網(wǎng)絡(luò)安全培訓(xùn)教程--電子郵件安全篇.ppt

網(wǎng)絡(luò)安全培訓(xùn)教程電子郵件安全篇張博博士生 研究生會(huì)主席西工大網(wǎng)絡(luò)信息安全中心西工大計(jì)算機(jī)學(xué)院多媒體與網(wǎng)絡(luò)安全研究室 1 什么是電子郵件 電子郵件是Internet上應(yīng)用最廣同時(shí)也是最基本的服務(wù)之一 只要能夠連接到因特網(wǎng) 擁有一個(gè)E mail賬號(hào) 就可以通過電子郵件系統(tǒng) 用非常低廉的價(jià)格 非常快的速度 與世界上任何一個(gè)角落的網(wǎng)絡(luò)用戶聯(lián)絡(luò) 2 電子郵件系統(tǒng)的組成E mail服務(wù)是一種客戶機(jī) 服務(wù)器模式的應(yīng)用 一個(gè)電子郵件系統(tǒng)主要有以下兩部分組成 1 客戶機(jī)軟件UA UserAgent 用來處理郵件 如郵件的編寫 閱讀和管理 刪除 排序等 2 服務(wù)器軟件TA TransferAgent 用來傳遞郵件 3 電子郵件的工作原理電子郵件不是一種 終端到終端 的服務(wù) 而是被稱為 存儲(chǔ)轉(zhuǎn)發(fā)式 服務(wù) 一 電子郵件系統(tǒng)原理 1 什么是郵件網(wǎng)關(guān)郵件網(wǎng)關(guān)指在兩個(gè)不同郵件系統(tǒng)之間傳遞郵件的計(jì)算機(jī) 它能夠計(jì)算出消息中哪些是重要信息 如主題 發(fā)送者 接收者 并把它們翻譯成其它系統(tǒng)所需的格式 也可以說郵件網(wǎng)關(guān)負(fù)責(zé)內(nèi)部與外部郵件系統(tǒng)的溝通 外部發(fā)送到本企業(yè)的郵件 通過Internet網(wǎng)站上的MailServer先行保存著 郵件網(wǎng)關(guān)可以定時(shí)將這些郵件收下來 分發(fā)給郵件的接收者 同時(shí) 將發(fā)送到企業(yè)外部的郵件通過Internet傳送出去 二 郵件網(wǎng)關(guān) 1 預(yù)防功能 2 監(jiān)控功能 3 跟蹤功能 4 賬務(wù)管理 5 分類統(tǒng)計(jì)表 6 郵件備份 2 郵件網(wǎng)關(guān)的主要功能 根據(jù)郵件網(wǎng)關(guān)的用途可將其分成普通郵件網(wǎng)關(guān) 郵件過濾網(wǎng)關(guān)和反垃圾郵件網(wǎng)關(guān) 普通郵件網(wǎng)關(guān) 即具有一般郵件網(wǎng)關(guān)的功能 郵件過濾網(wǎng)關(guān) 郵件過濾網(wǎng)關(guān)是一個(gè)集中檢測(cè)帶毒郵件的獨(dú)立硬件系統(tǒng) 與用戶的郵件系統(tǒng)類型無關(guān) 并支持SMTP認(rèn)證 反垃圾郵件網(wǎng)關(guān) 反垃圾郵件網(wǎng)關(guān)是基于服務(wù)器的郵件過濾和傳輸系統(tǒng) 可以幫助企業(yè)有效管理郵件系統(tǒng) 防止未授權(quán)的郵件進(jìn)入或發(fā)出 同時(shí)被用于阻擋垃圾郵件 禁止郵件轉(zhuǎn)發(fā)和防止電子郵件炸彈 它通過消除不需要的郵件 有效降低網(wǎng)絡(luò)資源的浪費(fèi) 3 郵件網(wǎng)關(guān)的應(yīng)用 SMTP協(xié)議SMTP SimpleMailTransferProtocol 即簡單郵件傳輸協(xié)議 它是一組用于由源地址到目的地址傳送郵件的規(guī)則 用來控制信件的中轉(zhuǎn)方式 SMTP協(xié)議屬于TCP IP協(xié)議族的應(yīng)用層協(xié)議 它幫助每臺(tái)計(jì)算機(jī)在發(fā)送或中轉(zhuǎn)信件時(shí)找到下一個(gè)目的地 通過SMTP協(xié)議所指定的服務(wù)器 我們就可以把E mail寄到收信人的服務(wù)器上 SMTP服務(wù)器則是遵循SMTP協(xié)議的發(fā)送郵件服務(wù)器 用來發(fā)送或中轉(zhuǎn)電子郵件 三 SMTP與POP3協(xié)議 POP協(xié)議是郵局協(xié)議 PostOfficeProtocol 的縮寫 是一種允許用戶從郵件服務(wù)器收發(fā)郵件的協(xié)議 POP3 PostOfficeProtocol3 即郵局協(xié)議的第3個(gè)版本 它規(guī)定怎樣將個(gè)人計(jì)算機(jī)連接到Internet的郵件服務(wù)器和下載電子郵件的電子協(xié)議 是因特網(wǎng)電子郵件的第一個(gè)離線協(xié)議標(biāo)準(zhǔn) POP3允許用戶從服務(wù)器上把郵件存儲(chǔ)到本地主機(jī) 同時(shí)刪除保存在郵件服務(wù)器上的郵件 POP3服務(wù)器則是遵循POP3協(xié)議的接收郵件服務(wù)器 用來接收電子郵件的 與SMTP協(xié)議相結(jié)合 POP3是目前最常用的電子郵件服務(wù)協(xié)議 POP協(xié)議 1匿名轉(zhuǎn)發(fā)沒有發(fā)件人信息的郵件就是這里所說的匿名郵件 郵件的發(fā)件人刻意隱瞞自己的電子郵箱地址和其他信息 或者通過某些方法給你一些錯(cuò)誤的發(fā)件人信息 現(xiàn)在Internet上有大量的匿名轉(zhuǎn)發(fā)郵件系統(tǒng) 發(fā)送者首先將郵件發(fā)送給匿名轉(zhuǎn)發(fā)系統(tǒng) 并告訴這個(gè)郵件希望發(fā)送給誰 匿名轉(zhuǎn)發(fā)郵件系統(tǒng)將刪去所有的返回地址信息 再把郵件轉(zhuǎn)發(fā)給真正的收件者 并將自己的地址作為發(fā)信人地址顯示在郵件的信息表頭中 四 電子郵件系統(tǒng)安全問題 電子郵件 欺騙 是在電子郵件中改變名字 使之看起來是從某地或某人發(fā)來的行為 例如 攻擊者佯稱自己為系統(tǒng)管理員 郵件地址和系統(tǒng)管理員完全相同 給用戶發(fā)送郵件要求用戶修改口令 口令可能為指定字符串 或在貌似正常的附件中加載病毒或其他木馬程序 這類欺騙只要用戶提高警惕 一般危害性不是太大 2電子郵件欺騙 欺騙 對(duì)于使用多于一個(gè)電子郵件賬戶的人來說 是合法且有用的工具 例如你有一個(gè)賬戶yourname 但是你希望所有的郵件都回復(fù)到y(tǒng)ourname 你可以做一點(diǎn)小小的 欺騙 使所有從郵件賬戶發(fā)出的電子郵件看起來好像從你的賬戶發(fā)出 如果有人回復(fù)你的電子郵件 回信將被送到y(tǒng)ourname 要改變電子郵件身份 到電子郵件客戶軟件的郵件屬性欄中 或者Web頁郵件賬戶頁面上尋找 身份 一欄 通常選擇 回復(fù)地址 回復(fù)地址的默認(rèn)值正常來說 就是你的電子郵件地址和你的名字 但在此 你可以任意更改 1 相似的電子郵件地址攻擊者找到一個(gè)公司的老板或者高級(jí)管理人員的名字 有了這個(gè)名字后 攻擊者注冊(cè)一個(gè)看上去像高級(jí)管理人員名字的郵件地址 他只需簡單的進(jìn)入hotmail等網(wǎng)站或者提供免費(fèi)郵件的公司 簽署這樣一個(gè)賬號(hào) 然后在電子郵件的別名字段填入管理者的名字 我們知道 別名字段是顯示在用戶的郵件客戶的發(fā)件人字段中 因?yàn)猷]件地址似乎是正確的 所以郵件接收人很可能會(huì)回復(fù)它 這樣攻擊者就會(huì)得到想要的信息 2 修改郵件客戶當(dāng)用戶發(fā)出一封電子郵件時(shí) 沒有對(duì)發(fā)件人地址進(jìn)行驗(yàn)證或者確認(rèn) 因此如果攻擊者有一個(gè)像outlook的郵件客戶 他能夠進(jìn)入并且指定出現(xiàn)在發(fā)件人地址欄中的地址 攻擊者能夠指定他想要的任何返回地址 因此當(dāng)用戶回信時(shí) 答復(fù)回到真實(shí)的地址 而不是到被盜用了地址的人那里 3 遠(yuǎn)程聯(lián)系 登錄到端口25因?yàn)猷]件服務(wù)器使用端口25發(fā)送信息 所以沒有理由說明攻擊者不會(huì)連接到25 裝作是一臺(tái)郵件服務(wù)器 然后寫一個(gè)信息 有時(shí)攻擊者會(huì)使用端口掃描來判斷哪個(gè)25端口是開放的 以此找到郵件服務(wù)器的IP地址 執(zhí)行電子郵件欺騙常用的三種基本方法 電子郵件炸彈 E MailBomb 是一種讓人厭煩的攻擊 它是黑客常用的攻擊手段 傳統(tǒng)的郵件炸彈大多只是簡單的向郵箱內(nèi)扔去大量的垃圾郵件 從而充滿郵箱 大量的占用了系統(tǒng)的可用空間和資源 使機(jī)器暫時(shí)無法正常工作 過多的郵件垃圾往往會(huì)加劇網(wǎng)絡(luò)的負(fù)載力和消耗大量的空間資源來儲(chǔ)存它們 還將導(dǎo)致系統(tǒng)的log文件變得很大 甚至有可能溢出文件系統(tǒng) 這樣會(huì)給Unix Windows等系統(tǒng)帶來危險(xiǎn) 除了系統(tǒng)有崩潰的可能之外 大量的垃圾信件還會(huì)占用大量的CPU時(shí)間和網(wǎng)絡(luò)帶寬 造成正常用戶的訪問速度成了問題 例如 同時(shí)間內(nèi)有近百人同時(shí)向某國的大型軍事站點(diǎn)發(fā)去大量的垃圾信件的話 那么這樣很有可能會(huì)使這個(gè)站的郵件服務(wù)器崩潰 甚至造成整個(gè)網(wǎng)絡(luò)中斷 3E mail炸彈 從目前來說 電子郵件采用的協(xié)議確實(shí)十分不妥 在技術(shù)上也是沒有任何辦法防止攻擊者給你發(fā)送大量的電子郵件炸彈 只要你的郵箱允許別人給你發(fā)郵件 攻擊者即可做簡單重復(fù)的循環(huán)發(fā)送郵件程序把你的郵箱灌滿 由于不能直接阻止電子郵件炸彈 我們?cè)谑盏诫娮余]件炸彈攻擊后 只能做一件事 即在不影響信箱內(nèi)正常郵件的前提下 把這些大量的垃圾電子迅速清除掉 接下來我們介紹一些解救方法 1 向ISP求助打電話向ISP服務(wù)商求助 技術(shù)支持是ISP的服務(wù)之一 他們會(huì)幫用戶清除電子郵件炸彈 2 用軟件清除用一些郵件工具軟件如PoP It等清除 這些軟件可以登錄郵件服務(wù)器 選擇要?jiǎng)h除哪些E mail 又要保留哪些 3 借用Outlook的阻止發(fā)件人功能 1 如果已經(jīng)設(shè)置了用Outlook接受信件 先選中要?jiǎng)h除的垃圾郵件 2 點(diǎn)擊郵件標(biāo)簽 3 在郵件標(biāo)簽下有一 阻止發(fā)件人 選項(xiàng) 點(diǎn)擊該項(xiàng) 程序會(huì)自動(dòng)阻止并刪除要拒收的郵件 4 用郵件程序的email notify功能來過濾信件email notify不會(huì)把信件直接從主機(jī)上下載下來 只會(huì)把所有信件的頭部信息 headers 送過來 它包含了信件的發(fā)送者 信件的主題等信息 用view功能檢查頭部信息 看到有來歷可疑的信件 可直接下指令把它從主機(jī)Server端直接刪除掉 萬一誤用一般的郵件程序抓到mailbomb 看到在沒完沒了的下載的時(shí)候 強(qiáng)迫關(guān)閉程序 重新運(yùn)行程序 連回Server 用email notify把它刪除掉 5 自動(dòng)轉(zhuǎn)信假如用戶擁有幾個(gè)Email地址 其中一個(gè)存儲(chǔ)空間很大 至少10M 那么 就有了如下的辦法 在其它幾個(gè)較小的Email目錄中都新建一個(gè) forward文件 Unix系統(tǒng) 把存儲(chǔ)空間最大的那個(gè)Email地址填寫如下所示 bigmailaddress xxxx xxxx xxxx xxxx 這樣你所有的信件都會(huì)自動(dòng)轉(zhuǎn)寄到那個(gè)大信箱 有用的信件也就不那么容易被 炸毀 了 另外 用戶還申請(qǐng)一個(gè)轉(zhuǎn)信信箱 因?yàn)橹挥兴遣慌抡ǖ?根本不會(huì)影響到轉(zhuǎn)信的目標(biāo)信箱 其次 在使用的E mail程序中設(shè)置限制郵件的大小和垃圾文件的項(xiàng)目 如果發(fā)現(xiàn)有很大的信件在服務(wù)器上 可用一些登錄服務(wù)器的程序 如BECKY 直接刪除 電子郵件在傳輸中使用的是SMTP協(xié)議 它不提供加密服務(wù) 攻擊者可在郵件傳輸中截獲數(shù)據(jù) 其中的文本格式 非文本格式的二進(jìn)制數(shù)據(jù) 如 exe文件 都可輕松地還原 經(jīng)常收到的好像是好友發(fā)來的郵件 可能是一封冒充的 帶著病毒或其他欺騙性的郵件 還有 電子郵件誤發(fā)給陌生人或不希望發(fā)給的人 也是電子郵件的不加密性客觀帶來的信息泄露 安全電子郵件能解決郵件的加密傳輸問題 驗(yàn)證發(fā)送者的身份問題 錯(cuò)發(fā)用戶的收件無效問題 保證電子郵件的安全常用到兩種端到端的安全技術(shù) PGP PrettyGoodPrivacy 和S MIME SecureMulti PartIntermailMailExtension 它們的主要功能就是身份的認(rèn)證和傳輸數(shù)據(jù)的加密 另外還有MOSS PEM等都是電子郵件的安全傳輸標(biāo)準(zhǔn) 四 電子郵件安全協(xié)議 1 1PGP簡介PGP是一個(gè)基于公開密鑰加密算法的應(yīng)用程序 該程序創(chuàng)造性在于把RSA公鑰體系的方便和傳統(tǒng)加密體系的高速度結(jié)合起來 并在數(shù)字簽名和密鑰認(rèn)證管理機(jī)制上有巧妙的設(shè)計(jì) 在此之后 PGP成為自由軟件 經(jīng)過許多人的修改和完善逐漸成熟 PGP相對(duì)于其他郵件安全系統(tǒng)有以下幾個(gè)特點(diǎn) 1 加密速度快 2 可移植性出色 可以在DOS Mac OS OS 2和UNIX等操作系統(tǒng)和Inter80 x86 VAX MC68020等多種硬件體系下成功運(yùn)行 3 源代碼是免費(fèi)的 可以削減系統(tǒng)預(yù)算 用戶可以使用PGP在不安全的通信鏈路上創(chuàng)建安全的消息和通信 PGP協(xié)議已經(jīng)成為公鑰加密技術(shù)和全球范圍消息安全性的事實(shí)標(biāo)準(zhǔn) 因?yàn)樗腥硕寄芸吹剿脑创a 使系統(tǒng)安全故障和安全性漏洞的更容易發(fā)現(xiàn)和修正 1PGP 1 2PGP加密算法PGP加密算法是Internet上最廣泛的一種基于公開密鑰的混合加密算法 它的產(chǎn)生與其他加密算法是分不開的 以往的加密算法各有自己的長處 也存在一定的缺點(diǎn) PGP加密算法綜合了他們的長處 避免了一些弊端 在安全和性能上都有了長足的進(jìn)步 PGP加密算法包括四個(gè)方面 1 一個(gè)單鑰加密算法 IDEA IDEA InternationalDataEncryptionAlgorithm 國際數(shù)據(jù)加密算法 是PGP加密文件時(shí)使用的算法 發(fā)送者需要傳送消息時(shí) 使用該算法加密獲得密文 而加密使用的密鑰將由隨機(jī)數(shù)產(chǎn)生器產(chǎn)生 2 一個(gè)公鑰加密算法 RSA 公鑰加密算法用于生成用戶的私人密鑰和公開密鑰 加密 簽名文件 3 一個(gè)單向散列算法 MD5 為了提高消息發(fā)送的機(jī)密性 在PGP中 MD5用于單向變換用戶口令和對(duì)信息簽名 以保證信件內(nèi)容無法被修改 4 一個(gè)隨機(jī)數(shù)產(chǎn)生器 PGP使用兩個(gè)偽隨機(jī)數(shù)發(fā)生器 一個(gè)是ANSIX9 17發(fā)生器 另一個(gè)是從用戶擊鍵的時(shí)間和序列中計(jì)算熵值從而引入隨機(jī)性 主要用于產(chǎn)生對(duì)稱加加密算法中的密鑰 MIME MultipurposeInternetMailExtensions 多用途因特網(wǎng)郵件擴(kuò)展 是一種因特網(wǎng)郵件標(biāo)準(zhǔn)化的格式 它允許以標(biāo)準(zhǔn)化的格式在電子郵件消息中包含增強(qiáng)文本 音頻 圖形 視頻和類似的信息 然而 MIME不提供任何安全性元素 S MIME則添加了這些元素 S MIME Secure MIME 安全的多用途Internet電子郵件擴(kuò)充 是由RSA公司于1995年提出的電子郵件安全協(xié)議 與較為傳統(tǒng)的PEM不同 由于其內(nèi)部采用了MIME的消息格式 因此不僅能發(fā)送文本 還可以攜帶各種附加文檔 如包含國際字符集 HTML 音頻 語音郵件 圖像 多媒體等不同類型的數(shù)據(jù)內(nèi)容 目前大多數(shù)電子郵件產(chǎn)品都包含了對(duì)S MIME的內(nèi)部支持 S MIME同PGP一樣 利用單向散列算法和公鑰與單鑰的加密體系 但是S MIME也有兩方面與PGP不同 一是S MIME的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu) 所有下一級(jí)的組織和個(gè)人的證書由上一級(jí)的組織負(fù)責(zé)認(rèn)證 而最上一級(jí)的組織 根證書 之間相互認(rèn)證 二是S MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送 2S MIME MOSS MIME對(duì)象安全服務(wù) 是將PEM和MIME兩者的特性進(jìn)行了結(jié)合 MOSS對(duì)算法沒有特別的要求 它可以使用許多不同的算法 該標(biāo)準(zhǔn)沒有推薦特定的算法 MOSS是專門設(shè)計(jì)用來保密一條信息的全部MIME結(jié)構(gòu)的 并沒有被廣泛的使用 3MOSS協(xié)議 PEM PrivacyEnhancedMail 私密性增強(qiáng)郵件 是由IRTF安全研究小組設(shè)計(jì)的郵件保密與增強(qiáng)規(guī)范 它的實(shí)現(xiàn)基于PKI公鑰基礎(chǔ)結(jié)構(gòu)并遵循X 509認(rèn)證協(xié)議 PEM提供了數(shù)據(jù)加密 鑒別 消息完整性及秘鑰管理等功能 目前基于PEM的具體實(shí)現(xiàn)有TIS PEM RIPEM MSP等多種軟件模型 PEM是增強(qiáng)Internet電子郵件隱秘性的標(biāo)準(zhǔn)草案 在Internet電子郵件的標(biāo)準(zhǔn)格式 參見RFC822 上增加了加密 鑒別和密鑰管理的功能 允許使用公開密鑰和對(duì)稱密鑰的加密方式 并能夠支持多種加密工具 對(duì)于每個(gè)電子郵件報(bào)文可以在報(bào)文頭中規(guī)定特定的加密算法 數(shù)字鑒別算法 散列功能等安全措施 但它是通過Internet傳輸安全性商務(wù)郵件的非正式標(biāo)準(zhǔn) 有可能被S MIME和PEM MIME規(guī)范所取代 4PEM協(xié)議 5 1OutlookExpress中的安全措施OutlookExpress包含一些工具 有助于防止欺騙行為 增強(qiáng)電子郵件的非公開性并防止對(duì)計(jì)算機(jī)進(jìn)行未授權(quán)的訪問 這些工具通過安全區(qū)域使您能夠更安全地發(fā)送和接收郵件并控制可能攜帶有害內(nèi)容的電子郵件 1 安全區(qū)域 安全區(qū)域?yàn)槟挠?jì)算機(jī)和隱私提供了高級(jí)保護(hù)功能 但它不會(huì)用重復(fù)的警告來打擾您 2 數(shù)字標(biāo)識(shí) 數(shù)字標(biāo)識(shí) 也叫證書 提供了一種在Internet上