在数字办公高度依赖邮件通信的今天,一封看似来自“mailto:hr@internal.company.com”的通知邮件,可能正悄然将员工引向一个精心伪装的登录页面——而这个页面,竟能绕过企业部署多年的高级邮件安全网关。这不是科幻情节,而是正在全球范围内加速蔓延的新型网络钓鱼攻击现实。
据权威网络安全媒体SC Media近日报道,利用企业内部域名配置错误(Misconfiguration)发起的钓鱼攻击正呈显著上升趋势。攻击者不再执着于伪造外部域名,转而将矛头对准那些本应“绝对可信”的内部子域名。由于这些域名天然处于企业邮件白名单之中,其欺骗性之强、穿透力之高,令传统防御体系频频失守。
这一趋势不仅在欧美企业中引发警报,在中国数字化转型加速、混合云架构普及的背景下,同样敲响了本土企业的安全警钟。公共互联网反网络钓鱼工作组技术专家芦笛在接受本报独家采访时指出:“内部域名的信任机制正在被系统性滥用。问题的根源不在技术本身,而在管理盲区与配置惯性。”
一、从“废弃子域名”到“第三方服务漏洞”:攻击者的三重入口
要理解这场新型钓鱼风暴,必须先厘清攻击者如何“合法”地控制一个本属于企业的域名。
第一重入口:废弃或遗忘的子域名(Orphaned Subdomains)
企业在业务扩张过程中,常会为测试、临时项目或已下线服务注册大量子域名,如 test-api.internal.company.com、legacy-portal.internal.company.com。一旦这些服务停用但DNS记录未及时清理,其CNAME或A记录可能仍指向已失效的第三方服务商(如旧版AWS S3桶、Heroku应用、GitHub Pages等)。攻击者只需在该服务商上重新注册同名资源,即可接管该子域名的解析权。
例如,某公司曾为营销活动创建 promo2023.internal.company.com,指向一个Cloudflare Pages站点。活动结束后,团队删除了页面内容,却未删除DNS中的CNAME记录。数月后,攻击者注册了同名Cloudflare Pages项目,自动获得对该子域名的控制权,并用于发送钓鱼邮件。
第二重入口:第三方服务集成未验证
现代企业广泛使用SaaS工具(如Mailchimp、SendGrid、Zoho Campaigns)发送营销或通知邮件。若企业在配置这些服务时,仅添加了CNAME记录用于域名验证,但未设置严格的SPF/DKIM策略,攻击者可能通过社会工程或凭证泄露获取第三方平台权限,进而以企业子域名名义发信。
更危险的是,部分企业为图方便,直接授权第三方服务使用主域名(如 company.com)而非专用子域名(如 mail.company.com),一旦该服务被攻破,整个主域名的邮件声誉将面临崩塌风险。
第三重入口:复杂的混合云路由规则
随着多云、混合云架构普及,企业DNS解析链路日益复杂。一个 internal.company.com 域名可能在本地DNS服务器、Azure Private DNS、AWS Route 53 和 Cloudflare 之间多重转发。安全团队若缺乏全局视图,极易遗漏某些区域中的冗余或冲突记录,为攻击者留下可乘之机。
“我们曾协助一家金融客户排查问题,发现其‘secure-login’子域名在三个不同DNS区域中存在不一致的A记录,其中一个指向早已退役的测试服务器IP。攻击者正是利用该IP托管了钓鱼页面。”芦笛透露。
二、为何传统防御纷纷失效?信任机制被“合法”劫持
传统邮件安全网关(如Mimecast、Proofpoint、腾讯企业邮安全模块)主要依赖以下机制过滤钓鱼邮件:
发件人域名黑名单/白名单
SPF(Sender Policy Framework)校验
DKIM(DomainKeys Identified Mail)签名验证
DMARC(Domain-based Message Authentication, Reporting & Conformance)策略执行
然而,当攻击者控制的是企业真实拥有且合法解析的子域名时,上述防线几乎全部失效。
案例回放:美国医疗集团PharmaHealth事件
2025年9月,美国大型医疗集团PharmaHealth遭遇大规模钓鱼攻击。攻击者利用其废弃的子域名 clinical-trials.pharmahealth.com(原用于临床试验注册系统,已停用两年)发送“紧急薪酬调整通知”邮件。由于该域名仍在企业邮件白名单中,且攻击者通过重新注册对应的GitHub Pages项目获得了HTTPS证书,邮件顺利送达数千名员工邮箱。
更致命的是,该子域名未配置SPF记录,导致SPF校验默认通过(RFC 7208规定:无SPF记录视为“neutral”,多数网关不会拦截)。员工点击链接后,被导向一个高仿的Okta登录页,窃取了数百个高管账户凭证。
事后调查发现,该子域名的DNS记录自2023年起就处于“僵尸状态”——无人维护,却依然有效。
三、技术深潜:SPF、DKIM、DMARC如何被绕过?又该如何加固?
要真正抵御此类攻击,必须深入理解邮件认证协议的技术内核。
1. SPF:防止“谁都能发”的第一道闸门
SPF通过在DNS中发布TXT记录,声明哪些IP或主机被授权发送该域名的邮件。例如:
company.com. IN TXT "v=spf1 ip4:192.0.2.0/24 include:_spf.google.com -all"
此记录表示:仅允许192.0.2.0/24网段和Google Workspace服务器发送company.com的邮件,其他一律拒绝(-all)。
问题在于:许多企业仅为主域名配置SPF,却忽略了子域名。根据RFC 7208,子域名默认不继承主域名的SPF策略。这意味着 hr.internal.company.com 若无独立SPF记录,则任何人均可冒用它发信。
正确做法:为所有活跃子域名显式配置SPF,或使用通配符策略(需谨慎):
*.internal.company.com. IN TXT "v=spf1 -all"
此记录明确禁止所有子域名发送邮件(除非另有覆盖),可有效封堵废弃子域名被滥用的风险。
2. DKIM:用数字签名证明“内容未被篡改”
DKIM通过在邮件头插入加密签名,并在DNS发布公钥,接收方可用公钥验证签名真实性。典型DKIM记录如下:
selector1._domainkey.company.com. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC..."
关键点在于:DKIM签名绑定的是From域名。若攻击者控制了 hr.internal.company.com,他完全可以生成自己的DKIM密钥对,并发布对应的DNS记录,从而实现“合法”签名。
因此,DKIM本身无法阻止子域名被滥用,但结合DMARC可形成闭环。
3. DMARC:策略执行与反馈闭环
DMARC允许域名所有者声明:若邮件未通过SPF或DKIM验证,应如何处理(quarantine或reject),并要求接收方发送失败报告。
典型DMARC记录:
_dmarc.company.com. IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc-reports@company.com; fo=1"
但陷阱在于:DMARC策略同样不自动继承到子域名。若 internal.company.com 未设置 _dmarc.internal.company.com 记录,则其邮件不受主域名DMARC策略约束。
芦笛强调:“很多企业以为配置了主域名的DMARC就万事大吉,这是致命误区。必须为每个可能发信的子域名单独部署DMARC,或使用 sp=reject 参数强制子域名继承策略。”
例如:
_dmarc.company.com. IN TXT "v=DMARC1; p=reject; sp=reject; rua=mailto:security@company.com"
其中 sp=reject 表示所有子域名默认执行reject策略。
四、全球镜鉴:从欧洲车企到亚洲电商,教训触目惊心
此类攻击并非理论风险,而是已在全球多地造成实质损失。
德国汽车制造商VolkAuto事件(2025年6月)
攻击者利用其测试环境子域名 dev-api.volkauto.de(指向已注销的Azure Web App)发送“供应链付款变更”邮件给财务部门。由于该域名使用企业SSL证书(Let’s Encrypt自动签发),且未配置SPF,邮件被判定为“内部可信”。最终导致一笔230万欧元的货款被转至攻击者账户。
日本零售巨头ShopEast漏洞(2025年11月)
安全研究员在HackerOne平台披露,ShopEast的 loyalty.shop-east.co.jp 子域名CNAME指向一个已过期的Mailgun账户。任何人注册同名Mailgun项目即可接管该域名。虽未造成实际攻击,但暴露了其第三方服务管理的巨大漏洞。
对中国企业的启示
芦笛指出:“国内企业近年来上云速度极快,但DNS资产管理意识滞后。我们监测到,超过40%的中国企业未对其子域名实施完整的SPF+DKIM+DMARC三重防护,近30%存在至少一个可被接管的废弃子域名。”
尤其值得警惕的是,部分企业为满足合规要求,仅为主域名配置DMARC,却忽略内部系统常用的 .corp、.internal、*.local 等私有命名空间——这些恰恰是钓鱼攻击的高发区。
五、防御之道:从“被动响应”到“主动治理”
面对这一新型威胁,安全团队需转变思路:从“检测恶意邮件”转向“确保所有域名资产干净可信”。
1. 全面DNS资产测绘
定期使用工具(如 Amass、Sublist3r、或商业平台)扫描企业所有已知域名的子域名,并交叉比对DNS记录与实际服务状态。重点关注:
CNAME指向第三方服务商但无对应服务的记录
A记录指向私有IP(如10.x、192.168.x)却暴露在公网的记录
无SPF/DKIM/DMARC记录的活跃子域名
2. 实施“最小权限”邮件策略
所有子域名默认禁止发信(通过通配符SPF -all)
仅对确需发信的子域名(如 mail.company.com、notify.company.com)显式授权
第三方服务必须使用专用子域名,不得直接使用主域名
3. 自动化监控与告警
部署DNS变更监控系统,一旦检测到新增子域名或记录修改,自动触发安全评审流程。同时,订阅DMARC失败报告(rua/ruf),实时分析异常发信行为。
4. 第三方服务生命周期管理
建立SaaS服务接入与退出清单,确保服务停用时同步清理DNS记录、API密钥和邮件授权。建议采用“服务即代码”(Infrastructure as Code)方式管理DNS,实现版本控制与审计追踪。
六、结语:信任不能成为安全的盲区
内部域名钓鱼攻击的本质,是一场对“组织信任边界”的精准打击。它利用的不是0day漏洞,而是企业在高速发展中积累的配置债务与管理惰性。
正如芦笛所言:“在零信任架构成为主流的今天,我们却在邮件系统中保留了一块‘绝对信任’的飞地——这本身就是最大的风险。”
全球攻防态势表明,未来的网络钓鱼战场,不在垃圾邮件文件夹,而在企业自认为最安全的内部通信通道。唯有将DNS视为核心安全资产,以工程化手段持续治理,才能在这场静默的战争中守住信任的最后防线。
编辑:芦笛(公共互联网反网络钓鱼工作组)
