網(wǎng)絡(luò)安全培訓(xùn)教程--電子郵件安全篇.ppt

網(wǎng)絡(luò)安全培訓(xùn)教程電子郵件安全篇張博博士生 研究生會主席西工大網(wǎng)絡(luò)信息安全中心西工大計算機學(xué)院多媒體與網(wǎng)絡(luò)安全研究室 1 什么是電子郵件 電子郵件是Internet上應(yīng)用最廣同時也是最基本的服務(wù)之一 只要能夠連接到因特網(wǎng) 擁有一個E mail賬號 就可以通過電子郵件系統(tǒng) 用非常低廉的價格 非?？斓乃俣?與世界上任何一個角落的網(wǎng)絡(luò)用戶聯(lián)絡(luò) 2 電子郵件系統(tǒng)的組成E mail服務(wù)是一種客戶機 服務(wù)器模式的應(yīng)用 一個電子郵件系統(tǒng)主要有以下兩部分組成 1 客戶機軟件UA UserAgent 用來處理郵件 如郵件的編寫 閱讀和管理 刪除 排序等 2 服務(wù)器軟件TA TransferAgent 用來傳遞郵件 3 電子郵件的工作原理電子郵件不是一種 終端到終端 的服務(wù) 而是被稱為 存儲轉(zhuǎn)發(fā)式 服務(wù) 一 電子郵件系統(tǒng)原理 1 什么是郵件網(wǎng)關(guān)郵件網(wǎng)關(guān)指在兩個不同郵件系統(tǒng)之間傳遞郵件的計算機 它能夠計算出消息中哪些是重要信息 如主題 發(fā)送者 接收者 并把它們翻譯成其它系統(tǒng)所需的格式 也可以說郵件網(wǎng)關(guān)負(fù)責(zé)內(nèi)部與外部郵件系統(tǒng)的溝通 外部發(fā)送到本企業(yè)的郵件 通過Internet網(wǎng)站上的MailServer先行保存著 郵件網(wǎng)關(guān)可以定時將這些郵件收下來 分發(fā)給郵件的接收者 同時 將發(fā)送到企業(yè)外部的郵件通過Internet傳送出去 二 郵件網(wǎng)關(guān) 1 預(yù)防功能 2 監(jiān)控功能 3 跟蹤功能 4 賬務(wù)管理 5 分類統(tǒng)計表 6 郵件備份 2 郵件網(wǎng)關(guān)的主要功能 根據(jù)郵件網(wǎng)關(guān)的用途可將其分成普通郵件網(wǎng)關(guān) 郵件過濾網(wǎng)關(guān)和反垃圾郵件網(wǎng)關(guān) 普通郵件網(wǎng)關(guān) 即具有一般郵件網(wǎng)關(guān)的功能 郵件過濾網(wǎng)關(guān) 郵件過濾網(wǎng)關(guān)是一個集中檢測帶毒郵件的獨立硬件系統(tǒng) 與用戶的郵件系統(tǒng)類型無關(guān) 并支持SMTP認(rèn)證 反垃圾郵件網(wǎng)關(guān) 反垃圾郵件網(wǎng)關(guān)是基于服務(wù)器的郵件過濾和傳輸系統(tǒng) 可以幫助企業(yè)有效管理郵件系統(tǒng) 防止未授權(quán)的郵件進入或發(fā)出 同時被用于阻擋垃圾郵件 禁止郵件轉(zhuǎn)發(fā)和防止電子郵件炸彈 它通過消除不需要的郵件 有效降低網(wǎng)絡(luò)資源的浪費 3 郵件網(wǎng)關(guān)的應(yīng)用 SMTP協(xié)議SMTP SimpleMailTransferProtocol 即簡單郵件傳輸協(xié)議 它是一組用于由源地址到目的地址傳送郵件的規(guī)則 用來控制信件的中轉(zhuǎn)方式 SMTP協(xié)議屬于TCP IP協(xié)議族的應(yīng)用層協(xié)議 它幫助每臺計算機在發(fā)送或中轉(zhuǎn)信件時找到下一個目的地 通過SMTP協(xié)議所指定的服務(wù)器 我們就可以把E mail寄到收信人的服務(wù)器上 SMTP服務(wù)器則是遵循SMTP協(xié)議的發(fā)送郵件服務(wù)器 用來發(fā)送或中轉(zhuǎn)電子郵件 三 SMTP與POP3協(xié)議 POP協(xié)議是郵局協(xié)議 PostOfficeProtocol 的縮寫 是一種允許用戶從郵件服務(wù)器收發(fā)郵件的協(xié)議 POP3 PostOfficeProtocol3 即郵局協(xié)議的第3個版本 它規(guī)定怎樣將個人計算機連接到Internet的郵件服務(wù)器和下載電子郵件的電子協(xié)議 是因特網(wǎng)電子郵件的第一個離線協(xié)議標(biāo)準(zhǔn) POP3允許用戶從服務(wù)器上把郵件存儲到本地主機 同時刪除保存在郵件服務(wù)器上的郵件 POP3服務(wù)器則是遵循POP3協(xié)議的接收郵件服務(wù)器 用來接收電子郵件的 與SMTP協(xié)議相結(jié)合 POP3是目前最常用的電子郵件服務(wù)協(xié)議 POP協(xié)議 1匿名轉(zhuǎn)發(fā)沒有發(fā)件人信息的郵件就是這里所說的匿名郵件 郵件的發(fā)件人刻意隱瞞自己的電子郵箱地址和其他信息 或者通過某些方法給你一些錯誤的發(fā)件人信息 現(xiàn)在Internet上有大量的匿名轉(zhuǎn)發(fā)郵件系統(tǒng) 發(fā)送者首先將郵件發(fā)送給匿名轉(zhuǎn)發(fā)系統(tǒng) 并告訴這個郵件希望發(fā)送給誰 匿名轉(zhuǎn)發(fā)郵件系統(tǒng)將刪去所有的返回地址信息 再把郵件轉(zhuǎn)發(fā)給真正的收件者 并將自己的地址作為發(fā)信人地址顯示在郵件的信息表頭中 四 電子郵件系統(tǒng)安全問題 電子郵件 欺騙 是在電子郵件中改變名字 使之看起來是從某地或某人發(fā)來的行為 例如 攻擊者佯稱自己為系統(tǒng)管理員 郵件地址和系統(tǒng)管理員完全相同 給用戶發(fā)送郵件要求用戶修改口令 口令可能為指定字符串 或在貌似正常的附件中加載病毒或其他木馬程序 這類欺騙只要用戶提高警惕 一般危害性不是太大 2電子郵件欺騙 欺騙 對于使用多于一個電子郵件賬戶的人來說 是合法且有用的工具 例如你有一個賬戶yourname 但是你希望所有的郵件都回復(fù)到y(tǒng)ourname 你可以做一點小小的 欺騙 使所有從郵件賬戶發(fā)出的電子郵件看起來好像從你的賬戶發(fā)出 如果有人回復(fù)你的電子郵件 回信將被送到y(tǒng)ourname 要改變電子郵件身份 到電子郵件客戶軟件的郵件屬性欄中 或者Web頁郵件賬戶頁面上尋找 身份 一欄 通常選擇 回復(fù)地址 回復(fù)地址的默認(rèn)值正常來說 就是你的電子郵件地址和你的名字 但在此 你可以任意更改 1 相似的電子郵件地址攻擊者找到一個公司的老板或者高級管理人員的名字 有了這個名字后 攻擊者注冊一個看上去像高級管理人員名字的郵件地址 他只需簡單的進入hotmail等網(wǎng)站或者提供免費郵件的公司 簽署這樣一個賬號 然后在電子郵件的別名字段填入管理者的名字 我們知道 別名字段是顯示在用戶的郵件客戶的發(fā)件人字段中 因為郵件地址似乎是正確的 所以郵件接收人很可能會回復(fù)它 這樣攻擊者就會得到想要的信息 2 修改郵件客戶當(dāng)用戶發(fā)出一封電子郵件時 沒有對發(fā)件人地址進行驗證或者確認(rèn) 因此如果攻擊者有一個像outlook的郵件客戶 他能夠進入并且指定出現(xiàn)在發(fā)件人地址欄中的地址 攻擊者能夠指定他想要的任何返回地址 因此當(dāng)用戶回信時 答復(fù)回到真實的地址 而不是到被盜用了地址的人那里 3 遠(yuǎn)程聯(lián)系 登錄到端口25因為郵件服務(wù)器使用端口25發(fā)送信息 所以沒有理由說明攻擊者不會連接到25 裝作是一臺郵件服務(wù)器 然后寫一個信息 有時攻擊者會使用端口掃描來判斷哪個25端口是開放的 以此找到郵件服務(wù)器的IP地址 執(zhí)行電子郵件欺騙常用的三種基本方法 電子郵件炸彈 E MailBomb 是一種讓人厭煩的攻擊 它是黑客常用的攻擊手段 傳統(tǒng)的郵件炸彈大多只是簡單的向郵箱內(nèi)扔去大量的垃圾郵件 從而充滿郵箱 大量的占用了系統(tǒng)的可用空間和資源 使機器暫時無法正常工作 過多的郵件垃圾往往會加劇網(wǎng)絡(luò)的負(fù)載力和消耗大量的空間資源來儲存它們 還將導(dǎo)致系統(tǒng)的log文件變得很大 甚至有可能溢出文件系統(tǒng) 這樣會給Unix Windows等系統(tǒng)帶來危險 除了系統(tǒng)有崩潰的可能之外 大量的垃圾信件還會占用大量的CPU時間和網(wǎng)絡(luò)帶寬 造成正常用戶的訪問速度成了問題 例如 同時間內(nèi)有近百人同時向某國的大型軍事站點發(fā)去大量的垃圾信件的話 那么這樣很有可能會使這個站的郵件服務(wù)器崩潰 甚至造成整個網(wǎng)絡(luò)中斷 3E mail炸彈 從目前來說 電子郵件采用的協(xié)議確實十分不妥 在技術(shù)上也是沒有任何辦法防止攻擊者給你發(fā)送大量的電子郵件炸彈 只要你的郵箱允許別人給你發(fā)郵件 攻擊者即可做簡單重復(fù)的循環(huán)發(fā)送郵件程序把你的郵箱灌滿 由于不能直接阻止電子郵件炸彈 我們在收到電子郵件炸彈攻擊后 只能做一件事 即在不影響信箱內(nèi)正常郵件的前提下 把這些大量的垃圾電子迅速清除掉 接下來我們介紹一些解救方法 1 向ISP求助打電話向ISP服務(wù)商求助 技術(shù)支持是ISP的服務(wù)之一 他們會幫用戶清除電子郵件炸彈 2 用軟件清除用一些郵件工具軟件如PoP It等清除 這些軟件可以登錄郵件服務(wù)器 選擇要刪除哪些E mail 又要保留哪些 3 借用Outlook的阻止發(fā)件人功能 1 如果已經(jīng)設(shè)置了用Outlook接受信件 先選中要刪除的垃圾郵件 2 點擊郵件標(biāo)簽 3 在郵件標(biāo)簽下有一 阻止發(fā)件人 選項 點擊該項 程序會自動阻止并刪除要拒收的郵件 4 用郵件程序的email notify功能來過濾信件email notify不會把信件直接從主機上下載下來 只會把所有信件的頭部信息 headers 送過來 它包含了信件的發(fā)送者 信件的主題等信息 用view功能檢查頭部信息 看到有來歷可疑的信件 可直接下指令把它從主機Server端直接刪除掉 萬一誤用一般的郵件程序抓到mailbomb 看到在沒完沒了的下載的時候 強迫關(guān)閉程序 重新運行程序 連回Server 用email notify把它刪除掉 5 自動轉(zhuǎn)信假如用戶擁有幾個Email地址 其中一個存儲空間很大 至少10M 那么 就有了如下的辦法 在其它幾個較小的Email目錄中都新建一個 forward文件 Unix系統(tǒng) 把存儲空間最大的那個Email地址填寫如下所示 bigmailaddress xxxx xxxx xxxx xxxx 這樣你所有的信件都會自動轉(zhuǎn)寄到那個大信箱 有用的信件也就不那么容易被 炸毀 了 另外 用戶還申請一個轉(zhuǎn)信信箱 因為只有它是不怕炸的 根本不會影響到轉(zhuǎn)信的目標(biāo)信箱 其次 在使用的E mail程序中設(shè)置限制郵件的大小和垃圾文件的項目 如果發(fā)現(xiàn)有很大的信件在服務(wù)器上 可用一些登錄服務(wù)器的程序 如BECKY 直接刪除 電子郵件在傳輸中使用的是SMTP協(xié)議 它不提供加密服務(wù) 攻擊者可在郵件傳輸中截獲數(shù)據(jù) 其中的文本格式 非文本格式的二進制數(shù)據(jù) 如 exe文件 都可輕松地還原 經(jīng)常收到的好像是好友發(fā)來的郵件 可能是一封冒充的 帶著病毒或其他欺騙性的郵件 還有 電子郵件誤發(fā)給陌生人或不希望發(fā)給的人 也是電子郵件的不加密性客觀帶來的信息泄露 安全電子郵件能解決郵件的加密傳輸問題 驗證發(fā)送者的身份問題 錯發(fā)用戶的收件無效問題 保證電子郵件的安全常用到兩種端到端的安全技術(shù) PGP PrettyGoodPrivacy 和S MIME SecureMulti PartIntermailMailExtension 它們的主要功能就是身份的認(rèn)證和傳輸數(shù)據(jù)的加密 另外還有MOSS PEM等都是電子郵件的安全傳輸標(biāo)準(zhǔn) 四 電子郵件安全協(xié)議 1 1PGP簡介PGP是一個基于公開密鑰加密算法的應(yīng)用程序 該程序創(chuàng)造性在于把RSA公鑰體系的方便和傳統(tǒng)加密體系的高速度結(jié)合起來 并在數(shù)字簽名和密鑰認(rèn)證管理機制上有巧妙的設(shè)計 在此之后 PGP成為自由軟件 經(jīng)過許多人的修改和完善逐漸成熟 PGP相對于其他郵件安全系統(tǒng)有以下幾個特點 1 加密速度快 2 可移植性出色 可以在DOS Mac OS OS 2和UNIX等操作系統(tǒng)和Inter80 x86 VAX MC68020等多種硬件體系下成功運行 3 源代碼是免費的 可以削減系統(tǒng)預(yù)算 用戶可以使用PGP在不安全的通信鏈路上創(chuàng)建安全的消息和通信 PGP協(xié)議已經(jīng)成為公鑰加密技術(shù)和全球范圍消息安全性的事實標(biāo)準(zhǔn) 因為所有人都能看到它的源代碼 使系統(tǒng)安全故障和安全性漏洞的更容易發(fā)現(xiàn)和修正 1PGP 1 2PGP加密算法PGP加密算法是Internet上最廣泛的一種基于公開密鑰的混合加密算法 它的產(chǎn)生與其他加密算法是分不開的 以往的加密算法各有自己的長處 也存在一定的缺點 PGP加密算法綜合了他們的長處 避免了一些弊端 在安全和性能上都有了長足的進步 PGP加密算法包括四個方面 1 一個單鑰加密算法 IDEA IDEA InternationalDataEncryptionAlgorithm 國際數(shù)據(jù)加密算法 是PGP加密文件時使用的算法 發(fā)送者需要傳送消息時 使用該算法加密獲得密文 而加密使用的密鑰將由隨機數(shù)產(chǎn)生器產(chǎn)生 2 一個公鑰加密算法 RSA 公鑰加密算法用于生成用戶的私人密鑰和公開密鑰 加密 簽名文件 3 一個單向散列算法 MD5 為了提高消息發(fā)送的機密性 在PGP中 MD5用于單向變換用戶口令和對信息簽名 以保證信件內(nèi)容無法被修改 4 一個隨機數(shù)產(chǎn)生器 PGP使用兩個偽隨機數(shù)發(fā)生器 一個是ANSIX9 17發(fā)生器 另一個是從用戶擊鍵的時間和序列中計算熵值從而引入隨機性 主要用于產(chǎn)生對稱加加密算法中的密鑰 MIME MultipurposeInternetMailExtensions 多用途因特網(wǎng)郵件擴展 是一種因特網(wǎng)郵件標(biāo)準(zhǔn)化的格式 它允許以標(biāo)準(zhǔn)化的格式在電子郵件消息中包含增強文本 音頻 圖形 視頻和類似的信息 然而 MIME不提供任何安全性元素 S MIME則添加了這些元素 S MIME Secure MIME 安全的多用途Internet電子郵件擴充 是由RSA公司于1995年提出的電子郵件安全協(xié)議 與較為傳統(tǒng)的PEM不同 由于其內(nèi)部采用了MIME的消息格式 因此不僅能發(fā)送文本 還可以攜帶各種附加文檔 如包含國際字符集 HTML 音頻 語音郵件 圖像 多媒體等不同類型的數(shù)據(jù)內(nèi)容 目前大多數(shù)電子郵件產(chǎn)品都包含了對S MIME的內(nèi)部支持 S MIME同PGP一樣 利用單向散列算法和公鑰與單鑰的加密體系 但是S MIME也有兩方面與PGP不同 一是S MIME的認(rèn)證機制依賴于層次結(jié)構(gòu)的證書認(rèn)證機構(gòu) 所有下一級的組織和個人的證書由上一級的組織負(fù)責(zé)認(rèn)證 而最上一級的組織 根證書 之間相互認(rèn)證 二是S MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送 2S MIME MOSS MIME對象安全服務(wù) 是將PEM和MIME兩者的特性進行了結(jié)合 MOSS對算法沒有特別的要求 它可以使用許多不同的算法 該標(biāo)準(zhǔn)沒有推薦特定的算法 MOSS是專門設(shè)計用來保密一條信息的全部MIME結(jié)構(gòu)的 并沒有被廣泛的使用 3MOSS協(xié)議 PEM PrivacyEnhancedMail 私密性增強郵件 是由IRTF安全研究小組設(shè)計的郵件保密與增強規(guī)范 它的實現(xiàn)基于PKI公鑰基礎(chǔ)結(jié)構(gòu)并遵循X 509認(rèn)證協(xié)議 PEM提供了數(shù)據(jù)加密 鑒別 消息完整性及秘鑰管理等功能 目前基于PEM的具體實現(xiàn)有TIS PEM RIPEM MSP等多種軟件模型 PEM是增強Internet電子郵件隱秘性的標(biāo)準(zhǔn)草案 在Internet電子郵件的標(biāo)準(zhǔn)格式 參見RFC822 上增加了加密 鑒別和密鑰管理的功能 允許使用公開密鑰和對稱密鑰的加密方式 并能夠支持多種加密工具 對于每個電子郵件報文可以在報文頭中規(guī)定特定的加密算法 數(shù)字鑒別算法 散列功能等安全措施 但它是通過Internet傳輸安全性商務(wù)郵件的非正式標(biāo)準(zhǔn) 有可能被S MIME和PEM MIME規(guī)范所取代 4PEM協(xié)議 5 1OutlookExpress中的安全措施OutlookExpress包含一些工具 有助于防止欺騙行為 增強電子郵件的非公開性并防止對計算機進行未授權(quán)的訪問 這些工具通過安全區(qū)域使您能夠更安全地發(fā)送和接收郵件并控制可能攜帶有害內(nèi)容的電子郵件 1 安全區(qū)域 安全區(qū)域為您的計算機和隱私提供了高級保護功能 但它不會用重復(fù)的警告來打擾您 2 數(shù)字標(biāo)識 數(shù)字標(biāo)識 也叫證書 提供了一種在Internet上