تخطي إلى المحتوى الرئيسي

ما هو التهريب عبر بروتوكول SMTP؟

صورة توضح طريقة عمل بروتوكول SMTP في شبكة الكمبيوتر.

يعد الأمن الإلكتروني بمثابة مشهد ديناميكي تتطور فيه التهديدات القديمة وتظهر تهديدات جديدة، مثل التهريب عبر بروتوكول SMTP وهو تذكير واضح بأهمية مواكبة آخر المستجدات حول تهديدات الأمن الإلكتروني وطرق الدفاع ضد الهجمات الإلكترونية. لكن ما هو بالضبط التهريب عبر بروتوكول SMTP، وكيف يعمل؟

ما هو بروتوكول SMTP؟

بروتوكول نقل البريد البسيط (SMTP) هو بروتوكول شبكة TCP/IP الذي يُسهل نقل رسائل البريد الإلكتروني بين أجهزة الكمبيوتر والخوادم المختلفة. وينتشر استخدام هذا البروتوكول بشكل كبير لدرجة أن Gmail وOutlook وYahoo وApple من بين عملاء البريد الإلكتروني لبروتوكول SMTP.

إذن، ما هو بالضبط بروتوكول SMTP في البريد الإلكتروني؟ بعد كتابة رسالة بريد إلكتروني في عميل مثل Microsoft Outlook، يتم تسليمها إلى خادم بروتوكول SMTP، الذي يبحث في مجال المستلم للعثور على خادم البريد الإلكتروني المناسب لتسليم البريد الإلكتروني إليه. وإذا سارت العملية بسلاسة، يعالج خادم بروتوكول SMTP في مجال المستلم البريد الإلكتروني، وإما أن يقوم بتسليم الرسالة أو يستخدم بروتوكول SMTP لإعادة توجيهها عبر شبكة أخرى قبل التسليم.

يعد أحد الأشياء الهامة التي يجب ملاحظتها حول بروتوكول SMTP هو أن قدرته على المصادقة كانت محدودة تاريخيًا. وعلى هذا النحو، أصبح انتحال البريد الإلكتروني مصدر قلق كبير. ويستطيع المهاجمون ببساطة اختيار الأداة المناسبة - قد يكون عميل بريد آخر أو برنامج نصي أو أداة مساعدة - التي تسمح لهم باختيار اسم مُرسل. ثم يشنون هجمات مستهدفة من خلال رسائل البريد الإلكتروني لانتحال شخصية مُرسل موثوق وإقناعه باتخاذ إجراء محدد، مثل النقر على روابط للتصيد الاحتيالي أو تنزيل ملفات مصابة ببرامج ضارة.

تم تصميم العديد من إجراءات الحماية لتصحيح هذه الثغرة الأمنية المتأصلة (CVE-2023-51766)، بما في ذلك:

  • إطار سياسة المُرسل (SPF): يستخدم هذا سجلات DNS للإشارة إلى خوادم بريد الاستلام التي تملك عناوين IP الخاصة بها الإذن بإرسال رسائل البريد الإلكتروني من مجال محدد.
  • البريد المعرّف بمفتاح المجال (DKIM): تستخدم هذه الطريقة مفتاحًا خاصًا مخزنًا على خادم الإرسال لتوقيع رسائل البريد الإلكتروني الصادرة رقميًا، مما يسمح لخوادم المستلمين بالتحقق من صحة المرسلين باستخدام المفتاح العام للخادم المرسل.
  • مصادقة الرسائل وإعداد التقارير والتوافق المستندة إلى المجال (DMARC): يتحقق هذا البروتوكول من مجال إرسال البريد الإلكتروني في الرأس "من" مقابل إطار سياسة المُرسل و/أو البريد المحدد بمفتاح المجال - إذا كان هناك عدم تطابق، يفشل فحص مصادقة الرسائل وإعداد التقارير والتوافق المستندة إلى المجال. ومع ذلك، هذا البروتوكول غير شائع الاستخدام.

ما هو خادم بروتوكول SMTP؟

خادم بروتوكول SMTP في شبكات الكمبيوتر هو خادم بريد يستطيع إرسال واستلام رسائل البريد الإلكتروني باستخدام بروتوكول SMTP. وبشكل عام، تستخدم هذه الخوادم بروتوكول TCP على المنفذ 25 أو 587 - تخبر هذه الأرقام الخادم بالعمليات المحددة التي يجب توظيفها مع الرسائل. ويتصل عملاء البريد الإلكتروني مباشرةً بخادم بروتوكول SMTP الخاص بموفر البريد الإلكتروني لإرسال بريد إلكتروني. وتعمل العديد من البرامج المختلفة على خادم بروتوكول SMTP:

  • عميل إرسال البريد (MSA): يستلم الرسائل من عميل البريد الإلكتروني
  • عميل نقل البريد (MTA): ينقل رسائل البريد الإلكتروني إلى الخادم التالي حسب الاقتضاء - في هذه المرحلة، قد يبدأ الخادم استعلام DNS لسجل DNS لتبادل البريد الخاص بمجال المستلم (MX)
  • عميل تسليم البريد (MDA): يستلم رسائل البريد الإلكتروني لتخزينها في صندوق الوارد الخاص بالمستلم

ما هو التهريب عبر بروتوكول SMTP؟

يشير التهريب عبر بروتوكول SMTP إلى الهجمات الإلكترونية التي تنتحل عناوين البريد الإلكتروني بحيث تبدو رسائلها وكأنها أُرسلت من مصادر شرعية. ويتمثل الهدف الأساسي من هذه الهجمات الإلكترونية في تنفيذ شكل من أشكال التصيد الاحتيالي وتشجيع الهدف على اتخاذ إجراءات مثل النقر على الروابط الضارة أو فتح مرفقات مصابة أو حتى إرسال معلومات حساسة أو أموال.

تستغل هذه الهجمات الاختلافات بين كيفية معالجة خوادم البريد الإلكتروني الصادرة والواردة لتسلسلات رموز نهاية البيانات. ويتمثل الهدف في خداع خادم المستلم بتفسير مختلف لنهاية الرسالة باستخدام أوامر بروتوكول SMTP "المهربة" بحيث تظهر رسالة البريد الإلكتروني كرسالتين منفصلتين.

كيف يعمل التهريب عبر بروتوكول SMTP؟

لتنفيذ الهجمات، يقوم مجرمي الإنترنت "بتهريب" أوامر بروتوكول SMTP الغامضة لاختراق سلامة اتصالات خادم البريد الإلكتروني، وهذا مستوحى من كيفية عمل هجمات تهريب طلبات HTTP. وبشكل أكثر تحديدًا، تشير خوادم بروتوكول SMTP عادةً إلى نهاية بيانات الرسالة بالرمز <CR><LF>.<CR><LF> أو \r\n.\r\n. ويرمز هذان المصطلحان إلى "سطر جديد" و"إقحام سطر" على التوالي، وهما محددان قياسيان للنص.

ومن خلال تغيير تسلسل هذه الرموز، يستطيع المهاجمون تغيير فهم الخادم لمكان انتهاء بيانات الرسالة. وإذا كان بإمكانهم إخبار الخادم الصادر أن الرسالة تنتهي عند نقطة ما وإخبار الخادم الوارد أن الرسالة تنتهي لاحقًا، ينشئ ذلك ثغرة لتهريب بيانات إضافية.

عادةً، تكون رسائل البريد الإلكتروني الاحتيالية هذه جزءًا من هجمات الاحتيال المستهدفة. وتُعد الشركات معرضة بشكل خاص للتهريب عبر بروتوكول SMTP لأنه قد يسهل انتحال مجالاتها واستخدام الهندسة الاجتماعية لإنشاء رسائل بريد إلكتروني للتصيد الاحتيالي أو هجمات التصيد الاحتيالي.

كيفية تجنب رسائل البريد الإلكتروني من خلال التهريب عبر SMTP

على الرغم من أن الشركات المصنعة لخوادم البريد الأكثر شعبية وشهرة Postfix وExim وSendmail قد أصدرت إصلاحات وحلولاً لمكافحة التهريب، إلا أنه يمكن اتخاذ عدة خطوات أخرى للحد من التهديد:

  1. إجراء فحوصات أمان منتظمة داخل البنية التحتية للمؤسسة لرصد نواقل الهجوم والثغرات الأمنية المحتملة.
  2. التحقق من برنامج توجيه البريد الإلكتروني المستخدم - إذا كان البرنامج معروفًا بأنه عرضة للاختراق، فقم بتحديثه إلى أحدث إصدار واستخدم الإعدادات التي ترفض تحديدًا التحويل غير المصرح به.
  3. يُنصح مستخدمي منتجات البريد الإلكتروني من Cisco بتحديث التكوين الافتراضي "لمعالجة CR وLF" يدويًا إلى "السماح" بدلاً من "نظيف"، بحيث لا يفسر الخادم رسائل البريد الإلكتروني التي تحتوي على <CR><LF>.<CR><LF> ويسلمها فقط مع رمز تسلسل نهاية البيانات.
  4. عدم السماح بـ <LF> بدون <CR> في التعليمات البرمجية.
  5. قطع الاتصال بعملاء بروتوكول SMTP عن بُعد الذين يرسلون سطورًا جديدة خالية.
  6. تنفيذ تدريبات توعية أمنية منتظمة للموظفين، والتي قد تشمل، على سبيل المثال، التحقق من عنوان البريد الإلكتروني للمرسل قبل اتخاذ أي إجراء آخر.

كيف يبدو انتحال البريد الإلكتروني لبروتوكول SMTP؟

لتكون على دراية بخطر التهريب عبر بروتوكول SMTP، قد يكون من المفيد معرفة شكل البريد الإلكتروني الاحتيالي. وقد يتخذ البريد الإلكتروني الاحتيالي عدة أشكال:

  1. انتحال المجال المشروع: هذا ببساطة عبارة عن انتحال مجال الشركة بإدخاله في العنوان "من" في رسالة البريد الإلكتروني. وهذا ما تحاول طرق مصادقة SPF وDKM وDMARC اكتشافه. ويجب على الشركات تكوين مصادقة البريد الإلكتروني بشكل مناسب لتقليل قدرة المهاجمين على انتحال مجالاتها.
  2. انتحال اسم العرض: في هذه الحالة، يتم انتحال اسم المُرسل - الذي يظهر قبل عنوان البريد الإلكتروني في العنوان "من"، وغالبًا ما يتم استخدام الاسم الحقيقي لموظف في الشركة. يُخفي معظم عملاء البريد الإلكتروني عنوان البريد الإلكتروني للمُرسل تلقائيًا ويُظهر ببساطة اسم العرض، ولهذا السبب يجب على المستخدمين التحقق من العنوان إذا بدت رسالة البريد الإلكتروني مشكوكًا فيها. وهناك عدة أشكال من ذلك، بما في ذلك الانتحال الشبحي وانتحال AD. يوفر Kaspersky Secure Mail Gateway (KSMG) حماية قوية ضد هجمات انتحال AD عبر التحقق من صحة المرسل وضمان توافق الرسائل مع معايير مصادقة البريد الإلكتروني المعمول بها.
  3. انتحال المجال المشابه: تتطلب هذه الطريقة الأكثر تعقيدًا أن يسجل المهاجم مجالاً مشابهًا لمجال المؤسسة المستهدفة، وإعداد البريد وتوقيعات DKIM/SPF ومصادقة DMARC. ومرة أخرى، هناك عدة أنواع من هذا النوع من الانتحال، بما في ذلك الشبيه الأساسي (على سبيل المثال، خطأ إملائي لمجال شركة شرعي) وانتحال Unicode (استبدال حرف ASCII في اسم المجال بحرف مشابه من Unicode). ويستطيع KSMG مساعدة المؤسسات في الدفاع ضد هجمات انتحال المجالات المتشابهة من خلال التحقق من هويات المرسلين والتخفيف من مخاطر رسائل البريد الإلكتروني المخادعة.

حصل برنامج Kaspersky Endpoint Security على جائزة "منتج العام" للمستهلكين من AV Comparatives https://www.av-comparatives.org/tests/summary-report-2023/.

المقالات والروابط ذات الصلة:

المنتجات والخدمات ذات الصلة:

ما هو التهريب عبر بروتوكول SMTP؟

التهريب عبر بروتوكول SMTP هو تهديد للأمن الإلكتروني ظهر في الأشهر الأخيرة. اكتشف ما هو هذا التهديد، وكيف يعمل، وكيفية الحد من مخاطره.
Kaspersky logo

مقالات ذات صلة