将邮件系统引入企业网络,需要在防火墙上为邮件打开一条通道,这意味着邮件可以绕过防火墙的检测,借助于邮件服务器进入到网络内部。因此一些专业人士把邮件系统形象地比喻成防火墙下面涌动的一条河流,垃圾邮件、邮件病毒、恶意代码等总是试图利用这条穿越防火墙的河流,合法攻击企业网络。
以企业域名作为后缀的电子邮箱,既能体现企业形象,又能方便网管员统一管理,给企业带来了诸多好处。邮件系统作为企业网络的核心应用之一,正在与企业业务紧紧结合在一起。然而担负着信息交流重任的邮件系统不仅饱尝垃圾邮件、病毒邮件骚扰之苦,而且还面临敏感信息被截获、篡改的风险。
引发邮件安全危机的根源在于现有邮件服务体系中存在着各种安全隐患。首先是邮件服务所使用的协议存在安全漏洞。以简单邮件传输协议(SMTP,Simple Mail Transport Protocol)为例,SMTP允许人们转发邮件,但在转发时却不进行身份验证,这就使得恶意攻击者冒充他人地址发送邮件、攻击邮件服务器或者发送邮件炸弹。目前流行的企业邮件系统在开发之时也没有充分考虑安全问题,也导致邮件系统缺少得力的安全机制,加上大多数用户也没有针对邮件系统采取相应的安全措施。可以说,先天不足加上后天补救不利是导致当前邮件系统缺乏抗风险能力的重要原因。
邮件系统的安全分析
目前的企业邮件系统可以分为商业群件、基于开放源代码的邮件系统、专业邮件系统以及免费邮件系统四大类。这些系统在为不同规模的企业提供邮件服务的同时,也存在这样那样的安全问题。下面我们就对以上企业邮件系统进行安全性分析。
商业群件
Microsoft Exchange2000、IBM Lotus Domino/Notes和Novell Groupwise等邮件系统,除了提供收发电子邮件的基本功能之外,还表现出较强的协同工作能力,同时也具有良好的安全性能。这类系统支持协同工作和二次开发,留有开发接口,这在一定程度上降低了邮件系统的安全性能。开发接口的开放性虽然方便用户开发相关应用,但是也为恶意攻击者攻击系统提供了后门。由于这类具有协同工作能力的邮件系统能够支持多种非邮件功能,这也会或多或少地降低了邮件系统的安全功能。用户在使用这类产品时,需要在安全性能与协同功能之间作出平衡。
基于开放源代码的系统
Sendmail、qmail和Postfix等电子邮件系统是基于Unix/Linux开放源代码操作系统,支持海量用户收发邮件。开放源代码的非商业化特性决定了这类邮件系统的安全性和稳定性不能得到充分保障。
原代码的开放性使得这类邮件系统的组织结构、逻辑关系以及系统漏洞后门不难被黑客所“识别”。这类邮件系统性能简单,主程序不大,这些因素也决定了其自身安全机制的局限性。由于操作系统的复杂性和专业性,这类邮件系统的构建和维护操作都比较复杂,对管理人员要求也比较高,出安全漏洞也就在所难免,因此邮件病毒、垃圾邮件、邮件黑客常常会攻击这些海量邮件系统。
专业邮件系统
Formail、TurboLinux Powermail和@Message等专业企业邮件系统产品具有较强的管理能力和易用性优点,对于技术能力相对薄弱的中小企业来说具有吸引力。应该说,这类专业邮件系统的安全机制相对完善。但是专业邮件的细分特点是一把双刃剑,它既满足专业用户的具体需求,却也影响了它采用成熟的安全策略。原因在于,它所采用的模块化结构无法将现代所有反病毒、反攻击、反垃圾邮件以及邮件加密技术完全集成在同一模块结构中,通常用户只能选择部分安全模块。即用户的邮件系统在安全性能方面若注重于反病毒,就可以选择反病毒安全模块。若要全面考虑安全性,用户必须选择支持所有安全模块的系统,这样的系统不仅数量少、价格昂贵,而且对主机性能要求会很高。
DIY邮件系统
MDaemon、IMail和ArGoSoft Mail Server是Internet上公开的电子邮件应用程序,其优点是价格便宜,有的甚至可以免费获得,大多是基于Microsoft平台,具有很强的DIY性。这类系统的DIY特点决定了它无法将反病毒、反黑客、反垃圾邮件和邮件加密技术融于容量小于10MB的程序之中,安全性能缺乏保障。
对于邮件系统自身存在的安全缺陷,邮件系统提供商正努力采取措施进行改善。如今年6月,微软与NAI合作,利用NAI的技术为微软Exchange Server 2003提供病毒扫描和反垃圾邮件支持。用于Exchange的McAfee GroupShield和用于Exchange Server 2003企业版的McAfee SpamKiller计划将于今年第三季度推出测试版。这里需要提醒用户的是,用户还需要密切关切所采用的邮件系统厂商发布的补丁程序,及时升级更新自己的邮件系统,不要给黑客和病毒留下可乘之机。
电子邮件安全具有多方面含义,邮件内容不能暴露给第三方,确保电子邮件完整可靠地到达接收方,而且发送方能够知道接收方何时收取了邮件,并且具有完整、详细、可靠的收发证明。显然,实现以上安全目标,仅仅依靠邮件系统自身带有的安全机制是不能实现的,这就需要从邮件加密与签名、反病毒和邮件过滤等方面入手。
数据加密和数字签名
当电子邮件从一个网络传到另一个网络中时,其内容都是可读写的明文,邮件内容很容易被窃取和篡改。
多数用户的邮件在Internet上传输时不采取任何安全措施。没有安全措施的邮件很容易被别有用心者盗用,从事非法活动。如果用户将电子邮件错发给陌生人,收信人也有可能利用错发的明文邮件做文章。采用数据加密和数字签名可以保护电子邮件的内容安全。
数据加密是通过变换信息的形式来伪装需要保密的敏感数据与重要信息,其基本要素是密码算法和密钥。目前国际上有两大类流行的邮件安全系统加密标准:端到端的安全邮件标准PGP(Pretty Good Privacy)和传输层安全邮件标准S/MIME(Secure/Multipurpose Internet Mail Extensions)。PGP通过单向散列算法对邮件内容进行签名,可以保证信件内容不被修改,并且信任是双方的直接关系。S/MIME是一种利用单向散列算法和公钥与私钥的加密体系,但它有两点与PGP不同:一是S/MIME的认证机制依赖于层次结构的证书认证机构,所有下一级组织和个人证书由上一级组织负责认证,最上一级组织(根证书)之间则可相互认证;二是 S/MIME将信件内容加密签名后作为特殊的附件传送。
PGP和S/MIME都采用了混合算法,即被发送邮件的内容采用对称加密算法进行加密,加密邮件内容的密钥则采用公共加密算法加密后进行传递。需要指出的是,使用公钥和私钥技术保证邮件内容保密而且不可否认,因为发信人与收信人的公钥都是公开的,公钥的权威性则可以由第三方进行签名认证。在现有的加密密钥体制中,比较突出的问题是公开密钥的安全获取问题。而解决这个问题的手段,就是采用PKI(Public Key Infrastructure)技术。
PKI技术就是由发布机构发布数据证书给PKI用户,该证书中含有用户公共密钥和个人密钥的信息,由证书、证书授权机构CA和实体三部分组成。PKI用户可以利用个人密钥签发信息或解密收到的信息,而其他用户则使用对应公共密钥收发信息。基于PKI的设计,采用统一的证书分配、管理策略以及共同的可靠性验证机制,一方面可以保证电子邮件的安全性,另一方面还可以解决现有不同系统无法进行通信的缺陷。因此,优秀的电子邮件系统通常都是基于PKI进行设计的。
数据加密只能保证邮件的机密性,却不能完全保证邮件的完整性和不可抵赖性,即不能保证邮件在传输过程中不被他人篡改和不被人冒名顶替发送。数字签名可以有效解决上述问题,在发送电子邮件的同时,加上一个Hash冗余信息,作为发送者的签名。发送者使用Hash函数创建信息的摘要,作为信息数字指纹,然后用个人密钥加密信息摘要,加密后的信息摘要就是数字指纹,用于身份识别。
邮件反病毒
目前80%以上的计算机病毒是借助电子邮件进行传播的,这一比例还呈现出继续上升的趋势。尽管邮件病毒把电子邮件作为传播途径,但攻击目标仍然是用户主机,不过也有病毒直接将攻击目标指向了邮件服务器。利用邮件传播的病毒具有伪装性,很难加以防范。
对于单节点用户而言,安装并及时更新防病毒软件,及时给操作系统打补丁就可以防范绝大多数病毒。这些对单节点用户奏效的防范措施放在企业网络中却不能取得让人满意的效果。原因是:首先,企业网络通常包括成百上千台主机,很难保证所有节点(包括移动节点)的系统都处在最佳状态,包括是否安装有防毒软件、防毒系统是否生效、是否更新了病毒特征码、是否给操作系统打好了最新的安全补丁等等;其次,网络病毒的传播和防毒系统的特征码更新都是利用网络,由于病毒的出现肯定要先于病毒特征码的出现,这使得拥有大量终端节点的企业防病毒体系处于被动防毒境地。
显然对邮件系统采取防范措施,控制管理病毒传染源和传播途径,能够使人们在与病毒对抗中获得主动。一种作法是在邮件服务器上安装防病毒软件,查杀进出该邮件服务器的邮件病毒。基于电子邮件服务器的防病毒软件被装到电子邮件服务器上后,可以实时搜索输入和输出的电子邮件中的病毒信息。这类产品通常具有向发送者或接收者发送定制病毒通知的能力,并且按照主题、文件附件或邮件正文进行内容过滤。
目前大多数防病毒厂商都提供运行在Lotus Notes、Microsoft Exchange和Novell GroupWise等群件产品的防病毒系统。
防病毒系统直接安装在邮件服务器上,对于工作负荷不是很大的系统来说是可行的。对于高负荷运行的邮件系统来说,查杀病毒任务的引入,会加重邮件服务器的负荷,使之分出宝贵的系统资源用来支持查病毒引擎的工作,难免造成相当程度的延时和错误。另外,当前的邮件系统也有很多种,如Notes、Exchange、Sendmail、Qmail、Postfix
