第8章 电子邮件安全

第八章,电子邮件安全,8.1电子邮件系统原理,电子邮件系统的组成客户机/服务器工作模式，有以下两部分组成：客户机软件UA（UserAgent）用来编写、收发邮件，如OUTLOOK、FOXMAIL；服务器软件TA（TransferAgent）用来传递邮件，如EXCHANGE、IMAIL。电子邮件的工作原理电子邮件不是一种“终端到终端”的服务，而是被称为“存储转发式”服务,8.2邮件网关,什么是邮件网关邮件网关指在两个不同邮件系统之间传递邮件的计算机。它能够计算出消息中哪些是重要信息，如主题、发送者、接收者，并把它们翻译成其它系统所需的格式。,用户,文件系统,IntelWinimail,Sparc/unix/zmailer,文件系统,邮件请求,smtp,邮件网关,邮件网关,邮件网关负责内部与外部邮件系统的沟通外部发送到本企业的邮件，通过Internet上的邮件服务器先行保存着，邮件网关可以定时将这些邮件收下来，分发给邮件的接收者，同时，将发送到企业外部的邮件通过Internet传送出去。,2邮件网关的主要功能,预防功能:防止邮件泄密监控功能：快速识别无规则邮件（垃圾）跟踪功能：可以按接收者、发送者、标题、附件、日期搜索邮件。账务管理：可以根据部门或需要分级。分类统计表：统计使用行为邮件备份：按照日期、文件备份。,3邮件网关的应用,根据邮件网关的用途可将其分成:普通邮件网关即具有一般邮件网关的功能。邮件过滤网关邮件过滤网关是一个集中检测带毒邮件的独立硬件系统，与用户的邮件系统类型无关，并支持SMTP认证。,反垃圾邮件网关,反垃圾邮件网关反垃圾邮件网关是基于服务器的邮件过滤和传输系统可以帮助企业有效管理邮件系统，防止未授权的邮件进入或发出可用于阻挡垃圾邮件、禁止邮件转发和防止电子邮件炸弹。它通过消除不需要的邮件，有效降低网络资源的浪费。,8.1.3SMTP与POP3协议,SMTP协议SMTP（SimpleMailTransferProtocol）简单邮件传输协议，它是一组用于由源地址到目的地址传送邮件的规则，用来控制信件的中转方式。,SMTP协议,SMTP协议属于TCPIP协议族的应用层协议，它帮助每台计算机在发送或中转信件时找到下一个目的地。通过SMTP协议所指定的服务器，我们就可以把Email寄到收信人的服务器上。SMTP服务器则是遵循SMTP协议的发送邮件服务器，用来发送或中转电子邮件。,POP协议,POP协议是邮局协议一种允许用户从邮件服务器收发邮件的协议POP3（PostOfficeProtocol3）规定怎样将个人计算机连接到Internet的邮件服务器和下载电子邮件的电子协议，是因特网电子邮件的第一个离线协议标准,POP协议,POP3服务器则是遵循POP3协议的接收邮件服务器，用来接收电子邮件的。与SMTP协议发送邮件相结合，POP3是目前最常用的电子邮件服务协议。,8.2电子邮件系统安全问题,8.2.1匿名转发匿名邮件没有发件人信息的邮件。邮件的发件人刻意隐瞒自己的电子邮箱地址和其他信息，或者通过某些方法给你一些错误的发件人信息。,匿名邮件,实现方法发件人栏输入假的或错误地址，或不输入任何信息通过“匿名转发邮件系统”匿名转发邮件系统发送者将邮件发送给匿名转发系统，并告诉这个邮件希望发送给谁；匿名转发邮件系统将删去所有的返回地址信息，再把邮件转发给真正的收件者，并将自己的地址作为发信人地址显示在邮件的信息表头中。,8.2.2电子邮件欺骗,电子邮件“欺骗”是在电子邮件中改变名字，使之看起来是从某地或某人发来的行为。电子邮件“欺骗”的表现形式假冒某个邮箱行骗改变电子邮件的回复地址,电子邮件欺骗,电子邮件欺骗常用的三种基本方法相似的电子邮件地址；修改邮件客户,修改发件人的地址；远程联系，登录到端口25。,8.2.3E-mail炸弹,电子邮件炸弹（EMailBomb）传统的邮件炸弹大多只是简单的向邮箱内扔去大量的垃圾邮件，从而充满邮箱大量的占用了系统的可用空间和资源，使机器暂时无法正常工作占用大量的CPU时间和网络带宽,E-mail炸弹,解救方法向ISP求助用软件清除（pop-it)借用Outlook的阻止发件人功能用邮件程序的email-notify功能来过滤信件自动转信到大容量的邮箱,8.3电子邮件安全协议,SMTP协议不提供加密服务攻击者可在邮件传输中截获数据二进制数据可轻松地还原安全电子邮件对电子邮件加密、签名保证安全。,电子邮件安全协议,为保证电子邮件的安全，常用到两种端到端的安全技术：PGPS/MIME主要功能是身份的认证和传输数据的加密。MOSS、PEM等也是电子邮件的安全传输标准。,8.3.1PGP,PGP是一个基于公开密钥加密算法的应用程序。把RSA公钥体系的方便和对称加密体系的高速度结合起来，并在数字签名和密钥认证管理机制上进行了巧妙的设计。,PGP,特点加密速度快可移植性出色源代码是免费的，可以削减系统预算。PGP可以在不安全的通信链路上，创建安全的消息和通信。PGP协议已经成为公钥加密技术和全球消息安全性的事实标准。,PGP加密算法,PGP加密算法包括四个方面：（1）一个对称加密算法（IDEA）加密真正的通信信息IDEA（国际数据加密算法）是PGP加密文件时使用的算法。发送者需要传送消息时，使用该算法加密获得密文，而加密使用的密钥将由随机数产生器产生。,PGP加密算法,（2）一个随机数产生器产生对称加密算法中的密钥PGP使用两个伪随机数发生器：ANSIX9.17发生器从用户击键的时间和序列中计算熵值从而引入随机性,PGP加密算法,（3）一个公钥加密算法（RSA）生成对密钥加/解密的一对密钥和签名文件公钥加密算法用于生成用户的私人密钥和公开密钥、加密/签名文件。保证秘密性（4）一个单向散列算法（MD5）加解密密钥和数字签名为了提高消息发送的机密性，在PGP中，MD5用于单向变换用户口令和对信息签名，以保证信件内容无法被修改。保证完整性,PGP的使用,PGP的使用1、安装在使用PGP前需要让程序给生成一个新的密钥对。2、创建密钥3、导出和使用公钥4、加密文件PGP还提供了方便的文件加密和解密功能，打开Windows的资源管理器，在选中的文件或文件夹的右健快捷菜单中就有“PGP”项目，可以直接进行文件的加密和解密。,NEXT,一、申请钥匙对pgpkeys,申请钥匙对-向导,申请钥匙对-向导-填入邮件地址,申请钥匙向导-填入保护密钥的密码,申请钥匙向导-生成密钥对,申请钥匙向导-生成密钥对,新生成的密钥对在PGPKEYS中,Serversendto上载公钥,上载公钥成功,Serversearch搜索别人的公钥,Serversearch搜索别人的公钥,Serversearch搜索别人的公钥,二、加密和签名邮件,加密后的邮件,-BEGINPGPMESSAGE-Version:PGP8.1-notlicensedforcommercialuse:qANQR1DBwU4DptKtse9FfFgQB/9GxSuqnnoEqm39WlRsvVbITbV0O0bwZzkSoklPVX6aEEdLEciLR7d1eiaoCdPxIJeCMY2mwHUnHSrv2sFm1ZKvLyxEgSy2LqUuzmK18Jglmg1/6G3QrD2wbkNC1lzNpZ5rftDeLJGNMXf9dmYM0Q2gH+SyFov9vwHlKf5CRx4/NuH4QHK238o5BNWc6iefh8ohq0M9hP8RldDJU9xZrboUgKgj94v0i/5KokLYQTbp7oXdFVeTZqbD5fAYFx/wM/4kLy0Je8UTTzXvxZpdM/TN3RUzHdPHHGDGJAHATOU/r5/id0f1zqsmG7F4tH1f3jOz2dfEp8G5B9sAo1BciJ40CACNVYD7LvWDZzdA5Cox52lpLQf8EjRE41Tv/QZ+eV0u97A1vgZ2/QfO9FeRhrSSLxkVspLOTf8cW5udqh3XBVj1UQgXyChZ3GJT6vTzA1Yxft7p5nmzpjBZ92i1QYzuSPXAetZN0 xFkntaIvG1wZCyjJBfS3g2MeHcnNXaO3zuyUjqGpp/iIKLRG/IfdrA3Z894R5ukkHM5SRIdvzuphgEiCL80y8MOcw2ahdztUpzjwlI/BAbc1muWacUEKjg9hbsWZ2l6Qq2ynW2vmSxzQRoGzqjsgpY9VZUTZFhoGYU0OAfAuVnJ5oi4Y0vm8pARF7vSmTiJ0K4NuE1bS1loSjSC0okB/ETgIWUEzbx/PMk91KqHdwQN9NnchX6rnF5FcUOOx8sZG/vChDOnXFrQFNuTuJ145Kx5bDY+wvKspbt39+klyobX4qRm7FUGhrczDaRuY251twN8zjZ/SrpynlLWW2RtsKgOuXDZdrseO4QOUYivScI2Nyyi8TEVvr7pLM0Iv0FVLTbPduSg=BUmY-ENDPGPMESSAGE-,加密后的邮件,解密邮件-选择解密密钥,解密后的邮件,8.3.2S/MIME,MIME（多用途因特网邮件扩展）一种因特网邮件标准化的格式它允许以标准化的格式在电子邮件消息中包含增强文本、音频、图形、视频和类似的信息MIME不提供任何安全性元素S/MIME则添加了这些元素,S/MIME,S/MIME安全的多用途Internet电子邮件扩充协议，由RSA公司于1995年提出。内部采用了MIME的消息格式，不仅能发送文本，还可以携带各种附加文档，如语音邮件、音频、图像、多媒体等不同类型的数据内容可以对邮件认证、加密、签名,8.4通过OutlookExpress发送安全电子邮件,8.4.1OutlookExpress中的安全措施包含一些工具，有助于防止欺骗行为、增强电子邮件的非公开性并防止对计算机进行未授权的访问。1安全区域:安全区域为您的计算机和隐私提供了高级保护功能，但它不会用重复的警告来打扰您。2数字标识:数字标识（也叫证书）提供了一种在Internet上验证身份的方式，它允许给电子邮件签名，这样收件人可确保该邮件确实是由您发来的并且没有受损。另外，数字标识还允许其他人给您发送加密邮件。,数字标识可以通过以下几个步骤来获得,在OutlookExpress中，单击“工具”菜单中的“账号”在弹出的Internet账号对话框中选取“邮件”选项卡中用于发送安全邮件的邮件账号，然后单击“属性”选取“安全”选项卡中的“从以下地点发送安全邮件”时使用“数字标识”复选框，然后单击“数字标识”按健选择与该账号有关的数字证书点击“确定”，设置完毕,数字签名,3数字签名:在发送签名邮件之前必须先完成“在OutlookExpress中设置您的数字证书”使电子邮件账号对应相应的数字证书。1）单击“新邮件”按钮，撰写新邮件。2）选取“工具”菜单中的“数字签名”。在信的右上角将会出现一个签名的标记3）编辑好邮件内容后点击“发送”。发送数字签名邮件即