放心办公的基础 邮件安全经验谈

  【IT168 专稿】随着网络的发展，基本上各个中小企业都建立了自己的内部网络。内部网络可以让员工更好的协同工作，在众多网络应用系统中，邮件系统可以说是构成企业内部OA系统的主体。员工之间的通讯与通知的收发都应该通过邮件系统来完成，邮件系统的重要性不言而喻，所以说网络管理员在维护企业内部网络的同时，也应该注重邮件系统的安全。今天笔者就根据自己的经验来谈谈中小企业邮件系统安全问题以及提高安全系数的几种行之有效的方法。

    一、邮件系统的选择：
    网上有很多小软件都具备邮件系统功能，而很多软件公司也开发了功能不错的邮件系统程序。不过就笔者经验来说，不建议采用这些小软件和第三方开发的邮件系统，因为网络中的免费小软件一方面作者是个人或者一个小团队，程序之中是否捆绑非法插件或者木马程序都不得而知，而且免费的小软件一般都会内置后门或者在你的邮件服务器上强制安装某某流氓软件，另外网上免费邮件系统搭建小软件的安全性也没有任何保证，毕竟邮件系统的安全是非常重要的，一旦不小心，企业内部的机密和员工个人隐私都将被窃取。

    而软件公司开发的邮件系统虽然在功能上不错，但是日后的维护和升级比较麻烦，笔者就曾经为单位采购过中型软件公司开发的某某资讯平台，是基于ASP开发的一种网站管理平台。开始使用的时候就发现有很多小问题，在使用过程中寻找该公司反复修改。过了一段时间后再出问题找到该公司时，公司居然声称过了软件的免费维护期，要升级或者修改部分功能就需要继续支付费用了。本人也从这次购买软件事件中吸取了经验，那就是不要找中小软件公司购买软件，因为日后的服务没有一点保障，等出了问题也许公司没了或者当初负责你这个项目的人员早已跳槽走人。

    因此在选择邮件系统上我们一定要小心再小心，尽量选择大公司的产品。比如EXCHANGE邮件系统，这个是微软公司的产品；还有DOMINO邮件系统，他是IBM公司的产品，这两个邮件系统在功能和应用上都是数一数二的，而且后期的维护，服务等方面也不会出现不该有的差错。我们应该明确一点的就是，邮件系统不同于网络中的其他服务与应用，他是不能够凑活的，否则企业的内部资料都有可能外泄，选择大公司的邮件系统产品也许在刚开始花费比较多，但是日后升级与维护上却省去了很多麻烦事，毕竟我们不希望邮件系统崩溃后忙碌的是企业自己的网络管理员，那样故障排除的周期恐怕要持续一个礼拜甚至更长时间。
二、外网发送功能的慎重开启：
    选择了适合自己企业的邮件系统后就是安装和实施了，这些都是由邮件系统产品的技术人员来解决，我们不用放太多精力于其上。

    在邮件系统运行过程中还有一个非常影响邮件系统安全的因素，那就是外网发送功能。一般来说为了方便企业内部员工发送和接收邮件，我们都将邮件系统的外网发送功能开启，这样员工可以使用企业内部邮件与外界例如搜狐，新浪，网易，GMAIL等电子邮件信箱通信；同样也可以从这些外界电子邮箱可以发送邮件到企业内部邮箱中。这样可以极大的方便员工使用电子邮件，也提高了他们对企业内部邮箱的依赖性。

    不过外网发送功能是一把双刃剑，一方面为员工带来收发邮件方便，另一方面却让我们的邮件系统服务器的负荷大大提高，这到不是说员工发送自己邮件到外网信箱带来的压力，而是来自于internet网络中的大量洪水般的垃圾邮件。当我们开启了企业邮件系统外网发送功能后一些员工就会将企业内部邮箱作为自己的私人邮箱使用，例如把这个地址贴到internet的论坛，BLOG，网站上，这样企业的邮箱地址很快就会被垃圾邮件发送者记录在案。接下来邮件系统中的每个用户都将收到十几到几十封的垃圾邮件，严重影响了企业内部OA系统的正常使用。

    因此我们不建议各位网络管理员开启邮件系统的外网发送与接收功能，虽然会收到员工的抱怨，但是为了保证邮件系统的稳定和安全，彻底减少员工垃圾邮件接收封数的话，将该功能关闭是最好的办法。否则也许你不会收到少数员工的抱怨，取而代之的是每天反复的删除垃圾邮件和制订垃圾邮件过滤规则的繁重工作。
 三、从服务器入手提高安全：
    邮件服务器是邮件系统的主体，不光是我们的邮件，包括附件在内的所有信件信息都储存在邮件服务器上，所以说邮件服务器的安全是非常重要的，如果邮件服务器瘫痪，那么企业邮件系统将彻底崩溃。

    邮件服务器的安全可以参考其他服务器，无外乎安装适当的杀毒软件，防火墙，及时更新系统补丁和邮件系统更新程序，尽量关闭没有用的服务，删除不常用的应用程序，设置复杂安全级别高的系统管理员帐号，对于邮件系统的管理员帐号也要设置一个强有力的密码，并且不要和服务器系统管理员密码一样。具体实施手段感兴趣的读者可以参考类似的文章，这里由于篇幅关系就不详细说明了。
   四、重要数据须加密：
    即使禁止了外网发送与接收功能，对邮件服务器的安全进行了最大限度的提高，我们也不可能百分之百的避免安全问题的发生，特别是当企业员工打算入侵邮件系统或者窃取重要数据时。针对这些情况我们应该对重要数据采取加密工作，通过各种加密与解密手段来提高数据的安全性。

    （1）邮件本身的加密：
    邮件本身的加密主要是指信件内容，我们可以通过一些加密工具将内容加密处理，这样如果不知道加密工具使用的密钥的话，即使获得了邮件信息也无法将其还原成真正的文字内容。

    （2）附件文件的加密：
    附件也是需要保护的重点，附件文件的加密比较简单，我们直接把附件进行压缩处理即可，例如使用常用的winrar和winzip压缩工具，在压缩过程中为压缩包添加一个密码。目前对于winrar和winzip处理过的带有密码的压缩包，唯一能够破解密码的就是暴力破解了，也就是通过字典工具和爆破软件来一个一个密码的尝试，只要我们为压缩包添加一个复杂的压缩密码，那么获得附件文件的非法用户就需要用几千小时来破解，这样大部分人都会放弃的。如果你不放心的话，还可以使用两层加密，这样破解所花的时间将成倍增加。

   五、B/S与C/S模式之争：
    所谓B/S就是指浏览器/服务器模式，而C/S就是客户端/服务器模式。前者不需要在客户机上安装任何程序，我们只要有浏览器，就可以通过浏览器访问服务器；而后者需要在每个想访问服务器的机器上安装客户端程序，安装完毕后通过客户端程序连接服务器实现访问邮件系统的目的。

    从发展上讲B/S无疑是先进的，他省去了安装客户端的操作，为用户访问邮件系统带来了极大的便利。但是对于邮件系统来说，笔者建议大家在选择时要考虑清楚，实际上对于企业内部员工来说，在每台计算机上安装一个邮件系统客户端并不复杂，通过域管理的话可以在几小时内完成。采取C/S模式可以从根本上禁止非法用户对企业邮件系统的访问，只有安装了客户端的机器才能访问企业邮件系统，外来人员和移动设备（笔记本）等都将被阻挡在企业邮件系统之外。

    当然笔者也不是建议大家非选择C/S模式不可，毕竟B/S在使用上更方便，这个就要各位网络管理员根据自己企业的实际情况来决定了。如果员工成千上万，那么想采取C/S模式也是不现实的。
  六、管理制度要跟上：
    最后我要说说管理制度，只要和网络沾边的事技术是一方面而管理制度又是一方面，两方面都不能放松，虽然我们可以从技术上解决一些实际安全问题，但是如果管理制度跟不上，网络管理员做的工作永远都是亡羊补牢或者被动的行为。只有企业针对自己邮件系统制订完善的管理制度，例如禁止员工在家中或者非单位地方登录邮件系统，禁止员工采取移动设备将邮件信息和附件带走，禁止员工将密码和用户名告诉他人，禁止员工使用弱口令或简单密码等。别看这些约束不起眼，起到的作用却是非常大的。所以说在网络管理员采取各种技术手段提高企业邮件系统安全性的同时，公司的邮件系统使用管理制度也要跟得上。只有制度与技术双管齐下才能收到事半功倍的效果。 
    总结：
    邮件系统是企业OA系统的主体，是企业内部网络应用的重要角色之一，他的安全与否是致关重要的，直接决定了企业业务能否正常开展。本文笔者从多个方面论述了从邮件系统选择到防范以及行政方面等提高邮件系统安全的方法，希望能对各位IT168的读者起到帮助，帮助各位网络管理员建立完善且安全的企业邮件系统。