邮件炸弹攻击新变种:当你的客服系统成为攻击武器

2026-07-01 10:10:00

上海辰童科技有限公司

摘要:2025年10月,安全记者 Brian Krebs 遭遇了一场新型邮件炸弹攻击:数千封威胁邮件在数小时内涌入他的收件箱,而发件方竟是 Washington Post、NordVPN、Tinder、CompTIA、Discord 等数百家知名企业的官方客服系统。整个攻击链的核心漏洞只有一个——Zendesk 允许客户配置匿名提交工单。你的客服系统,可能正在以你的品牌名义被武器化。

1 攻击还原

攻击者不需要攻破任何一个Zendesk账户。他们只是利用了Zendesk的一个设计特性:客户可以选择"允许任何人(包括匿名用户)提交工单"。当这个选项开启后,任何人都可以通过Zendesk的公开接口向某个企业提交客服请求,并自由指定提交者的邮件地址。而如果该企业同时开启了"新建工单自动回复"触发器,Zendesk会向这个被伪造的"提交者邮箱"发送一封确认邮件——发件方显示为该企业的真实客服邮箱,内容包含攻击者输入的任意标题。

攻击者将这一机制放大:用脚本批量遍历所有开放匿名提交的Zendesk客户,每个客户发送一封或多封工单,标题设置为威胁性文字或侮辱性信息,回执邮箱全部指向同一个攻击目标。结果是:目标收到来自数百家知名企业的官方邮件,内容极具攻击性。对目标而言,这是一场来自数百个合法品牌的协同轰炸。对出站企业而言,品牌信誉被无辜裹挟。

2 为什么这不是简单的反垃圾问题

从反垃圾系统的视角看,这些邮件都通过了SPF/DKIM/DMARC验证——因为它们确实是由Zendesk代发的合法邮件,来自真实的客服域名,有对应的员工签名。没有任何一条垃圾邮件规则能够识别这种攻击。Krebs自己指出,他的邮件过滤器在这几千封邮件面前完全失效——因为每一封都是"真邮件"。

3 Zendesk的回应

Zendesk通信总监 Carolyn Camoens 表示:平台确实使用了速率限制来防止单点滥用,但攻击者利用的是分布式、多客户协同的模式——每个客户只触发少量工单,合在一起构成洪流,速率限制无法拦截。Zendesk建议客户"配置认证工单创建流程"(即要求用户登录或验证邮箱后才能提交工单),但承认"出于各种业务原因,一些客户偏好使用匿名环境"。

style="font-size: 14px; color: rgb(38, 38, 38); line-height: 1.74; letter-spacing: 0.05em; outline-style: none; overflow-wrap: break-word; margin-top: 0px; margin-bottom: 0px;">这一回应揭示了问题的本质:这不是技术缺陷,而是产品设计的身份验证权衡。开放匿名工单降低了客户的使用门槛,却创造了一个可被武器化的邮件代理网络。

4 不止Zendesk:任何"无验证回复通道"都是攻击面

style="font-size: 14px; color: rgb(38, 38, 38); line-height: 1.74; letter-spacing: 0.05em; outline-style: none; overflow-wrap: break-word; margin-top: 0px; margin-bottom: 0px;">虽然此事件聚焦Zendesk,但原理适用于所有类似的客服平台:只要有"输入邮箱→系统自动回信→不验证邮箱所有权"的流程存在,就可以被用作邮件炸弹代理。这包括但不限于:工单系统、预约确认系统、账户注册确认流程、密码重置流程、邮件列表订阅确认。建议企业安全团队排查所有涉及自动回复的业务流程,确保每条回复路径都有邮箱所有权验证。

style="font-size: 14px; color: rgb(38, 38, 38); line-height: 1.74; letter-spacing: 0.05em; outline-style: none; overflow-wrap: break-word; margin-top: 0px; margin-bottom: 0px;">5 企业的防御清单

style="font-size: 14px; color: rgb(38, 38, 38); line-height: 1.74; letter-spacing: 0.05em; outline-style: none; overflow-wrap: break-word; margin-top: 0px; margin-bottom: 0px;">立即检查客服平台配置:确认工单提交是否需要用户登录或至少邮箱验证。如果使用的是Zendesk或类似平台,登录后台检查"任何人都可以提交工单"开关是否开启。

style="font-size: 14px; color: rgb(38, 38, 38); line-height: 1.74; letter-spacing: 0.05em; outline-style: none; overflow-wrap: break-word; margin-top: 0px; margin-bottom: 0px;">审计所有自动回复触发器:建立自动回复清单地图,明确每个触发器的触发条件和回信地址来源。

style="font-size: 14px; color: rgb(38, 38, 38); line-height: 1.74; letter-spacing: 0.05em; outline-style: none; overflow-wrap: break-word; margin-top: 0px; margin-bottom: 0px;">实施回复地址验证:对需要向外部发送确认邮件的场景,先发送一封验证链接,只有验证通过后才进入正式工单流程。这增加了一步操作,但彻底消除了被滥用的可能。

style="font-size: 14px; color: rgb(38, 38, 38); line-height: 1.74; letter-spacing: 0.05em; outline-style: none; overflow-wrap: break-word; margin-top: 0px; margin-bottom: 0px;">监控异常发信量:设置基于品牌的出站邮件量异常告警。如果某天你的客服系统突然对外发送了大量不在业务预期内的邮件,应立即触发调查。

style="font-size: 14px; color: rgb(38, 38, 38); line-height: 1.74; letter-spacing: 0.05em; outline-style: none; overflow-wrap: break-word; margin-top: 0px; margin-bottom: 0px;">6 结论

style="font-size: 14px; color: rgb(38, 38, 38); line-height: 1.74; letter-spacing: 0.05em; outline-style: none; overflow-wrap: break-word; margin-top: 0px; margin-bottom: 0px;">这起事件的最关键教训并非关于Zendesk,而是关于"授权"的本质:当一个业务系统拥有对外发送邮件的权限时,它就必须承担起验证"谁在触发这个发送"的责任。Krebs用亲身经历证明了一个事实:在邮件安全领域,最危险的漏洞往往不是加密算法的弱点,也不是协议的缺陷,而是产品设计中对身份验证的忽视。

参考来源:Brian Krebs, "Email Bombs Exploit Lax Authentication in Zendesk", KrebsOnSecurity, 2025年10月 | Zendesk 官方声明 (Carolyn Camoens, Communications Director)