“Hi，我是Tim Cook，你被选中是Apple的锦鲤，点击以下链接，苹果将送你一台iPhone XS”“尊敬的用户，万豪国际正在采取措施，调查和处理涉及喜达屋宾客预订数据库的安全事件，请登录以下地址修改您的信息”、“××，你好，刚刚有人在使用您的Apple ID，建议您前往⋯⋯更改您的密码”“××，上次说的合同已经签订，请往这个账户汇款10万元”⋯⋯这几份邮件，最近出现在记者的邮箱里，当然，它们是假的，尽管这些邮箱的地址和真的一模一样。

　　近日，一个白帽子团队向《IT时报》记者爆料，目前全球主流电子邮箱的邮件服务器普遍存在一个漏洞，黑客无需攻入服务器内部，便可以直接伪造一封官方邮件寄给用户，内容通常是钓鱼网站或者木马病毒。

　　与以往邮件诈骗不同，假邮件的地址与真实地址相同，用户根本无法分辨真伪，可谓防不胜防。据测试，苹果、万豪、Gmail、腾讯QQ邮箱、网易163邮箱、139手机邮箱等等国内外主流邮件服务器悉数中招，至少数亿用户的邮箱有安全隐患。

　　亲测:2分钟炮制一封“老板邮件”

　　12月3日，白帽子金科（化名）给记者做了一次演示：在一个只有巴掌大小的盒子里，封装了一整套“黑客”程序，通过这套软件，金科可以随意编写一封邮件，并设置其邮箱地址，然后将其发送到指定的邮箱里。

　　2分钟后，记者的手机QQ邮箱收到了一封来自老板的邮件，发送邮件的地址与真实地址一模一样，后缀为@it-times.com.cn。随后，记者的邮箱又陆续收到来自service@apple.com、starwoodhotels@email-marriott.com等邮箱要求修改密码的邮件，甚至还有一封库克（tcook@apple.com）发来的锦鲤邮件。当然，这些都是金科发的。

　　在金科所做的测试中，几乎所有国内外主流的邮箱都存在同样漏洞，无论是像Gmail、QQ、163、139这样的免费邮箱，还是Apple、万豪等公司的企业公共邮箱，几乎都可以被仿冒，而更大的风险在于，对这些假邮件，收件邮箱很难识别。

　　“手机邮件客户端尤其是重灾区，”金科告诉记者，有些邮箱的网页版对这些仿冒邮件会有一个提示：由×××@×××.com代发，但这个显示出的代发地址同样也可以事先设定，手机端App的收件箱则无任何提示，在收件人看来，这就是一封来自官方的正常邮件。

　　原因:邮件服务器“偷懒”

　　“安全措施如果没有正确配置，反而会成为新的漏洞。”金科告诉记者，几个月前，国外逐渐出现了这种新型邮件诈骗手段，根本原因是原本用于邮件安全的DMARC协议，因为被服务商错误配置，不仅防钓鱼功能完全失效，其他几乎所有用于保护收件人不受欺诈电子邮件影响的防范措施，如垃圾邮件过滤器、IP信誉查询、SPF、DKIM策略也都统统不再起作用。

　　DMARC（Domain-based Message Authentication, Reporting and Conformance基于域的消息认证、报告和一致性）是2012年1月30日，由Paypal、Google、微软、雅虎、ReturnPath等联手推广的新电子邮件安全协议，此后中国的网易、QQ等邮箱服务商也都加入其中。

　　DMARC的根本原理是，允许域所有者发布一项策略，该策略会告知收件人如果邮件未通过安全验证，该如何处理。

　　比如当收件方收到一封可疑邮件时，会向发件方发送一个信令，请求进行DMARC校验，它会询问真实的发件方，“我收到一封可疑邮件，请问我该如何处理？”DMARC协议中，对如何回复收件方做了明确说明，处理方式从轻到重依次为：none为不作任何处理；quarantine为将邮件标记为垃圾邮件；reject为拒绝该邮件。DMARC协议的初期建议设置为none，但安全公司一般建议，至少设置为quarantine，保险一点，应该直接reject。

　　也就是说，那些被仿冒的邮箱服务器，尽管设置了DMARC校验，但都没有对初始状态进行修改，当收件箱“回拨”询问收到的邮件是否安全时，这些被仿冒的发件服务器直接回复“不做处理”，也即默认安全。收件方便很自然将假邮件放入收件箱，而不会再用其他垃圾邮件工具进行过滤， 这个过程有点像此前流行的“改号软件”，诈骗者用“改号软件”将自己的网络IP电话显示为110或者95588等电话号码，以此获得接听者的信任，接听者最好的辨别办法就是挂掉电话后回拨。但DMARC校验时的“none”设置就好像你打电话给110，问我刚才收到一个疑似仿冒110的电话，该怎么处理？而对方告诉你，不用处理，默认接收就好。

　　当然，如果不做DMARC校验，风险更大，因为攻击者可以使用正常的信封地址发送邮件，但是修改信头地址，这样收件方的邮件服务器在检测时，由于没有做DMARC，只会检查信封地址，而不检查信头的显示发件人地址，很容易让伪冒邮件直接进入收件箱。

　　在金科的测试中，发现Gmail和QQ邮箱都有做Dmarc，但p=none，163邮箱和139邮箱没做Dmarc。他尝试伪造发件人来自这些域名，最终仿冒邮件都能进入收件方的收件箱。

　　之所以如此设置，金科分析，一种可能是这些公司的安全人员“偷懒”，另一方面也可能是企业担心自己的营销邮件也被收件方拒收，因此干脆给所有询问都“开绿灯”。

　　危害：精准钓“鲸鱼”

　　“这种改名邮件最大的危害在于用户无法辨别。”上海市信息安全行业协会专家委员会副主任张威告诉《IT时报》记者，黑客用“改名软件”诈骗的手段通常有两种：一种是一次性攻击，目的是骗取你点击，植入木马；还有一种是精准攻击，行话叫“鲸钓”，将目标锁定一些中高端人群，通过已有的社工库分析社会关系，然后通过邮件精准钓鱼，比如仿冒老板的邮箱地址，给会计发一封要求付款的邮件，或者用仿冒的Apple邮箱，骗用户点击钓鱼网站，盗取Apple ID和密码，这种手段因为成功率高，且收获大，被称为“钓鲸鱼”。

　　作为一种“古老”的互联网诈骗手段，钓鱼邮件不仅依然大量存在，而且不断使出新花样。据不完全统计，全球范围内被投递的钓鱼邮件每天约达到1亿封。

　　张威认为，从这个漏洞上可以看出，很多公共邮箱和企业机构在安全防范上缺乏专业性，以为花钱就可以买“安全”，殊不知，安全工具如果部署不好，其危害甚至高于没有工具。

　　在国外，这个问题已经开始被重视。2017年10月19日，美国国土安全部（DHS）发布《约束性操作指令18-01》（BOD 18-01），要求联邦机构须在90天内应用两项协议：DMARC和STARTTLS，而且明确指出，指令发布后一年内，为所有二级域名和邮件发送主机设置DMARC“拒绝”（reject）策略（在邮件服务器端拒绝未经验证的电邮）。

　　但张威也指出，除了相关机构意识不强外，这种部署也并不简单，即使DHS已经明确了时间点，但截至今年9月14日，美国所有.gov域名中DMARC采用率在为83％，而已经使用“p = reject”策略运行的行政部门域名，该数字只有64％，“要在旗下所有域名中部署DMARC，工作量还是很大的，尤其是一些中小企业在QQ邮箱、网易邮箱等公邮上部署了自己的企业邮箱，需要自己修改，但这些企业往往不具有这样的能力，因此，这些公共邮箱不仅要修改自己的服务器，还要告诉这些企业客户，该如何操作。”

　　12月5日，测试后第三天，苹果修改了它的DMARC校验策略，假冒苹果邮件被收入垃圾邮箱，这意味着，它将收件方对于真假邮件的询问，回答从none改为了quarantine，但依然不拒绝