关于邮件系统安全性的若干测试

最新推荐文章于 2023-09-05 22:40:35 发布
最新推荐文章于 2023-09-05 22:40:35 发布
阅读量1.8k 收藏 1
点赞数

目前邮件系统主要使用smtp协议,smtp协议本身并不确保邮件安全。下面我们测试以下邮件系统的安全性:

漏洞组件

几乎所有接受入站 SMTP 连接的加密应用都可能受到攻击。我们的研究还发现,不仅硬件可以被攻击,而且虚拟主机同样会受到危害。

漏洞修复

据我们目前了解,我们没有发现可以完全防御这种攻击的补丁。我们目前只确定了两种解决方法:

1.   完全禁用掉网关到网关之前的加密服务。 2.   实施邮件检测方案,执行邮件的解密以及威胁检测工作。

修复这个漏洞没有快速解决方案。所以公司需要投入一定的时间以及人力去寻找有效的防护措施。

漏洞详情

众多的邮件加密应用使用如下两种方式部署:

1. 邮件加密应用以及邮件安全网关都在公司防火墙内部。这些 MTA 都会被分配给一个独立公开的 IP 地址。攻击者可以绕过邮件安全网关,直接到达邮件加密应用,将后门注入到邮件中。然后这些信息通过路由器到达内部网络,并在内网中传播。

2. 邮件加密应用在邮件安全防火墙之外,就像微软线上防护 ( EOP ) 一样。同样的,这些 MTA 也会被分配给一个公开的独立 IP,攻击者同样可以直接到达加密应用,将后门注入到邮件中。邮件加密应用将所有邮件进行解密,然后发送到邮件安全网关。但是当安全网关进行邮件检测时,发送者的 IP 是加密应用的 IP,而不是攻击者 IP,所以防护措施这时是无效的。

攻击模拟

注意:这里为了保护目标公司不受到攻击,我们采用了无效的邮箱进行攻击。并且我们只是进入到内部 SMTP 服务器中,确保任何用户不会执行我们的后门。

实验一 : 攻击成功

最低0.47元/天 解锁文章
crs3669367
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
信息安全技术实验三 邮件服务安全实验
饮啖茶食个包
03-04 8824
一、实验目的及要求1、 掌握对称加密和非对称加密原理; 2、 了解电子邮件的传输协议和电子邮件传输的报文格式; 3、 了解Windows平台下MDaemon邮件服务器的安全配置和Linux平台下Sendmail邮件服务器的安全配置; 4、 了解PGP的工作原理和密钥管理方法,能够使用PGP对文件和邮件进行加密和数字签名。二、实验环境及相关情况(包含使用软件、实验设备、主要仪器及材料等)
邮箱安全测试工具
11-12
为了自己方便用易语言写的伪造发件人的邮箱安全测试工具,可以匿名发邮件,伪造发件人发邮件等,用来测试邮件服务器安全,也可作为渗透测试的辅助工具。 易语言可能会被某些杀毒软件误认为病毒,为正常,请放心使用。
某公司邮件系统安全检测
zhangge3663的博客
02-20 1904
目前分析 1、地址:https://mail.*****com/coremail/ 分析: 登录功能和忘记密码功能; 目前站点是邮箱系统。方向:爆破、逻辑漏洞-密码找回 信息收集 1、google通过域名收集相关网站获取邮箱信息,inur:*** 2.经过多个邮箱信息收集,发现邮箱命名规则 密码找回 输入获取到的邮箱,点击获取邮箱的手机号码,并进行 抓放 返回绑定的手机号码,信息泄露,如果失败时返回错误的 在点击 【获取短信内容】,发现有个**code的内容,四位数,.
企业服务器SQL Server弱口令测试
顾丽江的专栏
04-17 3241
企业服务器安全性测试 SQL Server弱口令测试   对于企业而言,服务器的重要性是不言而喻的。因此管理员们往往以维持服务器的稳定、高效地运行作为自己的工作目标,但是对于服务器的安全性往往考虑得较少,至少对于某些管理员是这样的。   最近笔者进行了一例服务器的安全测试,下面把这例测试过程写下来,希望对大家有所启示。   测试工具:   1.S扫描器(一种速度极快的多线程命令行下的扫描工
企业内部邮件系统
lghlhxc1105的专栏
10-18 612
企业内部邮件系统 还在为用第三方免费邮件服务器数据安全问题发愁吗?欣诚专业提供企业内部邮件系统架设,让您的数据在自己撑握之中,咨询电话:40088-4444-2   网址:www.4008844442.net
软件测试常见的三十条面试题
最新发布
03-27
- **定义**:等价类划分是一种黑盒测试技术,它将输入数据划分为若干个等价类,从每个等价类中选取代表性数据进行测试。 - **应用**:适用于输入域较大的情况,减少测试用例数量,提高测试效率。 #### 五、边界值...
asp.net 邮件发送辅助类
06-08
8. **配置与安全性**:考虑到安全性,SMTP服务器的登录信息可能需要加密存储,或者从配置文件中读取,而不是硬编码在代码中。`EmailHelper`可能包含加载这些配置的逻辑。 9. **异步发送**:为了提高性能,邮件发送...
基于STRUTS的电子邮件系统
10-12
8. **安全机制**:对于企业内部系统,安全性是重要的考虑因素。STRUTS框架提供了若干安全特性,如验证和授权。电子邮件系统可能有用户登录验证,防止未授权访问,以及加密敏感信息如密码和邮件内容。 9. **异常处理...
软件测试必看 入门级的教程
06-30
10.5 安全性测试 48 10.6 总结 49 十一 为盈利而测试 49 11.1 引言 49 11.2 什么是软件测试 50 11.3 六个误区 50 11.3.1 误区一:忽视对正常输入的测试 50 11.3.2 误区二:忽视设计阶段的参与与评估 50 ...
公司内部邮件管理系统软件介绍ppt模板.rar
09-10
邮件管理系统介绍,公司企业内部邮件系统介绍说明ppt模板。
smtp_to_tcp:通过发送电子邮件建立 TCP 连接隧道。 太可笑了,必须这样做
06-22
email_to_tcp 通过发送电子邮件建立 TCP 连接隧道。 这太荒谬了,必须这样做。 背景故事 您一觉醒来发现自己身处沙漠之中,只有一个工具:一部可以访问单个电子邮件帐户的卫星电话。 你真的,真的很想查看 。 是时候使用smtp_to_tcp 。 设置 警告:如果您给它机会,此代码将杀死您和您关心的每个人。 在您踏上沙漠之旅之前,请务必彻底测试所有这些设置,并注意代码不是为高可靠性需求而设计的。 你已经被警告过了。 基本要求 虽然您只能使用一台计算机来测试驱动此软件,但如果您设置了至少两台计算机,则只能在沙漠中使用它。 我们将这些计算机称为local和remote计算机。 local计算机允许您使用电子邮件连接浏览互联网。 本地计算机需要访问 SMTP 和 IMAP 服务器。 remote机器从本地机器读取电子邮件并从互联网上获取请求的数据。 远程机器应该可以不受限制地访问
gophish企业内部钓鱼邮件测试
wxkylin9的博客
03-11 3755
这里写自定义目录标题前言域名与伪造邮箱账号gophish搭建gophish使用常见问题及注意事项 前言 最近由于公司需要,进行了一次gophish钓鱼测试,我也被迫从一个完全没有接触过gophish的小小白变成了一个全面了解gophish所有功能的小白。中间历经千难万险,在此总结。 由于实践项目涉及公司机密,所以本文主要以叙述为主。 域名与伪造邮箱账号 现有的大多数gophish都是建议搭一个本地的邮箱服务器,然后可以任意伪造域名。但是这样子难以绕过SPF协议,容易被收件方拦截。并且搭建邮件服务器有许多不便
一个邮件系统登录界面的测试用例
qq_42207162的博客
07-15 3796
测试邮件系统需要做的准备工作
weixin_34405332的博客
01-19 287
2019独角兽企业重金招聘Python工程师标准>>> ...
主流邮箱可靠性测试
净心编程
03-30 2330
davies 的这篇文章称,他编写了一个程序分别对 Gmail、Yahoo中国、Hotmail(Live Mail) 和163.com, Sina.com, Sohu.com, Tom 等国内使用较多的免费电子信箱进行了测试测试方法为用mails服务器作为SMTP服务器,各连续发送100封,1000封简短的测试邮件测试各个邮箱的性能。 在经过几轮的测试后,他的结论是:“GMail的表现是最优秀
邮件服务器测试方法
Len的专栏
05-21 941
邮件服务器测试方法一、测试是在问题邮件服务器上完成的。二、登陆问题邮件服务器,使用nslookup命令查看需测试邮件服务器域名解析记录,找到测试端的DNS可以解析到的MX记录。三、通过TELNET命令进行测试   (一)、TELNET需注意的事项及格式 1、以下括号中的中文为注解说明,在服务器上的实际操作过程中不需要输入括号内中文。 2、请确认您操作时处于活动状态的输入法为标准英文,即任务栏...
抓包检测邮箱安全问题
lxmky的专栏
12-20 6840
今天早上通过使用wireshark抓包软件和foxmail客户端以及网页客户端对邮箱登陆的安全性进行测试测试分为三种环境: 1,http登陆 通过wireshark抓包后,发现在http登录方式中,所有的用户名和密码都是通过明文进行提交,抓包可以非常容易获取用户名和密码,并且通过测试发现,如果在一台机器上登陆以后,服务器会生成一个随机的会话id,即sid,这个时候,用户在任何机器上,只需要输
企业内部邮件系统毕业设计
meQQ593186283的博客
09-05 339
邮件系统的基本功能包括:用户登录、通讯录管理、邮件收取、邮件发送、查看邮件邮件的管理功能。本文从软件体系结构设计模式的角度入手,首先设计和实现一个支持邮件收发、管理等基本功能的邮件管理系统,并在此基础上添加各项扩展功能。在介绍Struts2和MVC整体架构相关理论的基础上,研究如何使用这些JAVA框架和技术,使用MyEclipse开发工具构建灵活、实用的邮件收发平台。此邮箱系统功能主要分为管理员管理和用户管理两大部分,管理员管理主要包括管理用户信息、删除用户等;该系统可以根据对功能需求进行扩展和完善。
聊天软件系统测试:浏览器兼容性与功能验证
"本次实验是关于聊天软件的系统测试,主要目标是运用黑盒测试方法设计测试用例并对测试用例进行优化。实验内容聚焦于聊天软件的关键功能,包括浏览器兼容性测试、分辨率配置测试以及功能测试(如登录、联系人列表、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值