电子邮件系统安全技术.ppt

电子邮件系统安全,主讲人：许春,中国信息安全认证中心 四川省计算机信息系统集成行业协会,主 要 内 容,常见电子邮件系统安全问题 PGP和S/MIME 垃圾邮件及过滤技术 反垃圾邮件系统及产品的选择 反垃圾邮件立法和服务,中国信息安全认证中心 四川省计算机信息系统集成行业协会,电子邮件发送过程,邮件用户代理（MUA）： 邮件传输代理（MTA）： 邮件投递代理（MDA）：,中国信息安全认证中心 四川省计算机信息系统集成行业协会,电子邮件系统的安全缺陷,模拟SMTP发邮件的过程,收到的邮件原始信息,中国信息安全认证中心 四川省计算机信息系统集成行业协会,常见安全问题,恶意攻击 垃圾邮件 政治邮件 邮件病毒 邮件泄密,中国信息安全认证中心 四川省计算机信息系统集成行业协会,案 例,使用BASE64编码解码器获取邮件内容,中国信息安全认证中心 四川省计算机信息系统集成行业协会,电子邮件安全目标,邮件分发安全 邮件传输安全 邮件用户安全 邮件系统主机安全,中国信息安全认证中心 四川省计算机信息系统集成行业协会,主 要 内 容,常见电子邮件系统安全问题 PGP和S/MIME 垃圾邮件及过滤技术 反垃圾邮件系统及产品的选择 反垃圾邮件立法和服务,中国信息安全认证中心 四川省计算机信息系统集成行业协会,PGP 和 S/MIME,PGP Pretty Good Privacy，良好的隐私 主要为个人email提供安全性 提供对电子邮件的机密性和身份认证服务 S/MIME Secure/Multipurpose Internet Mail Extension 安全/多用途Internet邮件扩展 商业和机构使用的工业标准 提供对电子邮件的机密性和身份认证服务,中国信息安全认证中心 四川省计算机信息系统集成行业协会,PGP,Philip R. Zimmerman 是 PGP的创造者 基于被认可的算法(加密算法) 提供机密性和身份鉴别服务，可用于电子邮件和文件存储应用中 不由政府和标准化组织控制和开发 /. 可获得不同平台的免费版本 与公司（Network Associates）约定，提供PGP商业版本,中国信息安全认证中心 四川省计算机信息系统集成行业协会,PGP 密钥管理,PGP使用四种类型的密钥： 一次性会话传统密钥 公钥 私钥 基于口令短语的传统密钥 PGP对密钥的需求 会话密钥： 公钥和私钥 私钥如何保存,中国信息安全认证中心 四川省计算机信息系统集成行业协会,PGP 信任机制,PGP没有包括建立认证权威机构或建立信任的任何规范，但提供了便捷的方式来使用信任、使用密钥来关联信任度、采用可信的信息等 公钥环的每个实体是一个公钥证书，相应的是密钥合法性(KeyLegit)字段表示PGP信任这个用户的该密钥的程度 签名信任(SigTrust)字段PGP用户信任公钥证书签名者的程度 所有者信任(OwnerTrust)字段每个实体将公钥与一特定拥有者相联系，这个字段指出该公钥签名其他公钥证书的信任程度,中国信息安全认证中心 四川省计算机信息系统集成行业协会,PGP软件,PGP下载：/download/,中国信息安全认证中心 四川省计算机信息系统集成行业协会,签名消息的例子,加密消息的例子,PGP软件,中国信息安全认证中心 四川省计算机信息系统集成行业协会,PGP证书管理软件 服务器软件: 集中管理PGP公钥证书 提供LDAP、HTTP服务 本地Keyring可以实时地连接到服务器，适合于企业使用,PGP证书管理软件,中国信息安全认证中心 四川省计算机信息系统集成行业协会,密钥管理,PGP用法(一),中国信息安全认证中心 四川省计算机信息系统集成行业协会,撰写邮件时，发送之前指定加密和签名,PGP用法(二),中国信息安全认证中心 四川省计算机信息系统集成行业协会,PGP用法(三),其他辅助功能 有关网络的功能 文件加解密、签名认证 当前窗口内容加解密、签名认证 剪贴板内容加解密、签名认证,中国信息安全认证中心 四川省计算机信息系统集成行业协会,PGP采用了RSA和传统加密的杂合算法可以用来加密文件 PGP创造性地把RSA公钥体系的方便和传统加密体系的高速度结合起来,并且在数字签名和密钥认证管理机制上有巧妙的设计。 PGP协议已经成为公钥加密技术和全球范围内消息安全性的事实标准。,总结：PGP,中国信息安全认证中心 四川省计算机信息系统集成行业协会,S/MIME,S/MIME（Secure/MIME）是由RSA公司于1995年提出的电子邮件安全协议，不仅能发送文本，还可以携带各种附加文档 S/MIME同PGP一样，利用单向散列算法和公钥与单钥的加密体系 但是S/MIME也有两方面与PGP不同 S/MIME的认证机制依赖于层次结构的证书认证机构，所有下一级的组织和个人的证书由上一级的组织负责认证，而最上一级的组织（根证书）之间相互认证 S/MIME将信件内容加密签名后作为特殊的附件传送,中国信息安全认证中心 四川省计算机信息系统集成行业协会,S/MIME,是对MIME电子邮件格式的安全扩展 基于密码学的诸多成果 与PKI的结合，使用X.509证书，以及PKCS标准 算法协商不可能在线进行，只能用一组规则保证尽可能地达到安全性 不严格的信任模型，由客户实现和用户来决定 S/MIME更象商用或组织使用的工业标准，PGP更面向个体用户选用,中国信息安全认证中心 四川省计算机信息系统集成行业协会,S/MIME,S/MIME提供签名和数据的加密服务 封装的数据: 签名的数据: 透明的签名数据: 签名和封装的数据:,中国信息安全认证中心 四川省计算机信息系统集成行业协会,S/MIME,S/MIME使用的算法 消息摘要: SHA-1和 MD5 数字签名: DSS，应当支持RSA 公钥算法: ELGamal（Diffie-Hellman ）,应当支持RSA 加密消息：3DES和RC2/40,中国信息安全认证中心 四川省计算机信息系统集成行业协会,S/MIME的证书处理,使用符合X.509标准的公开密钥证书 密钥管理方法是严格的X.509证明层次和PGP信任网络的混合 S/MIME可完成如下密钥管理功能 (1)密钥的生成：7681024位之间的密钥对 (2)注册 (3)证书的存储和查询,有许多提供CA的公司，VeriSign的CA服务使用最广泛,中国信息安全认证中心 四川省计算机信息系统集成行业协会,S/MIME邮件用法,公钥管理,中国信息安全认证中心 四川省计算机信息系统集成行业协会,S/MIME邮件用法,私钥管理,中国信息安全认证中心 四川省计算机信息系统集成行业协会,把帐号与私钥关联起来,S/MIME邮件用法,中国信息安全认证中心 四川省计算机信息系统集成行业协会,撰写邮件,S/MIME邮件用法,中国信息安全认证中心 四川省计算机信息系统集成行业协会,主 要 内 容,常见电子邮件系统安全问题 PGP和S/MIME 垃圾邮件及过滤技术 反垃圾邮件系统及产品的选择 反垃圾邮件立法和服务,中国信息安全认证中心 四川省计算机信息系统集成行业协会,什么是垃圾邮件?,根据2003年2月26日颁布的中国互联网协会反垃圾邮件规范和网民中的一些约定俗成的规定，所谓的“垃圾邮件”主要指的是具有下述属性的电子邮件： 收件人无法拒收的电子邮件； 收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等具有宣传性质的电子邮件； 含有病毒、色情、反动等不良信息或有害信息的邮件； 隐藏发件人身份、地址、标题等信息的电子邮件； 含有虚假的信息源、发件人、路由等信息的电子邮件。,中国信息安全认证中心 四川省计算机信息系统集成行业协会,垃圾邮件种类,中国信息安全认证中心 四川省计算机信息系统集成行业协会,垃圾邮件的危害,耗费网络资源 侵犯他人利益 严重影响ISP的服务形象 对现实社会造成危害,中国信息安全认证中心 四川省计算机信息系统集成行业协会,反垃圾邮件技术,（1）传统的反垃圾邮件技术 （2）反反垃圾邮件技术 （3）新型反垃圾邮件技术,中国信息安全认证中心 四川省计算机信息系统集成行业协会,（1）传统的反垃圾邮件技术,黑名单 白名单 关键字过滤 DNS反向查询技术 实时黑名单(RBL) 基于规则的过滤技术 贝叶斯过滤 分布协作的内容指纹分析 其它辅助技术,中国信息安全认证中心 四川省计算机信息系统集成行业协会,黑名单（Black List）,什么是“黑名单”？ 黑名单的建立 存在的问题,中国信息安全认证中心 四川省计算机信息系统集成行业协会,白名单（White List）,什么是“白名单”？ 白名单的两种使用方式 存在的问题,中国信息安全认证中心 四川省计算机信息系统集成行业协会,关键字过滤,什么是“关键字过滤”？ 存在的问题,中国信息安全认证中心 四川省计算机信息系统集成行业协会,DNS查询技术,DNS查询技术 收到电子邮件时对发送者的互联网域名进行查询，依此来验证发送者信息的真实性 反向DNS查询技术 收到电子邮件时对发送者的IP地址进行DNS反向查询，检验其对应的域名是否是其声称的域名 我国许多企业邮件系统缺少DNS反向记录，导致被列入国外知名RBL中, IN PTR yourdomain,中国信息安全认证中心 四川省计算机信息系统集成行业协会,实时黑名单(RBL),什么是“实时黑名单”？ 局限性 改进方案 DNSBL(DNS BlockList,DNS黑名单列表),中国信息安全认证中心 四川省计算机信息系统集成行业协会,贝叶斯过滤,什么是“贝叶斯过滤技术”？ 由Paul Graham于2002年8月提出，它和基于规则的过滤技术比较相似，但是贝叶斯过滤器不必预先设定规则。 理论基础 在已知的垃圾邮件中，一些单词出现的频率较高，而在非垃圾邮件中，另一些单词出现的频率较高 。 通过特定算法对大量垃圾邮件和非垃圾邮件进行分析计算，得到垃圾邮件和非垃圾邮件单词的贝叶斯概率模型。可以由此概率模型推算目标邮件是垃圾邮件的概率。,中国信息安全认证中心 四川省计算机信息系统集成行业协会,贝叶斯过滤,优点 克服了传统内容分析技术准确性第、误报率高的曲线 不需要预先搜集和编制关键词表 结合其它垃圾邮件分析技术，可以实现对样本的自动采集和学习 局限性 是一种基于内容的分析方法，对内容进行特殊处理后，可逃避贝叶斯技术的检查。如将关键的内容改成图片等,中国信息安全认证中心 四川省计算机信息系统集成行业协会,分布协作的内容指纹分析,指纹分析 从邮件中提取出可以代表内容的指纹数据（一般利用哈希函数算法或检查和的算法来产生指纹特征） 模糊指纹 不同的内容会产生不同的指纹。为防止垃圾邮件发送者利用小的变化，如大小写等，来躲避反垃圾邮件系统，使用模糊指纹，使相似内容的邮件产生相同的指纹 全球协作的内容指纹分析 用“指纹”代表邮件，全球的兼容用户提交邮件指纹，从服务器得到响应，以知道有多少封邮件在全球传播，以识别邮件是否是垃圾邮件,中国信息安全认证中心 四川省计算机信息系统集成行业协会,优缺点 在对付由蠕虫或病毒爆发造成的垃圾邮件时有非常好的效果 垃圾邮件流传的规模比较有限，或内容根据不同的发件人动态变化，这个技术也就无能为例了 要求邮件服务器的管理员和用户能够自觉提交垃圾邮件样本以进行分析，而国内用户往往没有这方面的习惯和意识，这个技术在国内作用有限,分布协作的内容指纹分析,中国信息安全认证中心 四川省计算机信息系统集成行业协会,（3）新型反垃圾邮件技术,归根结底，只有溯源，才能从根本上打击垃圾邮件 SenderID技术 DKIM 技术 FairUCE技术,中国信息安全认证中心 四川省计算机信息系统集成行业协会,SenderID技术,SenderID 2004年微软提出。最初得到了Cisco、Comcast、IBM、Cisco、Port25、Sendmail、Symantec、VeriSign 的支持，但最终未能成为标准 判断电子邮件的确切来源，降低垃圾邮件以及域名欺骗等行为发生的可能。 SenderID技术必须得到发送邮件方和接收邮件方的共同支持。 需要在邮件所在域名的DNS系统中添加SPF记录 需要授权许可,中国信息安全认证中心 四川省计算机信息系统集成行业协会,1,2,3,DNS服务器,SPF查询,发送者,内部邮件服务器,查询结果,认证成功,认证失败,4,从本质上来说，并不能鉴定一个邮件是否是垃圾邮件 注册廉价的域名 邮件服务器的漏洞,SenderID技术,接收者,Sender ID 架构,中国信息安全认证中心 四川省计算机信息系统集成行业协会,SPF(Sender Policy Framework ) 发信者策略架构 为了防范垃圾邮件而提出来的一种DNS记录类型，它是一种TXT类型的记录，它用于登记某个域名拥有的用来外发邮件的所有IP地址,21. IN TXT “v=spf1 ipv4:/24 . all“,SenderID技术,中国信息安全认证中心 四川省计算机信息系统集成行业协会,DKIM 技术,DKIM（DomainKeys Identified Mail） 邮件域名密钥验证 雅虎公司提出的一种源头认证技术。使用密码学的基础提供了签名与验证的功能 在2007年2月时，DKIM被列入互联网工程工作小组（IETF）的标准提案，并于同年5月成为正式标准 目前Sendmail、Qmail、MS Exchange、PowerMTA、acSMTP、XMLServer等均支持DKIM 雅虎公司发布了一个开放源代码的DKIM的参考实现 提供的服务 验证邮件发件人是否确属于他所声称的邮件域 保障邮件内容本身的完整性,中国信息安全认证中心 四川省计算机信息系统集成行业协会,DKIM 技术,拒绝来源于签名域的非签名邮件 接收方具有验证发件域的能力 使电子邮件具备可追查来源的能力,中国信息安全认证中心 四川省计算机信息系统集成行业协会,DKIM 技术,中国信息安全认证中心 四川省计算机信息系统集成行业协会,FairUCE技术,FairUCE（Fair use of Unsolicited Commercial Email） IBM于2005年提出，使用网络领域的内置身份管理工具，通过分析电子邮件域名，过滤并封锁垃圾邮件。 通过溯源找到垃圾邮件的发送源头，并将那些传递过来的垃圾邮件再转回给发送源头，以此来打击垃圾邮件发送者 原理 在电子邮件地址、电子邮件域和发送邮件的计算机之间建立起一种关系，以确定电子邮件的合法性 如果还不能确定关系，FairUCE会自动发送一个客户端的邮件来找到某种关系。 如果能够找到关系，FairUCE会检查该域名地址是否有不良记录、接受人是否将其定入“黑名单”，从而决定采取接受、拒绝或是怀疑等措施,中国信息安全认证中心 四川省计算机信息系统集成行业协会,利弊： 能够影响垃圾邮件发送源头的性能 可能打击到正常的服务器（比如被利用的），同时该功能又复制了大量垃圾流量,FairUCE技术,中国信息安全认证中心 四川省计算机信息系统集成行业协会,主 要 内 容,常见电子邮件系统安全问题 PGP和S/MIME 垃圾邮件及过滤技术 反垃圾邮件系统及产品的选择 反垃圾邮件立法和服务,中国信息安全认证中心 四川省计算机信息系统集成行业协会,Internet,发起Internet 访问请求,正常邮件,病毒邮件,垃圾邮件,邮件系统,反垃圾邮件网关系统,正常邮件,病毒邮件,垃圾邮件,反垃圾邮件系统,中国信息安全认证中心 四川省计算机信息系统集成行业协会,邮件安全防护系统,邮件服务器,四层安全防护,SMTP-IPS 入侵保护,行为模式识别 反垃圾邮件 引擎,病毒过滤 引擎,敏感邮件 内容过滤,反垃圾邮件系统,中国信息安全认证中心 四川省计算机信息系统集成行业协会,常见的反垃圾邮件产品,Open Source SpamAssassin 商业产品 美讯智Surfcontrol 敏讯EQManager 清华紫光 启明星辰天清防垃圾邮件系统 .,中国信息安全认证中心 四川省计算机信息系统集成行业协会,如何选择反垃圾邮件网关,高效稳定 反垃圾邮件网关布署于邮件服务器之前，为所有邮件进出的关口，其稳定性直接决定了邮件服务的稳定性。 同样，如果反垃圾邮件网关处理效率低下，造成邮件大量阻塞，直接影响邮件服务品质。 零通信风险 第一，反垃圾邮件网关必须具有尽可能低的误判率。 第二，在发生误判时，必须确保通信双方中至少一方及时知情。 第三，客户容易修正模型，以快速排除通讯阻碍，保证零通信风险。 高过滤率 反垃圾邮件网关的主要功用就是识别与过滤垃圾邮件。,中国信息安全认证中心 四川省计算机信息系统集成行业协会,如何选择反垃圾邮件网关,免维护设计 不需要人工频繁设定、修改与增添策略及规则模型。 尽可能少地变更网关设定与配置，确保网关稳定运行。 友好方便的管理监控 目视管理：充分展示网关的工作状态，如资源使用、队列状态、邮件进出情况等 易于配置：配置界面清晰友好。 多样化报表：方便快捷地了解网关的效果与功用。 快速、持久的服务支持 反垃圾邮件是一个长期持久的战役，需要厂家长期的服务与支持。,中国信息安全认证中心 四川省计算机信息系统集成行业协会,单台架构,集群架构,反垃圾邮件产品部署,单机支持多域,双机服务更安全、更稳定,负载均衡服务大并发、安全、稳定,中国信息安全认证中心 四川省计算机信息系统集成行业协会,反垃圾邮件产品部署,设置邮件的MX记录,. IN MX 5 .,. IN MX 10 .,. IN A 41 ;邮件服务器的IP地址,. IN A 42 ;邮件网关的IP地址,. IN A 43 ;邮件网关的IP地址,中国信息安全认证中心 四川省计算机信息系统集成行业协会,主 要 内 容,常见电子邮件系统安全问题 PGP和S/MIME 垃圾邮件及过滤技术 反垃圾邮件系统及产品的选择 反垃圾邮件立法和服务,中国信息安全认证中心 四川省计算机信息系统集成行业协会,反垃圾邮件立法和服务,互联网电子邮件服务管理办法 中国反垃圾邮件联盟 中国互联网协会反垃圾邮件中心,中国信息安全认证中心 四川省计算机信息系统集成行业协会,互联网电子邮件服务管理办法,中华人民共和国信息产业部，2006年3月30日起施行 任何组织或者个人不得有下列行为： 未经授权利用他人的计算机系统发送互联网电子邮件 采用在线自动收集、字母或者数字任意组合等手段获得的他人的互联网电子邮件地址用于出售、共享、交换或者向通过上述方式获得的电子邮件地址发送互联网电子邮件 故意隐匿或者伪造互联网电子邮件信封信息 未经互联网电子邮件接收者明