为什么电子邮件服务器/客户端会阻止可执行附件?

信息安全 电子邮件 电子邮件附件
2021-09-01 15:55:04

如果我向 Outlook 收件人发送带有 .exe 附件的电子邮件,电子邮件客户端会阻止该附件,并且收件人无法覆盖此安全设置(除非对注册表进行某些更改)。如果我将同一封电子邮件发送给 Gmail 收件人,则该电子邮件会被服务器拒绝。

他们为什么这么严格?附件是否有可能自动执行,或者只是为了保护天真的用户免于显式执行不受信任的附件?使用一个又大又胖的警告是不够的,又名“你真的确定要这样做吗?”

当然,我可以将我的 .exe 文件上传到文件共享服务并在电子邮件中提供链接。为什么这被认为比附件更安全?恶意诈骗者可能会做同样的事情。

编辑:我问这个问题部分是为了了解关闭该功能是否安全(通过修改HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Security\Level1Remove)。我从答案中得知这对我个人来说是安全的,但可能不是管理员级别的。

4个回答

使用一个又大又胖的警告还不够吗

当然,如果他们工作。大多数人倾向于不假思索地“点击掉烦人的东西”。

阻止可执行文件意味着攻击者无法做类似发送totallylegitfile_really.pdf.exe这样的事情来阻止可执行文件是一种非常基本的社会工程防御。

攻击者必须像您描述的那样执行额外的步骤,最终用户也是如此。这些额外的步骤让用户有更多的时间来思考整个交互是否有意义。额外的时间是关键。

如果我欺骗了人力资源部门的电子邮件(或让它看起来很相似)并发送出去staff_bonuses.pdf.exe并进入用户的收件箱,那么就没有什么可以保护用户了。只需单击一下即可。要像攻击者一样做同样的事情,我必须将它上传到某个地方然后发送链接。这会让很多人好奇为什么 HR 会使用一些第三方文件托管服务。

这是基本的防御措施。它提高了攻击者的难度门槛,迫使他们使用 3rd 方工具,并给最终用户更多的思考时间。

这是良好的旧成本/收益比。

@schroeder 的答案是关于收益,这个是关于成本

谷歌和微软都承认最终用户不应该交换可执行文件。图像或视频文件是最终用户对象,办公文件也是如此。但是当涉及到可执行文件时,它们应该只来自商店。

这样的决定当然对开发人员不友好,但开发人员应该足够先进以找到绕过它的方法,例如通过使用中继 HTTP 站点或使用高级编码。换句话说,假设成本可以忽略不计。

说白了用户很傻

当然,不是全部。但是,当您为数百甚至数千用户处理电子邮件时,您有一些用户会打开任何东西,在任何网络钓鱼页面上提供他们的凭据(即使是那些模仿不同网站的页面!)等等。

因此,所有类型的过滤器都被添加到邮件系统中,以防止恶意内容到达用户手中。它们可能包括 url 信誉、防病毒过滤,其中最强大的功能之一就是简单地阻止某些内容。

您最后一次需要通过电子邮件向 Windows 控制面板发送扩展程序是什么时候?是的,有几个人确实开发了它们。世界其他地方收到它只是一种病毒。即使您的 AV 解决方案没有检测到它。

同样,Ismael Miguel 在评论中提到了 .iso 文件。通过电子邮件发送 .iso 文件有什么好处?典型的 iso 文件至少为 500-600 MB。您的一些用户会很乐意通过电子邮件发送它们(甚至是 4 GB 的),但这是对系统的滥用,电子邮件不是为文件共享而设计的,并且在这方面做得相对较差。您应该寻找其他文件共享解决方案(不过,电子邮件是一种懒惰的方式)。

事实上,病毒正在使用奇怪的格式,例如 .iso 或旧的压缩格式,正是为了克服(电子邮件)过滤器,如果他们使用更常见的容器(例如 zip)会阻止病毒。

?

所以,是的,它只是为了保护天真的用户免于显式执行不受信任的附件。

使用一个又大又胖的警告是不够的,又名“你真的确定要这样做吗?”

经验表明并非如此。

打开带有宏的文档时,请查看 Microsoft Office 的界面。它会做到这一点,当打开从互联网下载的文件/电子邮件时,它会显示一个栏,例如:

请注意 - 电子邮件附件可能包含病毒。除非您需要编辑,否则留在受保护的视图中会更安全。

受保护的视图消息列表

但是,几乎每个恶意文档都包含指示用户禁用受保护视图“以便查看文档”的内容。实际上,这样恶意宏就会运行。

坏消息是 - 对于一小部分用户来说 - 他们工作。用户正在接收恶意电子邮件,打开被宏感染的附加(或链接)文档,禁用受保护的视图“沙盒”并被感染。最近的 Emotet 感染波主要(?)使用宏文档。人们被感染了。通过负载。

这并不是一个糟糕的设计。事实上,微软工程师没有太多选择,只能允许用户覆盖它(注意:系统管理员可能会强制他们被阻止),因为在某些合法情况下发送和接收带有宏的文档。

当然,接收其他被阻止的附件是合法的,包括可疑甚至已知的恶意内容。例如,abuse@ 电子邮件地址应该能够在他们自己的基础设施上接收到恶意 URL 的通知,该恶意 URL正在为木马提供服务,或者他们正在发送的电子邮件样本,而不是像某些系统那样在接收时阻止它(最佳做法是在发送和接收时都应用过滤器)。

因此,过滤器可以配置为排除某些需要接收否则被阻止的附件的发件人/收件人/邮箱。一个好的设置还可以确保它们只能从某些系统(可能与网络隔离,也许?)和/或一些已知不愚蠢的用户访问。:-)

电子邮件系统曾经允许发送可执行文件,但由于它导致大量病毒的传播而停止这样做。这方面的一个关键事件是2000 年的“ILOVEYOU”电子邮件蠕虫,它由一个恶意的 Visual Basic 脚本组成,该脚本会删除各种文件并将自身转发给用户的所有其他电子邮件联系人。用户必须手动执行它,但数量惊人的用户却这样做了。如此之多,估计由蠕虫造成的全球损失高达 80亿美元。