định nghĩa một thuật toán xác thực MD5-based challenge/ response được đặt tên là APOP. Một ví dụ đơn giản của xác thực challenge/response là nó thêm một chuỗi challenge vào POP server. Client đáp ứng với một challenge đã băm và mật khẩu. Nếu client nhận được kết quả phù hợp với hàm băm của server, user được xác thực. Hàm băm không có tính thuận nghịch nên mật khẩu sẽ không bị trộm khi gửi trên mạng.
APOP phải băm mật khẩu để kết hợp với hiệu lệnh của server, do đó POP server phải duy trì một CSDL xác thức riêng cho các APOP user, có nghĩa người dùng phải quản lý thêm một mật khẩu nữa. Thực tế hiện tại APOP chỉ có được sự hỗ trợ duy nhất của Qualcomm.
+ KPOP
KPOP là một lựa chọn cho việc xác thực POP đảm bảo cho những site dựa vào dịch vụ xác thực Kerberos, KPOP là một giao thức xác thực bằng cách gán thẻ duy nhất cho xác thực POP.
Được hỗ trợ tốt nhất bởi Qualcomm, KPOP là một giao thức khác với POP3, chạy trên một cổng TCP riêng biệt. KPOP tích hợp vào trong kiến trúc Kerberos như một dịch vụ.
+ SSL POP/IMAP
Sử dụng SSL có thể mã hoá một phiên tại Layer 5, dùng SSL cho POP và IMAP bằng cách thiết lập một SSL Web server. SSL Server sinh ra một đôi khoá cho mỗi giao thức, có chứng chỉ khoá công cộng được xác nhận bởi một Certificate Authority (CA) tin cậy. Các phiên POP và IMAP sẽ được mã hoá hoàn toàn.
SSL mã hoá không chỉ mật khẩu mà là toàn bộ phiên, làm tăng tải trên các POP, IMAP server. Vì vậy các SSL POP hay IMAP cỡ lớn cần xem xét việc sử dụng các POP hay IMAP Proxy bên ngoài để phân tải. SSL mã hoá toàn bộ dòng TCP, do đó nó không phải là hệ thống xác thực challenge/response, nó không ảnh hưởng đến các chức năng xác thực có sẵn.
+ SASL: CRAM-MD5 và NTLM
Giải pháp tốt nhất cho việc xác thực clear-text là SASL. Một lớp bảo mật modul hoá, SASL cho phép client và server thương thảo từ một trong các cơ chế xác thực. Ngầm định, SASL chỉ định một phương pháp xác thực plain-text, nhưng phần lớn các giải pháp SASL sử dụng CRAM- MD5. Giao thức challenge/response này tương tự như APOP, nhưng có thể được áp dụng cho nhiều giao thức Internet. Mặc dù SASL không phải là giao thức được hỗ trợ phổ biến, nhưng có lẽ nó là giao thức tốt nhất cho tương lai, bằng cách chuẩn hoá lớp xác thực trên các giao thức Internet.
Việc sử dụng CRAM-MD5 SASL thường khá hiếm, nhưng SASL có lẽ sẽ cung cấp một lựa chọn xác thực mạnh vì nó thêm vào các giao thức Internet khác như LDAP3.
2- Các hình thức tấn công E-Mail
Có nhiều hình thức tấn công, lạm dụng hệ thống E-Mail, người quản trị hệ thống Internet e- mail phải nhận thức được các vấn đề có thể xảy ra và các kỹ thuật tấn công hệ thống để đối phó.
a- Spamming
* Spamming là gì
Các E-mail được gửi không mong muốn –UBE(Unsolicited Bulk E-mail) tới một số lớn người sử dụng Internet thường được gọi là Junk mail hoặc spam. Quá trình gửi Mail gọi là
spamming và người gửi thường gọi là spammer. Thực tế đa số các junk e-mail là các quảng cáo thương mại hay các thông tin không yêu cầu (unsolicited), không mong muốn. Spamming thậm chí có thể được dùng như là tấn công từ chối cung cấp dịch vụ-DoS (Denial of service attack), với mục đích làm hệ thống mail của bạn bị sụp đổ.
Có 2 điểm cần chú ý về Spam Mail. Thứ nhất, trường Mail To: address thường là địa chỉ của một mailing list ; trong hầu hết các trường hợp, người gửi che giấu địa chỉ đích thực sự cần gửi bằng cách sử dụng trường Blind Carbon Copy (BCC:). Thứ 2, thông tin return address nói chung không tuân theo giao thức đặt địa chỉ e-mail; bạn không thể reply lại message này do nó không phải một địa chỉ hợp lệ.
Không chỉ đơn giản là việc người nhận xoá các Spam E-mail khỏi máy trạm của họ. Spam E- Mail làm người nhận phải trả một khoản tiền cước vô bổ cho thời gian truy nhập mạng để Download các Spam Mail về, làm tốn nhiều tài nguyên của máy chủ, làm các modem truy cập của các ISP luôn bận, dẫn đến phải bổ sung thêm đường kết nối hoặc nhận được sự phàn nàn từ phía khách hàng về việc không truy cập được mạng. Sự nguy hiểm của junk e-mail tăng theo dung lượng của nó, dung lượng này ảnh hưởng đến chất lượng dịch vụ của ISP, băng thông của
mạng sẽ bị tổn thất đáng kể, dẫn đến tốc độ kết nối của các User sẽ bị tổn thất. Các Spammer thường xác định các User đích bằng cách quét các địa chỉ từ các newsgroup, lấy trộm danh sách maillist .... khi có được một danh sách nạn nhân, họ sẽ tìm một hệ thống mail khác để gửi relay (sẽ trình bầy kỹ ở phần sau) các spam mail. Như vậy, các spammer còn làm mất uy tín bằng cách biến địa chỉ Mal của bạn thành một địa chỉ xấu chuyên gửi spam.
* Quản lý Spamming
Hình trên đây chỉ ra một kiến trúc quản lý spam: một mail server xử lý các SMTP mail tới. Phân hệ lọc spam filter thử nhận dạng spam từ một database chứa các spammer đã biết, và sẽ quyết định xử lý đối với mail.
+ Nhận diện Spam : Kiểm tra thông tin trên phong bì của Mail, các thông tin trong header, và thậm chí cả nội dung message có thể cho phép nhận diện một mail message là spam. Mail server nhận được các thông tin trên phong bì trước toàn bộ message, nó sẽ quyết định chấp nhận hay từ chối ngay message đó. Việc quyết định này có thể dựa vào tên người gửi(ví dụ User@host , cyberporno.com). Từ chối message càng nhanh bao nhiêu sẽ giới hạn được tài nguyên xử lý message bấy nhiêu.
Thông tin trên Header có thể được kiểm tra trong khi toàn bộ message được nhận. Kiểm tra có thể thực hiện nhờ các thông tin ở phần Subject Line, hay thậm chí từ nội dung của message, nhưng phương pháp này khó thực hiện và xâm phạm vào sự riêng tư trên mạng.
+ Mail Filter Database: Phân hệ lọc spam truy cập một CSDL để quản lý spam. CSDL này chứa các danh sách các spammer sẽ bị từ chối nhận mail. Danh sách các spammer lọc được có thể là kết hợp của địa chỉ IP, địa chỉ E-mail, Domain hay Username.
+ Xử lý Spam: Sau khi xác định được loại message nhận được, phân hệ lọc spam có thể chấp nhận các message, từ chối chúng, loại bỏ hay chuyển hướng nó. Thực tế không có một giải pháp hoàn chỉnh nào cho việc xử lý spam.
b- Chuyển tiếp (Mail Relay)
Mail relay là khi một mail server chuyển các thư nhận được tới đích là các mail server khác khi người gửi và người nhận không phải là User cục bộ. Mail relaying được thực hiện bằng cách mở một kết nối SMTP. Các SMTP mail server chấp nhận các kết nối mạng từ các mail clients và mail server khác, nhận bất cứ message nào mà hệ thống kết nối tới đưa đến, và xử lý phân phát các messages, không quan tâm tới nội dung của messages, số lượng người nhận...
Trong hình vẽ dưới, Pine mail gửi 1 message tới mail server của anh ta, mail server hỏi DNS và điều khiển nó tới mail server của người nhận. Mail server thứ nhất đơn giản chỉ thực hiện chuyển tiếp message. Như vậy, Mail relay là một chức năng chính của mail server, và e-mail sẽ không thể được chuyển trên Internet nếu mail servers không chuyển tiếp chúng. Tuy nhiên, relay trở thành vấn đề khi có một lượng lớn các message cần chuyển tiếp, hoặc khi các relay messagge là spam. Mail relaying là vấn đề lớn khi nó là công cụ của các spammer.
Để hiểu rõ, giả sử một User đang gửi spam trên Internet. Khi mail server nhận được một junk e-mail gửi tới 500.000 địa chỉ khác nhau, nó phải lập tức phân phát e-mail tới tất cả địa chỉ trên như bình thường. Gửi một message tới vài trăm ngàn User khác nhau sẽ tốn một thời gian rất lớn. Đặc biệt hơn, khi các địa chỉ đích không tồn tại, một message gửi đi sẽ sinh ra rất nhiều các bản copy gửi lại (undeliverable copy) do không tới được địa chỉ đích, và được xử lý trên cùng
mail server. Vì vậy, tốc độ của mail server sẽ trở nên rất chậm, nó có thể trở nên tạm thời không thể gửi hay nhận bất mail nào khác.
Có một số nguyên nhân làm các Spammer thích sử dụng Relay là:
+ Một số các hoạt động spam tấn công mạng bắt nguồn từ các vị trí đã được nhận diện (spamhaus), Phần lớn các giải pháp mail hiện tại có các đặc điểm là cho phép chặn các kết nối từ các site đó, vì vậy rất nhiều nhà quản trị mạng đã lọc bỏ những kết nối từ các spamhaus. Các spammer đã phải phát triển các kỹ thuật mới để vượt qua sự phong toả trên. Hiện tại họ thường sử dụng các mail server thứ ba.
+ Các Spammer sử dụng relay để tăng số lượng các message họ có thể gửi đi. Nếu spammer có thể gửi chuyển tiếp song song qua một số mail server, họ có thể tấn công mạng với một số lượng các junk mail rất lớn.
+ Các Spammer có thể ẩn nấp phía sau các server chuyển tiếp. Nếu một spammer gửi một junk email trực tiếp, các nhà quản trị mạng có thể lần theo vết ngược lại kết nối và xác định được nguyên nhân của vấn đề. Vì vậy, nếu gửi chuyển tiếp qua các server khác, họ có thể che dấu được định danh của mình, thậm chí nếu spammer không thể che dấu được hoàn toàn, chúng cũng làm chệch hướng một phần đáng kể các phàn nàn của khách hàng. Thực tế có rất nhiều spammer giả mạo các mail header không có thật.
+ Các Spammer gửi chuyển tiếp qua các relay mail vì nó làm tăng số lượng lớn các thư họ có thể gửi đi mà không mất phí.
c- Tấn công Từ chối cung cấp dịch vụ - DoS (Denial of Service Attack)
Một sự phá hoại hệ thống E-Mail hiện nay gọi là “từ chối cung cấp dịch vụ”. Không giống như Spamming và Relaying phá hoại hệ thống Mail Server về khía cạnh phân bố các email, một sự tấn công “Từ chối cung cấp dịch vụ” được tạo ra cho mục đích làm phá hoại hay ngừng các hoạt động của hệ thống mail. Các hành động phá hoại cố tình này vi phạm các nguyên tắc và không hợp pháp.
Có một số loại khác nhau của tấn công Denial of service attacks. Loại phổ biến nhất là các máy chủ e-mail đích phải chạy một chương trình mở nhiều kết nối mạng tới một server và duy trì các kết nối này mà không làm gì cả. Ví dụ, một chương trình có thể mở nhiều kết nối mạng tại cổng 25 của Mail Server (là cổng nghe ngóng các message nhận được), và duy trì các kết nối này.
Hiển nhiên, máy khách kết nối vào không có mục đích gửi một message nào cả, và nó chỉ đơn thuần làm tiêu tốn thời gian đáp ứng của máy chủ. Các máy chủ được thiết kế để thoả mãn các đáp ứng từ nhiều loại máy khách khác nhau, nên nó sẽ duy trì kết nối tới máy khách này cho tới khi máy khách đóng connection hay quá thời gian cho phép (time-out).
Nếu có hàng trăm máy khách cùng thực hiện một giao dịch vô nghĩa trên cùng một máy chủ mail server, máy chủ sẽ bị bận đến nối không thể cung cấp thông tin cho các máy khách muốn
gửi hoặc nhận mail. Giống như tên gọi, phương pháp tấn công này từ chối cung cấp dịch vụ cho các máy tính hoặc người sử dụng khác.