电子邮件的安全

mikema

　　随着网络的进一步发展，电子邮件已经成为人们联系沟通的重要手段，而电子邮件的安全问题也越来越得到使用者的重视。对此专业的电子邮件系统供应商及时提出了安全电子邮件的全面解决方案。
　　1、 端到端的安全电子邮件技术
　　端到端的安全电子邮件技术，保证邮件从被发出到被接收的整个过程中，内容保密，无法修改，并且不可否认（privacy，integrity，non－repudation）。目前的Internet上，有两套成型的端到端安全电子邮件标准：PGP和S/MIME。　　PGP是Pretty Good Privacy的简称，是一种长期一直在学术圈和技术圈内得到广泛使用的安全邮件标准。其特点是通过单向散列算法对邮件内容进行签名，以保证信件内容无法修改，使用公钥和私钥技术保证邮件内容保密且不可否认。发信人与收信人的公钥都分布在公开的地方，如FTP站点，而公钥本身的权威性（这把公钥是否代表发信人？）则可以由第三方、特别是收信人所熟悉或信任的第三方进行签名认证，没有统一的集中的机构进行公钥/私钥的签发。即在PGP系统中，信任是双方之间的直接关系，或是通过第三者、第四者的间接关系，但任意两方之间都是对等的，整个信任关系构成网状结构，这就是所谓的WEB of Trust。最近，基于PGP的模式又发展出了另一种类似的安全电子邮件标准，称为GPG，Gnu Privacy Guard。　　S/MIME是Secure Multi－Part Intermail Mail Extension的简称。它是从PEM （Privacy Enhanced Mail）和MIME(Internet邮件的附件标准）发展而来的。 同PGP一样，S/MIME也利用单向散列算法和公钥与私钥的加密体系。与PGP不同的主要有两点：首先，它的认证机制依赖于层次结构的证书认证机构，所有下一级的组织和个人的证书由上一级的组织负责认证，而最上一级的组织（根证书）之间相互认证，整个信任关系基本是树状的，这就是所谓的Tree of Trust。其次，S/MIME将信件内容加密签名后作为特殊的附件传送。S/MIME的证书格式也采用X.509，但与一般浏览器网上购物使用的SSL证书还有一定差异，支持的厂商相对少一些。在国外，Verisign免费向个人提供S/MIME电子邮件证书；在国内也有公司提供支持该标准的产品。而在客户端，Netscape Messenger和Microsoft Outlook都支持S/MIME。　
　　2、 传输层的安全电子邮件技术　　
　　传统的邮件包括信封和信本身；电子邮件则包括信头和信体。现存的端到端安全电子邮件技术一般只对信体进行加密和签名，而信头则由于邮件传输中寻址和路由的需要，必须保证原封不动。然而，一些应用环境下，可能会要求信头在传输过程中也能保密，这就需要传输层的技术作为后盾。目前主要有两种方式实现电子邮件在传输过程中的安全，一种是利用SSL SMTP和SSL POP，另一种是利用VPN或者其他的IP通道技术，将所有的TCP/IP传输封装起来，当然也就包括了电子邮件。　　SMTP，即Simle Mail Transfer Protocol，简单邮件传输协议，是发信的协议标准；POP，即Post Office Protocol，邮箱协议，是收信的协议。SSL SMTP和SSL POP即在SSL所建立的安全传输通道上运行SMTP和POP协议，同时又对这两种协议作了一定的扩展，以更好地支持加密的认证和传输。这种模式要求客户端的EMAIL软件和服务器端的EMAIL服务器都支持，而且都必须安装SSL证书。　　基于VPN和其他IP通道技术，封装所有的TCP/IP服务，也是实现安全电子邮件传输的一种方法。这种模式往往是整体网络安全机制的一部分。
　　3、 邮件服务器的安全与可靠性　
　　建立一个安全的电子邮件系统，采用合适的安全标准非常重要。但仅仅依赖安全标准是不够的，邮件服务器本身必须是安全、可靠、久经实战考验的。　　对邮件服务器本身的攻击由来已久。第一个通过Internet传播的病毒WORM，就利用了电子邮件服务器sendmail早期版本上的一个安全漏洞。目前对邮件服务器的攻击主要分网络入侵（Network Intrusion）和服务破坏（Denial of Service）两种。　　对于网络入侵的防范，主要依赖于软件编程时的严谨程度，一般选型时很难从外部衡量。不过，服务器软件是否经受过实战的考验，在历史上是否有良好的安全记录，在一定程度上还是有据可查的。　　
　　对于服务破坏的防范，则可以分成以下几个方面：
　　＊防止来自外部网络的攻击，包括拒绝来自指定地址和域名的邮件服务连接请求，拒绝收信人数量大于预定上限的的邮件，限制单个IP地址的连接数量，暂时搁置可疑的信件等；
　　＊ 防止来自内部网络的攻击，包括拒绝来自指定用户、IP地址和域名的邮件服务请求，强制实施SMTP认证，实现SSL POP和SSL SMTP以确认用户身份等；
　　＊ 防止中继攻击，包括完全关闭中继功能，按照发信和收信的IP地址和域名灵活地限制中继，按照收信人数限制中继等；
　　＊ 为了灵活地制定规则以实现上述的防范措施，邮件服务器应有专门的编程接口
　　
　　针对以上所有的问题，邮件系统专家爱思华宝在以往的以及现有的所有邮件服务器的版本中都在着重强调安全方面的功能，他们也以自己的专业和实力为广大的邮件系统用户提供了令人耳目一新的产品．

klinge

我再把它删除
受过实战的考验，在历史上是否有良好的安全记录，在一定程度上还是有据可查的。　　
　　对于服务破坏的防范，则可

紫月亮

很详细的文章,支持了.

小花生米007

支持楼主，学习了

netmail

很详细的文章,学习了!!

具体工作

路过................

muruxiang

这是个好技术。学习一下

赶紧跑地方

传输层的安全电子邮件技术　

红地毯

仔细看了，不错。