電子郵件系統的安全問題

←手機掃碼閱讀     火星人 @ 2014-03-12 , reply:0
  由於企業級電子郵件系統一般建立在Intranet內部,與Internet之間有防火牆保護,所以受到外界惡意攻擊的可能性較小。另外,由於採用Qmail的虛擬域和虛擬用戶及MailDir郵件存儲方式,使郵件系統用戶與UNIX系統用戶分離,這些都大大地提高了系統的安全性。

  這裡我們重點考慮用戶郵件和用戶認證口令的傳輸安全。由於TCP/IP協議是一種包交換網路,各個數據包在網路上都是透明傳輸的,並且可能經過不同的網路,並由那些網路上的路由器轉發,才能到達目的計算機。而TCP/IP協議本身沒有考慮安全傳輸,很多應用程序,如:Telnet、FTP等,甚至使用明文來傳輸非常敏感的口令數據。一般的郵件系統也存在這個問題,如用戶使用POP3協議的客戶端軟體(如常用的FoxMail)下載郵件時,口令就是用明文來傳輸的,用戶通過瀏覽器和IMAP協議下載郵件,也同樣存在這個問題。

  為加強數據的傳輸安全,特別是敏感的口令數據的傳輸安全,可採用公開密鑰演算法對傳輸數據進行加密。對HTTP和IMAP協議的傳輸,可使用SSL(安全Soket層),不但能通過公開密鑰演算法保證傳輸的安全,還可以通過獲得認證證書CA,保證客戶連接的伺服器沒有假冒。

  可以用來實現SSL的自由軟體是OpenSSL,可在http://www.openssl.org/下載。

  Apache可以通過載入mod_ssl模塊來支持SSL;Courier-IMAP也支持SSL;除OpenSSL外,還需要下載 stunnel(地址是http://mike.daewoo.com.pl/computer/stunnel/)。

  Apache上安裝新模塊需要重新進行編譯安裝(想省事的話,可在網上找一找有無現成的RPM包)。具體的配置方法可查看安裝說明。

  目前,Qmail的POP3協議還不支持SSL,仍然存在被惡意竊聽甚至盜用密碼的危險(這種危險普遍存在於目前被廣泛使用的各種免費E-mail服務中)!所以在使用電子郵件傳輸各種敏感的需要保密的數據時一定要慎重,企業的重要數據、保密的文件等盡量不要用Internet上的免費E-mail郵箱傳送!

筆者文中談到的電子郵件系統主要是針對大中型企業而設計的,作為企業Intranet的一個重要組成部分,對安全性、穩定性和可管理性都有更高的要求。其用戶數量可從數千至數萬,當用戶數量超過10萬時,單台伺服器的性能就不能滿足要求了,必須要由多台伺服器同時服務,存儲空間也必須由伺服器集群來提供,通過光纖通道或者網路文件系統NFS來共享存儲空間,對一些資源緊張的服務還需使用多伺服器進行負載均衡。這些內容超出了本文的範圍,有興趣的朋友可參考其他文章,如《建立大容量基於Web的E-mail系統》
  

  本文所推薦的軟體都是相當成熟的開放源代碼的軟體,這些軟體的源代碼可以被公眾使用,並且這些軟體的使用、修改和分發不受許可證的限制。要特別指明的是,開放源代碼軟體通常是有版權的,它們大都使用GPL許可進行保護,因此基於這些軟體進行的任何改動,還應該遵循其許可要求,將改動的源代碼對外公開。由於筆者接觸自由軟體時間不長,本文的錯誤、疏漏在所難免,在此希望與自由軟體的愛好者與使用者進行交流。





[火星人 ] 電子郵件系統的安全問題已經有413次圍觀

http://coctec.com/docs/security/show-post-73077.html