支付宝提示服务器有【中危漏洞】任意邮件伪造检测
使用Bugscan检测到我自己的网站有这个漏洞后,我费了好一番功夫来查找资料,终于是解决了这个问题。在此把经验分享出来,主要觉得这方面中文资料太少了。
检测到你的服务器存在邮件伪造的时候,你可能还在疑惑:这到底是什么东西?有什么危害?和我有什么关系?
这里就不再细说邮件伪造的始末。遇到问题大家最关心的是解决方案。此处将主要围绕解决方案来说,文本旨在读者看后能得到一个正常运行的设置。
首先,如何验证邮件伪造?
解决对邮件伪造的疑惑,这里有一个在线的测试网站:https://emkei.cz/ 。可以尝试使用这个网站测试发送一封邮件给自己。例如:检测说a.com存在邮件伪造漏洞。那么我们可以尝试使用admin@a.com作为发件人,给一个自己的邮箱,例如我的treeoph(at)gmail(dot)com发送一封测试邮件。内容随意填写,不到一分钟你应该就能收到邮件了,也有可能会在垃圾邮件里。注意,请勿用于非法用途。
第二,有什么危害?
可以想见如果有一个a.com的用户,在收到admin@a.com 的邮件后,用户很可能就相信这就是管理员(admin)发来的邮件。因此,用户很可能会毫不犹豫地点开邮件中的链接、下载并打开其中的附件。这个时候,作为一个a.com的用户,就很可能被攻击控制了。如果用户是管理员,那么可能服务器权限也会沦落他人之手。
另外一种危害方式,一个垃圾邮件生产者可以伪造海量的a.com域名的邮件来散播木马、病毒、钓鱼页面,色情、暴力、恐怖的信息,等等。其危害是不可预测的。
第三,如何防止邮件伪造?
答案是:Sender PolicyFramework (SPF) 发信者策略
1. SPF是什么呢?
简单来说就是人们设计的一套可以杜绝邮件伪造的机制,只要遵照他们设计的方法来配置自己域名的DNS解析,就可以杜绝邮件伪造。
关于SPF的一切,你可以在这个网站(英文)上获得:http://www.openspf.org
SPF 的原理是这样的,伪造这虽然能伪造你的域名,但是却不能控制你的域名的DNS解析记录。因为只有拥有域名账户权限,才能更改解析记录。你的域名解析到的ip是1.1.1.1,而伪造者的ip是2.2.2.2。如果能做一个声明,告诉邮件接收者,我的域名发的邮件ip都是1.1.1.1,其他的都是假的,可以抛弃掉,那么就可以杜绝邮件伪造了。SPF就是这样的一个协议,你可以按照SPF的格式发出声明,邮件服务器按照SPF解读你的声明。这样的一次沟通,就可以解决邮件伪造问题了。
2. 如何使用SPF?
首先,登录你的域名提供商的管理页面,这个页面就是通常是用来设置域名解析ip地址的地方。例如上述例子,可以这样声明,在域名的解析记录里添加一条txt记录,
二级域名:空或@
txt记录值为:v=spf1 ip4:1.1.1.1 -all
这样,就设置了你的邮件只能是从1.1.1.1这个ip发出的。其中txt记录的意义:
v=spf1 #版本号声明;
ip4:x.x.x.x #指定ip地址;
-all #对其余的标记为无效(FAIL)
当然这样设置有些问题就是你的域名可能需要变化的ip地址,或扩增多个ip,这时候就可以用其他方式,更改中间的部分(ip4对应位置):
二级域名:空或@
txt记录值为:v=spf1 include:spf1.a.com include:spf2.a.com -all
再设置一个spf1.a.com的txt解析记录,内容为:
二级域名:spf1
txt记录值为:v=spf1 ip4:1.1.1.0/24 ip4:1.2.3.4 -all
其中include的意思是使用其后的地址的SPF记录。而ip4:1.1.1.0/24则是使用一个段。设置spf2.a.com与此类似。这样就可以使用更多的地址作为合法地址。也可以include多层,但常见的一般最多三层已经够用,最后一层要指定到具体的ip或域名。
其他如:v=spf1 a mx ip4:x.x.x.x -all 使用a记录,mx解析记录和指定的ip作为合法地址。
3.更多
关于剩余检查项all前面的“-”符号,参见下表:
"+" Pass(通过)
"-" Fail(拒绝)
"~" Soft Fail(软拒绝)
"?" Neutral(中立)
建议使用“-all”来拒绝陌生地址的邮件。当使用“~all”时,一般会将邮件标记为垃圾邮件。但是由于有时人们还是会翻查垃圾邮件(甚至有时官方都会建议去检查垃圾邮件),因此这样处理并不安全。所以如无特殊需求,建议使用“-all”来拒绝。
禁用所有邮件服务:
v=spf1 -all
详细语法说明(英文): http://www.openspf.org/SPF_Record_Syntax
http://www.openspf.org/RFC_4408
(用空的话把这个翻译出来)
参考链接(中文):http://www.renfei.org/blog/introduction-to-spf.html
支付宝提示服务器有【中危漏洞】任意邮件伪造检测相关推荐
- 航海世纪提示服务器维护中,《航海世纪》3月31日维护公告
为保证服务器的稳定和服务质量,航海世纪所有服务器将于2009年3月31日早上10:00停机,进行每周例行的维护工作,维护时间为10:00-14:00,如果在维护期间无法完成维护相关事宜,开机时间将继续 ...
- 服务器解决低危漏洞方法
1.允许Traceroute探测 描述:本插件使用Traceroute探测来获取扫描器与远程主机之间的路由信息.攻击者也可以利用这些信息来了解目标网络的网络拓扑. 处理: iptables -I IN ...
- eve星战前夜登录提示服务器维护中,EVE星战前夜进不去怎么办 游戏进不去问题解决方法...
EVE星战前夜游戏进不去怎么办,可能一部分玩家都遇到了EVE星战前夜游戏进不去的情况,那么游戏进不去的问题怎么解决呢,今天小编就带大家来看一看EVE星战前夜的相关游戏问题. 1.游戏进不去的原因可能是 ...
- 篮球总是提示服务器维护中,范特西篮球经理3月7日服务器维护公告
尊敬的<FTX篮球经理>用户: 为了提高游戏品质,使得游戏体验更加流畅,所以对全服进行日常维护,在此期间大家将不能正常的登录游戏.根据维护工作的进度,维护时间有可能提前或者延后,请各位玩家 ...
- SSL Medium Strength Cipher Suites Supported (SWEET32) 支持SSL中等强度密码套件(SWEET32)中危漏洞
漏洞描述 远程主机支持使用提供中等强度加密的SSL密码 Nessus将中等强度视为使用至少64位且小于112位的密钥长度的任何加密,否则使用3DES加密套件. 一 整改建议 nginx修复方法修改/e ...
- 天刀tgp提示服务器维护中,天刀ol系统硬件 常见问题解决办法汇总
一.硬件篇 Q:我的电脑可以将游戏画质开到什么配置? A:可以到这里查看各个画质的推荐配置,以官方公布最新的为准 Q:我的电脑游戏中频繁蓝屏重启或显示花屏怎么办? A:解决方法一:查看下是否使用了最新 ...
- 航海世纪提示服务器维护中,《航海世纪》全服务器免费玩家爆满
既9月22日游戏蜗牛的<航海世纪>宣布免费运营,短短24小时已经有接近2万玩家回归. 记者团刚刚得到的消息,23日下午6点,<航海世纪>上海服务器因为玩家登陆人数过多,导致服务 ...
- Linux 3306漏洞,中危漏洞“MySQL,3306,内部敏感服务对外开放存在风险,容易引起安全问题”解决办法...
一.为什么会报MySQL,3306,内部敏感服务对外开放? mysql默认是不允许远程访问服务器的,就像我们本地去访问mysql数据库,它默认是不允许的:如果你有开启远程访问,允许任何地址都能访问你的 ...
- host头部注入漏洞--中危
host头部注入漏洞--中危 漏洞原理 漏洞知识扩展 漏洞验证 情况一 情况二 修复方案 漏洞原理 为了方便获取网站域名,开发人员一般依赖于请求包中的Host首部字段.例如,在php里用_SERVER ...
- 漏洞高危 中危 低危的划分标准
漏洞等级采用CVSS 2.0标准的评分原则,对单个漏洞进行基本向量评分.CVSS : Common Vulnerability Scoring System,即"通用漏洞评分系统" ...
最新文章
- python print 用法
- Top-1 Error Top-5 Error
- Django项目--静态首页的数据缓存(设置、获取、更新)
- 【ES6入门04】:数值扩展
- wpf控件样式管理示意图
- 【java笔记】自定义异常
- 深入理解jQuery插件开发(讲解jQuery开发的好文)
- .config文件与.xml文件的关系
- 关于win10优化问题
- soui 设置边框_UI神器-SOUI
- java分页前端怎么实现_JavaWeb前端分页显示方法
- php 方法名前加 amp,PHP的返回引用(方法名前加)
- 收藏夹吃灰了:GitHub 上值得收藏的100个精选前端项目!
- python饿了么商家开放平台模拟网页http请求实战
- mov 指令用c语言写,汇编总结:mov指令
- 链表——24. 两两交换链表中的节点
- 达到英语欧洲语言C2级的书有,剑桥少儿英语二级书
- 人脸识别系列(十五):COCO Loss
- 要闻:2016胡润百富榜昨天发布 宝能姚振华从炸油条到千亿身家“大黑马”
- 数据库插入大量数据时不要忘记先删除索引(小技巧)