第7章电子邮件的安全管理

第6章电子邮件安全管理6.1电子邮件概述6.2电子邮件使用的协议6.3电子邮件发送方式的安全6.4电子邮件加密工具6.5Exchange邮件服务器的安全配置与管理现在的Internet上，使用最广泛的应用服务之一就是电子邮件服务，上网的人每人几乎至少有一个邮箱，E－mail是一个时髦的词，每个人都离不开电子邮件，因为它已经成为互联时代必不可少的产物，它使用天南海北的人的距离拉的很近，很多的信息交流在几秒内就可以在网上传递，并且电子邮箱中有我们许多个人的隐私。因此在本章中详细讲述一下电子邮件系统的安全知识，并且讲述对电子邮件服务器Exchange的安全配置。§6.1电子邮件概述电子邮件是一种利用电子手段提供信息交换的通信方式，是因特网中应用服务中用户最多，使用最广泛的一类服务。当前电子邮件系统提供了进行复杂通信和交互服务的功能，主要是接发电子邮件和对邮件作各种处理。这就是电子邮件的一个子系统，用户代理。电子邮件的另一个子系统是消息传输代理，顾名思义就是传送邮件消息。电子邮件传递与其它应用服务的不同之处在于：当接收端网络出现故障时邮件系统还必须提供服务，而其它服务则可能重发几次后中止。在电子邮件系统中采用了缓存技术，当用户发送一个邮件消息时，系统将邮件副本与发送者，目的机器的标识及时间放入独有的存储区，然后使用后台进程完成邮件的发送。后台的进程用域名系统将目的机器映射为IP地址，然后建立TCP连接。连接成功后把报文的副本传递给目的主机，当目的主机发回已收到报文认可后，在缓存中删除副本；如果建立连接不成功，后台进将程将尝试在几天内发送，如果仍没传送成功，将给邮件发送者发送失败报告。§6.2电子邮件使用的协议POP邮局协议是个说明PC机如何与Internet上的邮件服务器连接及如何下载E-mail的协议。POP邮局协议负责将邮件通过SLIP/PPP连接传送到用户的主机上，它是一种只负责接收的协议，不能通过它发送邮件。目前流行的版本是POP3协议，它是一种从远程邮箱中读取电子邮件的简单协议。6.2.1POP邮局协议§6.2.2IMAP交互式电子邮件访问协议IMAP交互式电子邮件访问协议（InternetMessageAccessProtocol）IMAP协议是指从公司的邮件服务器获得E-mail的有关信息或直接收取邮件的协议。这个E-mail协议可以让用户远程拨号连接Internet服务器，并且可以在下载邮件之前预览邮件的主题与来源，还可以选择是否下载附件，可以是邮件的一部分或是邮整体。换而言之，就是电子邮件服务器维护一个中心数据库，多台用户计算机能同时访问使用这台邮件服务器。§6.2.3SMTP简单电子邮件传输协议SMTP简单电子邮件传输协议(SimpleMailTransferProtocol)SMTP是一个简单的ASCII协议，它用于接受到来的连接，并将消息发送到目的邮箱，如果传送失败，则返回错误报告。通过SMTP协议所指定的服务器，就可以把E-mail寄到收信人的服务器上。目前，多数的免费电子邮箱都是基于SMTP简单电子邮件传输协议和POP3邮局协议。支持IMAP交互式电子邮件访问协议的很少，21CN是少数之一§6.3电子邮件发送方式的安全电子邮件的收发方式有两种：·使用Web页方式用IE登录到主页，进入自己的邮箱，来收发自己的邮件。·使用邮件客户端如使用OutLook、FoxMail等。6.3.1Web页方式方式，大部分人的邮箱都是基于某一个网站上的Web免费电子邮箱，当你登录到站点主页，可以通过身份验证与密码验证的组合进行你自己已经申请的邮箱，当你发送的邮件没有商业或个人隐私时，你或许不太关心它的安全问题，但如有机密，那么你必须知道，最近浏览过的网页会自动保存在缓存文件夹中，并且你进入信箱时的地址栏中的地址也会被保存下来，成为历史记录，所以为了保证你Web方式收发电子邮件的安全，你必须打开IE，并选择工具菜单中的Internet选项，将出现如图6-1所示的Internet选项对话框，在Internet临时文件和历史记录两个选项框中，你必须选择删除文件和清除历史记录这两项内容，才能保证你收发电子邮件的内容及你的地址不被窃取。§6.3.2客户端收发电子邮件的安全相对而言，使用客户端比在Web页上收发电子邮件相对安全一些，常用的有OutLook、FoxMail等，下面我们以OutLook为例讲述客户端收发电子邮件的安全。1.配置OutLook的安全区域OutLook允许你设置安全区域，通过配置安全区域，来增强电子邮件防止非授权访问。具体的操作如下：打开OutLook，单击“工具”菜单，单击“选项”菜单，然后单击“安全”选项，出现如图6-3所示的对话框。在这个对话框中你可以单击区域设置按钮来自定义是否可在HTML邮件中运行脚本和活动内容。在所选择的区域中可以有三种安全的级别：高、中、低。2.数字标识（数字证书）为了使OutLook能安全的收发电子邮件，必须首先拥有数字标识，因为数字标识就是你网络上的身份证，只有它，才能安全的收发电子邮件。·获得数字标识获得数字标识有两种方法，一种是通过一些受信任的CA发放中心来获得数字标识（即数字证）如Verisign公司，它的网址是：，你可以访问此站点，按要求填入个人的正确信息，此公司会给你一个数字身份人识别号，然后访问网页提交你的数字身份人识别号即可。这个数字就是你的数字标识。第二种是通过微软证书服务器来完成获得数字标识。（叁见第十章）·配置数字标识配置数字标识时，单击“工具”菜单，单击“帐号”，选择想使用数字标识的帐号，单击“属性”，然后单击“安全”选项，再单击“签名标识”栏的“选择”按钮，选择使用该帐号签署邮件时将使用何种数字标识；再单击“加密首选项”栏的“选择”按钮，选择加密证书和算法，这些信息将包含在你的数字签名的邮件中，这样，阅读到你的电子邮件的人就可以用同样的设置向你发送加密邮件。··备份数字标识为了防止数字标识在计算机上的丢失，应该对证书进行备份，双击IE浏览器，单击“工具”菜单，选择“证书”菜单中的“证书”按钮进入“证书管理器”，选择须备份的证书（数字标识），按“导入／导出数字标识”按钮备份数字标识。3.OutLook安全电子邮件的配置有了数字签名后，就可以用OutLook发送安全的电子邮件了，从图6-3可知，安全的电子邮件有三个选项：·将待发邮件的内容及附件加密·给待发邮件添加数字签名·发送文字签名邮件选择三项中的任何组合均可达到安全发送电子邮件的目的，如果选择第二项，那么你所有签名的邮件都会出现一个签名图标，这个图标显示在主题一栏的右下角。§6.4电子邮件加密工具电子邮件加密的工具包很多，如A-Lock、Puffer、PGP等。6.4.1A-Lock邮件加密软件A-Lock是一个邮件加密的免费软，你可以到华军软件园去下载，具体的网址是：主页上下载A-Lock软件，并在计算机上安装，安装完成后，在任务上会看到此软件的图标。§6.4.2Puffer邮件加密工具6.4.2Puffer邮件加密工具同样，Puffer也是一个免费的共享软件，你可以到上进行下载。下载安装后，打开Puffer3如图6-6所示。§6.5Exchange邮件服务器的安全配置与管理在这里我们配置一个Exchange2000邮件服务器，使之成为一个安全的邮件服务器。作为一个安全的邮件服务器，最好是专机专用。Exchange是通过MMC管理控制台来提供管理的，单击开始→程序→MicrosoftExchange→systemManage即可打开管理控制台§6.5.1收件人的创建与配置在Exchange2000的用户可以有两类邮箱的配置：邮箱允许和邮件允许。在每创建一个新用户时就会自动地为该用户创建一个邮箱，那么你可以对这个邮箱进行配置，在Exchange中有4类收件人，用户、联系人、组和公用文件夹，这里我们以用户为例讲述收件的人的创建与配置。1.收件人的创建创建的具体步骤如下。步骤1，单击开始→程序→MicrosoftExchange→activedirectoryusersandcomputers→users容器处右击→选择快捷菜单中的新建→用户，出现如图6－32所示的新建用户对话框。具体详细步骤见p203.2.收件人的配置对上述已经建成的GXH用户的邮箱进行配置，在用户名右击，选择属性，出现如图6－36所示的对话框。具体详细步骤见p205。3.过滤收件人单击开始→程序→MicrosoftExchange→activedirectoryusersandcomputers对话框后，选择查看菜单，选择筛选器选项，出现如图6－45所示的对话框，在此对话框中可以进行筛选，如果选择了创建自定义筛选器，则出现6－46所示的对话框，可以自已定义筛选。§6.5.2ExchangeServer的监控邮件服务器的监控是网络运行成功的关键，所以我们经常使用一些工具来完成这些操作这里介绍几种常用的工具，如事件浏览器和系统监视器1.事件浏览器单击开始→程序→管理工具→事件查看器，将出现如图6-47所示的对话框。事件查看器中共有六类事件的日志，应用程序日志、安全日志、系统日志、目录服务、DNS服务、文件复制服务。2.安装一种操作系统安装两种以上操作系统，会给黑客以可乘之机，利用攻击使系统重启到另外一个没有安全设置的操作系统（或者他熟悉的操作系统），进而进行破坏。6.安装成独立的域控制器（StandAlone）主域控制器（PDC）是局域网中队多台联网机器管理的一种方式，用于网站服务器包含着安全隐患，使入侵者可能利用域方式的漏洞攻击站点服务器。4.系统文件所在分区与WEB数据的分区分开入侵者可能通过WEB站点的漏洞得到操作系统对操作系统某些程序的执行权限，从而造成更大的破坏。5.安装操作系统最新的补丁程序最新的补丁程序，表示系统以前有重大漏洞，站点必须安装最新补丁，随时更新，入侵者往往利用漏洞对系统造成威胁。§6.5.2WindowsNT设置WindowsNT的设置通过以下几方面来体现。1.帐号策略·帐号尽可能少，且尽可能少用来登录网站帐号一般只用来做系统维护，多余的帐号一个也不要，因为多一个帐号就会多一份被攻破的危险。·除过Administrator外，有必要再增加一个属于管理员组的帐号；还有一个备用帐号；另方面，一旦黑客攻破一个帐号并更改口令，我们还有有机会重新在短期内取得控制权。·所有帐号权限需严格控制，轻易不要给帐号以特殊权限；·将Administrator重命名，改为一个不易猜的名字。其他一般帐号也应尊循着一原则。这样可以为入侵者攻击增加一层障碍。·将Guest帐号禁用，同时重命名为一个复杂的名字，增加口令，并将它从Guest组删掉；有的入侵工具正是利用了guest的弱点，可以将帐号从一般用户提到管理员组。·给所有用户帐号一个复杂的口令（系统帐号出外），长度最少在8位以上，且必须同时包含字母、数字、特殊字符。2.解除NetBIOS与TCP/IP协议的绑定NetBois在局域网内是不可缺少的功能，在网站服务器上却成了黑客扫描工具的首选目标。在WindowsNT系统中，双击“控制面版”→“网络”→“绑定”→“NetBios接口”→“禁用TCP/IP上的NETBIOS”。6.删除所有的网络共享资源WindowsNT在默认情况有网络共享资源，在局域网内对网络管理和网络通讯有用，在网站服务器上同样是一个特大的安全隐患。在WindowsNT服务器中，双击“管理工具”→“服务器管理器”→“共享目录”→“停止服务”。另一种方法是通过修改注册表运行Regedit，然后修改注册表在HKEY_LOCAL_MACHINE\SYSTEM\CurreNTCoNTrolSet\Se