操作系统漏洞
熟悉邮件服务器的朋友都知道,邮件服务器通常都是以软件的形式,安装在一些服务器操作系统上的,如:WIN NT/2000/2003、Linux或Unix等。往往这些操作系统的默认安装配置都是不安全的,利用工具软件的黑客们(绝大多数黑客都是利用工具入侵的)可以轻易入侵邮件服务器,而获得其中用户信息和密码。
对于Windows平台下的Exchange Mail Server,入侵的方法是很多的。最简单的一种方法就是利用终端服务器结合中文输入法漏洞获得Administrator(系统管理员)权限,用pwduMP3导出Hash过的密码,再用L0pht挂接字典或者Brute Force就能破解出用户密码。如果密码比较简单,几分钟之内就能破解,长度在8位及以下的用Brute Force方式在一天内就能破解。而Unix服务器上运行的Sendmail邮件系统数量众多,入侵者在获得了系统的控制权之后,用John等软件就能从/etc/passwd或者/etc/shadow中破解出密码。如果采用了数据库方式来保存用户信息和密码,也是比较容易被导出的,只是可能会多了猜解或破解数据库密码的过程。
邮件服务器软件漏洞
就拿最常见的邮件服务器软件Sendmail、Qmail来说,都存在着一定的安全缺陷。以Sendmail的老版本为例,telnet到25端口,输入wiz,然后接着输入shell,就能获得一个rootshell,还有debug命令,也能获得root权限。Qmail相对Sendmail安全一些,但是其存在Buffer Overflow缺陷,能够远程得到rootshell,进而控制系统。
在保证了邮件服务器安全可靠的情况下,邮件服务器软件的缺陷就显得尤为重要。入侵着可以利用其设计缺陷telnet到25端口,输入expn XXX或者vrfy XXX就能查询系统是否有XXX用户。当软件厂商意识到其缺陷后,这两个命令在新版本中已经被禁用了,但是仍然可以通过伪造发信人然后用rcpt to来判断该用户是否存在。如果入侵者得到用户名后,便可以telnet到110端口,尝试猜解简单密码的连接,或者利用字典进行暴力破解。
WEB页面更不安全
除了使用OutLook、FoxMail等客户端软件方式收发邮件之外,还有许多用户喜欢登录WEB页面管理邮件。其实,这样也存在很多弱点,一般的邮件服务器都是通过CGI来接受用户传递的表单(FORM)参数,其中必将传递username(用户名)和password(密码)信息,如果正确,就可以进入处理邮件的页面。破解已知用户的密码,有很多暴力破解的软件都可以轻松胜任,例如:小榕的“溯雪”,如果密码比较简单的话,很快就被破解了。
中途窃听
中途窃听用户传递的用户名和密码更加方便,在网络中安装Sniffer,指定监听往外部服务器110端口发送的数据包,从收集下来的信息中获得用户名和密码可比暴力破解省事多了。[#page_需要注意之处之一#0#0#0#0#] 看过以上的叙述,也许大家会觉得Email的安全性主要是邮件服务器决定的,其实,很多大型的网站的安全性都是有保障的,一般都会有专业的人员或公司对系统进行维护,因此不必担心,恰恰相反,是用户的使用习惯成为了Email最大的安全隐患。
远离垃圾邮件的困扰
要知道垃圾邮件大多利用群发器发送,这是非常危险的,往往其中掺杂着许多阴谋。刚刚“出道”的用户喜欢到一些不知名的网站申请免费邮箱,然而,大量的垃圾邮件便随之而来。目前大多数的知名网站的邮箱,都具有垃圾邮件过滤的功能,例如:yahoo、163等。其中笔者感觉最有效的要数163的邮箱了,曾经有长达2多个月没有收到过一封垃圾邮件(大家不要误会,绝对不是给163做广告哦)!
使用多帐户
很多用户为了省事,都使用一个邮件帐户处理所有的邮件信息。这并不是一个合理的方法,最好能够多申请几个帐户,根据不同的用途将其分开使用,例如:一个收发普通邮件,一个收发公司邮件,一个收发在各种网站订阅的信息等,必要时,收发重要信息的可以使用收费邮箱。
谨防网络钓鱼
请相信,即使是非常资深的电子邮件用户,都有可能偶然地打开了一封含有钓鱼攻击的电子邮件。如果是这样的话,要减少你的风险的关键点就在于识别出钓鱼邮件的真面目。钓鱼是一种在线的欺诈行为,邮件的发送者试图欺骗你给出你的个人密码或是银行帐户信息。这些邮件的发送者通常是盗用一些著名银行或机构的标记,并将邮件的格式伪装成银行或机构的格式。一般来说,钓鱼邮件都会要求你点击一个链接,让你确认你的银行信息或密码,但它也许还会叫你回复一封带有你个人信息的邮件。无论钓鱼攻击采用的是何种方式,它的目标就是通过欺骗让你输入一些信息到看起来安全的地方,但实际上这只是攻击者制造出来的假的网站。如果你将个人信息提供给了钓鱼者,他就会使用这些信息窃取你的身份以及财物。
如果你怀疑一封电子邮件是钓鱼攻击,最好的防御措施就是不要马上打开这些邮件。但如果你已经打开了,不要对其回复或是点击邮件中的链接。如果你想要证实邮件的真实性,请手动输入这家公司的网址,而不是点击邮件中嵌入的链接。[#page_需要注意之处之二#0#0#0#0#] 时刻保持警惕
大多数新手互联网用户在他们收到电子邮件时,对那些不认识的发件人都会保持警惕。但如果是一位朋友向他们发送邮件,所有的戒备心就飞到了九霄云外,心里就认为这一定是安全的,因为发件人他们认识,不会伤害他们。而实际上,来自朋友的ID 的邮件也可能像来自陌生人的邮件一样包含了病毒或恶意软件。原因就在于,大多数的恶意软件就是通过人们在不知情的情况下发送出去而循环。
不要发送个人和银行信息
不应将银行信息写入电子邮件,而任何网上商店要求你将私人信息写入电子邮件中的话,你应该对它们产生怀疑。 与不要将银行信息通过电子邮件发送给网络商户的道理相同,在个人邮件的处理上,你也不应这么做。例如,你需要将信用卡信息告诉你在学校读书的孩子,通过电话告诉他要比通过电子邮件安全得多。
扫描所有附件
感染计算机的病毒中,多数来源于邮件,许多网络新手都没有扫描电子邮件附件的习惯,而经常的升级你的杀毒软件,及时对电邮附件进行病毒扫描,是保障你不受病毒感染的重要方面。[#page_需要注意之处之三#0#0#0#0#] 进行邮件备份
如今的电子邮件不仅仅是用来闲聊的,还能够用来签订合法的合同关系,以及引导一些专业的会议。就像你会对其它重要的商业以及个人文档备份一样,定期将你的电子邮件备份也是非常重要的,即使你的邮件客户端软件出现问题,你也不用过分担心和紧张。目前,大多数邮箱都提供了备份电子邮件的简功能,你可以根据邮件的重要程序安排备份的频率,但最好不要相隔太久。
加密重要邮件
虽然有很多机构提供付费的邮件加密服务,不过也有廉价的选择,如果你花点时间安装PGP(Pretty Good Privacy 基于RSA公匙加密体系的邮件加密软件),便可以使你的重要邮件拥有加密服务。
使用数字签名
应付电子邮件欺骗的一个方法就是,当你需要签署重要电子邮件的场合,都使用数字签名。一个数字签名能够帮助你证明你是谁,电子邮件来自哪台计算机,以及这封邮件在传送过程中没有经过更改。通过养成在签署重要电子邮件时使用数字签名的习惯,你就不仅能够让其他人来修改你的邮件变得困难,也能够在为你的合法邮件提供有效的证明。
结束语:以上讲述的只是些加强Email的原理和基础概念,而其中每一项都需要一篇文章的内容来阐述和讲解。因此,本文的目的旨在能提高大家的安全意识,养成良好的Email使用习惯,切实做好其安全防护工作。