只要是接觸過網絡的朋友,相信對Email都不會陌生,甚至有的用戶就是從Email開始,逐步感受到網絡給我們帶來的方便和快捷。一般情況下,我們的郵件都能發往正確的目的地,往往使我們忽略了其安全性,前不久,,就曾經有用戶利用搜索引擎輕易的將自己的郵件搜索到,毫無保密性可言!其實電子郵件內容洩漏時,用戶通常並不知情,就如同自己丟失了東西,而自己卻還渾然不覺,這樣就使用戶的損失不可估量,尤其是那些利用Email傳遞商業信息的用戶。
操作系統漏洞
熟悉郵件服務器的朋友都知道,郵件服務器通常都是以軟件的形式,安裝在一些服務器操作系統上的,如:WIN NT/2000/2003、Linux或Unix等。往往這些操作系統的默認安裝配置都是不安全的,利用工具軟件的黑客們(絕大多數黑客都是利用工具入侵的)可以輕易入侵郵件服務器,而獲得其中用戶信息和密碼。
對於Windows平台下的Exchange Mail Server,入侵的方法是很多的。最簡單的一種方法就是利用終端服務器結合中文輸入法漏洞獲得Administrator(系統管理員)權限,用pwduMP3導出Hash過的密碼,再用L0pht掛接字典或者Brute Force就能破解出用戶密碼。如果密碼比較簡單,幾分鐘之內就能破解,長度在8位及以下的用Brute Force方式在一天內就能破解。而Unix服務器上運行的Sendmail郵件系統數量眾多,入侵者在獲得了系統的控制權之後,用John等軟件就能從/etc/passwd或者/etc/shadow中破解出密碼。如果采用了數據庫方式來保存用戶信息和密碼,也是比較容易被導出的,只是可能會多了猜解或破解數據庫密碼的過程。
郵件服務器軟件漏洞
就拿最常見的郵件服務器軟件Sendmail、Qmail來說,都存在著一定的安全缺陷。以Sendmail的老版本為例,telnet到25端口,輸入wiz,然後接著輸入shell,就能獲得一個rootshell,還有debug命令,也能獲得root權限。Qmail相對Sendmail安全一些,但是其存在Buffer Overflow缺陷,能夠遠程得到rootshell,進而控制系統。
在保證了郵件服務器安全可靠的情況下,郵件服務器軟件的缺陷就顯得尤為重要。入侵著可以利用其設計缺陷telnet到25端口,輸入expn XXX或者vrfy XXX就能查詢系統是否有XXX用戶。當軟件廠商意識到其缺陷後,這兩個命令在新版本中已經被禁用了,但是仍然可以通過偽造發信人然後用rcpt to來判斷該用戶是否存在。如果入侵者得到用戶名後,便可以telnet到110端口,嘗試猜解簡單密碼的連接,或者利用字典進行暴力破解。
WEB頁面更不安全
除了使用OutLook、FoxMail等客戶端軟件方式收發郵件之外,還有許多用戶喜歡登錄WEB頁面管理郵件。其實,這樣也存在很多弱點,一般的郵件服務器都是通過CGI來接受用戶傳遞的表單(FORM)參數,其中必將傳遞username(用戶名)和password(密碼)信息,如果正確,就可以進入處理郵件的頁面。破解已知用戶的密碼,有很多暴力破解的軟件都可以輕松勝任,例如:小榕的“溯雪”,如果密碼比較簡單的話,很快就被破解了。
中途竊聽
中途竊聽用戶傳遞的用戶名和密碼更加方便,在網絡中安裝Sniffer,指定監聽往外部服務器110端口發送的數據包,從收集下來的信息中獲得用戶名和密碼可比暴力破解省事多了。[#page_需要注意之處之一#0#0#0#0#] 看過以上的敘述,也許大家會覺得Email的安全性主要是郵件服務器決定的,其實,很多大型的網站的安全性都是有保障的,一般都會有專業的人員或公司對系統進行維護,因此不必擔心,恰恰相反,是用戶的使用習慣成為了Email最大的安全隱患。
遠離垃圾郵件的困擾
要知道垃圾郵件大多利用群發器發送,這是非常危險的,往往其中摻雜著許多陰謀。剛剛“出道”的用戶喜歡到一些不知名的網站申請免費郵箱,然而,大量的垃圾郵件便隨之而來。目前大多數的知名網站的郵箱,都具有垃圾郵件過濾的功能,例如:yahoo、163等。其中筆者感覺最有效的要數163的郵箱了,曾經有長達2多個月沒有收到過一封垃圾郵件(大家不要誤會,絕對不是給163做廣告哦)!
使用多帳戶
很多用戶為了省事,都使用一個郵件帳戶處理所有的郵件信息。這並不是一個合理的方法,最好能夠多申請幾個帳戶,根據不同的用途將其分開使用,例如:一個收發普通郵件,一個收發公司郵件,一個收發在各種網站訂閱的信息等,必要時,收發重要信息的可以使用收費郵箱。
謹防網絡釣魚
請相信,即使是非常資深的電子郵件用戶,都有可能偶然地打開了一封含有釣魚攻擊的電子郵件。如果是這樣的話,要減少你的風險的關鍵點就在於識別出釣魚郵件的真面目。釣魚是一種在線的欺詐行為,郵件的發送者試圖欺騙你給出你的個人密碼或是銀行帳戶信息。這些郵件的發送者通常是盜用一些著名銀行或機構的標記,並將郵件的格式偽裝成銀行或機構的格式。一般來說,釣魚郵件都會要求你點擊一個鏈接,讓你確認你的銀行信息或密碼,但它也許還會叫你回復一封帶有你個人信息的郵件。無論釣魚攻擊采用的是何種方式,它的目標就是通過欺騙讓你輸入一些信息到看起來安全的地方,但實際上這只是攻擊者制造出來的假的網站。如果你將個人信息提供給了釣魚者,他就會使用這些信息竊取你的身份以及財物。
如果你懷疑一封電子郵件是釣魚攻擊,最好的防御措施就是不要馬上打開這些郵件。但如果你已經打開了,不要對其回復或是點擊郵件中的鏈接。如果你想要證實郵件的真實性,請手動輸入這家公司的網址,而不是點擊郵件中嵌入的鏈接。[#page_需要注意之處之二#0#0#0#0#] 時刻保持警惕
大多數新手互聯網用戶在他們收到電子郵件時,對那些不認識的發件人都會保持警惕。但如果是一位朋友向他們發送郵件,所有的戒備心就飛到了九霄雲外,心裡就認為這一定是安全的,因為發件人他們認識,不會傷害他們。而實際上,來自朋友的ID 的郵件也可能像來自陌生人的郵件一樣包含了病毒或惡意軟件。原因就在於,大多數的惡意軟件就是通過人們在不知情的情況下發送出去而循環。
不要發送個人和銀行信息
不應將銀行信息寫入電子郵件,而任何網上商店要求你將私人信息寫入電子郵件中的話,你應該對它們產生懷疑。 與不要將銀行信息通過電子郵件發送給網絡商戶的道理相同,在個人郵件的處理上,你也不應這麼做。例如,你需要將信用卡信息告訴你在學校讀書的孩子,通過電話告訴他要比通過電子郵件安全得多。
掃描所有附件
感染計算機的病毒中,多數來源於郵件,許多網絡新手都沒有掃描電子郵件附件的習慣,而經常的升級你的殺毒軟件,及時對電郵附件進行病毒掃描,是保障你不受病毒感染的重要方面。[#page_需要注意之處之三#0#0#0#0#] 進行郵件備份
如今的電子郵件不僅僅是用來閒聊的,還能夠用來簽訂合法的合同關系,以及引導一些專業的會議。就像你會對其它重要的商業以及個人文檔備份一樣,定期將你的電子郵件備份也是非常重要的,即使你的郵件客戶端軟件出現問題,你也不用過分擔心和緊張。目前,大多數郵箱都提供了備份電子郵件的簡功能,你可以根據郵件的重要程序安排備份的頻率,但最好不要相隔太久。
加密重要郵件
雖然有很多機構提供付費的郵件加密服務,不過也有廉價的選擇,如果你花點時間安裝PGP(Pretty Good Privacy 基於RSA公匙加密體系的郵件加密軟件),便可以使你的重要郵件擁有加密服務。
使用數字簽名
應付電子郵件欺騙的一個方法就是,當你需要簽署重要電子郵件的場合,都使用數字簽名。一個數字簽名能夠幫助你證明你是誰,電子郵件來自哪台計算機,以及這封郵件在傳送過程中沒有經過更改。通過養成在簽署重要電子郵件時使用數字簽名的習慣,你就不僅能夠讓其他人來修改你的郵件變得困難,也能夠在為你的合法郵件提供有效的證明。
結束語:以上講述的只是些加強Email的原理和基礎概念,而其中每一項都需要一篇文章的內容來闡述和講解。因此,本文的目的旨在能提高大家的安全意識,養成良好的Email使用習慣,切實做好其安全防護工作。