《邮件服务器的安全管理.docx》由会员分享,可在线阅读,更多相关《邮件服务器的安全管理.docx(42页珍藏版)》请在三一办公上搜索。
1、前言:这是我半年前写的文章,看到里面的加密和SSL等。感觉对网络安全不懂的人是挺有用的,特别是在这些大公司企业里,做为一个网管就应该掌握好各种安全措施。所以发了上来。我以后会从最基本的IIS,FTP等一直做教程到组网所用到的所有配置。第一章 项目背景及意义 1.1 E-Mail 背景1.2 E-Mail的安全隐患1.2.1邮件的隐私性1.2.2邮件的真实性 1.2.3邮件的认证性 1.2.4邮件的安全性 第二章 先决条件和组织准备 2.1邮件服务器的运行环境 2.2邮件服务器的安装架设 第三章 邮件安全管理与分析 3.1Win Mail Server 身份认证 3.2Win Mail Serv
2、er传输加密 3.2.1 PGP 173.2.2 S/MIME 3.3垃圾邮件过滤 3.4邮件病毒过滤 3.5安全审计 3.5.1 日志的审计 3.5.2 主机的审计 3.5.3 网络的审计 第四章 个人心得 第五章 结语 参考文献 此贴被百年独孤在2007-10-25 11:48重新编辑 【楼主最新主题】 求购QB10个急用2008-12-26 VS 对战平台VIP1个月2008-10-14 收个8位QQ2008-05-311元注册.COM域名 香港主机免费试用本帖最近评分记录:LTB :+10(心有灵犀) 您的贴子很精彩!希望很快能再分享您的下一贴!叶子的离开,是因为风,还是树,还是人的走
3、过!最近很忙 顶端 回复 | 引用 | 举报 | 收藏 | 转帖 分享 举报 百年独孤 蓦然回首作者资料 发送短消息 使用道具UID: 19666级别: 论坛贵宾精华: 8发帖: 3671威望: 2500 电元: 7691 朋友圈: 剑仙天宗在线时间: 862(小时)注册时间: 2007-04-18最后登录: 2010-08-23 1楼 发表于: 2007-10-25 11:05 只看该作者 | 小 中 大 正版悠嘻猴阿狸公仔玩偶周边官方授权店 - 郁郁的游乐园第一章 项目背景及意义 随着网络通讯技术的不断发展,E-mail使用得越来越频繁,它是Internet中最为流行的一种通信形式,是一种
4、通过网络与其他用户进行联系的简便、迅速、廉价的现代通讯方式。它不但可以传送文本,还可以传递多媒体信息,如图像、声音等.但是,同时也带来了它的安全问题,垃圾邮件,邮件病毒,数据侦听,身份认证等问题日益严重,甚至导致公司或企业严重的经济损失。所以,我们必须在邮件服务器上做好防备工作,让邮件发送的过程中不会插入第三者。电子邮件同其它通信形式一样。通过电子邮件发送任何机密信息之前先要进行判断,这点很重要。因为在收到电子邮件之前,它经过了许多服务器传送,他人很可能拦截并阅读您的电子邮件。因此,我们要使用安全性措施来保护电子邮件的机密性和安全性。 电子邮件的普及和应用,伴随而来的电子邮件安全方面问题也越来
5、越多的引起人们的关注。我们已经认识到电子邮件用户所面临的安全性风险变得日益严重。病毒、蠕虫、垃圾邮件、网页仿冒欺诈、间谍软件和一系列更新、更复杂的攻击方法,使得电子邮件通信和电子邮件基础结构的管理成为了一种更加具有风险的行为。本论文通过电子邮件形成技术过程、安全技术现状、电子邮件安全因素、技术提高安全性的主要途径等方面来研究一下。1.1 E-Mail 背景 电子邮件,简称电邮,来自英文单词Electronic mail(即E-mail),是指通过网络传输介质电子通讯系统进行书写、发送和接收的信件。电子邮件是Internet上最早使用的服务之一,在互联网日益发展的今天,E-mail已经成为了现在
6、企业界不可少的沟通工具。下面是E-Mail的简单通讯过程。(图1.1)1.2 E-Mail的安全隐患1.2.1邮件的隐私性 电子邮件是通过网络介质来传播的,当你在internet上发送邮件的时候,它是通过明文封装来传输的,很容易受到来自网络上的监听。攻击者只要使用简单的监测软件(如超级网管)就能截获网络上传输的数据包,获得邮件的内容,这使我们的隐私受到了威胁。1.2.2邮件的真实性 电子邮件在发送过程中如果被人截取到了,那就意味着你的电子邮件真实性的问题,会不会是被人改了再发送过来的,而且攻击者这样做往往是有目的的,这样有时候会给双方造成很大的误会和损失。1.2.3邮件的认证性 既然黑客能够截
7、取并修改我们的电子邮件,那么,他会不会把发信人的名字改成别人的名字呢,例如:A发给B一封信,C是黑客,他想让B不知道这封信是A发的,就改了发信人的名字为D,当B接到信的时候,往往就会认为这封信是D发给他的。这个例子也说明了,邮件如果没有身份认证有可能会产生张冠李戴的事情,这样有时也会造成重大损失。1.2.4邮件的安全性 所有邮件都是通过邮件服务器来转发的,因此,邮件服务器的安全问题变得严峻起来,黑客的攻击、病毒的感染、发件人的群发,乱发(垃圾邮件)等等问题都要求邮件服务器必需要有一个安全稳定的运行环境。随着网络技术的快速发展,这些问题都上升为邮件系统的核心技术问题。顶端 回复 | 引用 | 举
8、报 分享 举报 百年独孤 蓦然回首作者资料 发送短消息 使用道具UID: 19666级别: 论坛贵宾精华: 8发帖: 3671威望: 2500 电元: 7691 朋友圈: 剑仙天宗在线时间: 862(小时)注册时间: 2007-04-18最后登录: 2010-08-23 2楼 发表于: 2007-10-25 11:05 只看该作者 | 小 中 大 第二章 先决条件和组织准备2.1邮件服务器的运行环境每一种邮件服务器都有它运作的需求,Win mail、U-mail、Send-mail、Exchange等都有它们不同的运行平台需求,需求的程度和Mail服务器的功能有关,下面以Win Mail来说明
9、一下, Win Mail Server是大多数中、小企业所使用的Mail服务器,最新版本为Win Mail Server 4.4,它的功能比较全,也支持Web mail访问方式,要安装Win mail必需具备以下条件:1 要用来做Mail服务器的服务器最少要达到中等服务器需求。2 Mail服务器必需运行Windows操作系统。3 该操作系统必需安装IIS 6.0或以上版本。4 该操作系统最好安装.NET Framework 2.0或以上版本。5 该操作系统必需安装PHP 扩展访问 。6 该操作系统时间必需和internet上的时间相同。2.2邮件服务器的安装架设当邮件服务器的运行环境符合需求之
10、后,就可以开始安装Win Mail Server了,安装过程如图:图2.2.1软件会检测系统是否符合Win Mail Server的安图2.2.2图2.2.3接受条款图2.2.4 运行说明图2.2.5 填写用户名图2.2.6 选择目录图2.2.7 选择组件图2.2.8 选择任务图2.2.9 按安装完成安装 此贴被百年独孤在2007-10-25 11:12重新编辑 顶端 回复 | 引用 | 举报 分享 举报 百年独孤 蓦然回首作者资料 发送短消息 使用道具UID: 19666级别: 论坛贵宾精华: 8发帖: 3671威望: 2500 电元: 7691 朋友圈: 剑仙天宗在线时间: 862(小时)
11、注册时间: 2007-04-18最后登录: 2010-08-23 3楼 发表于: 2007-10-25 11:05 只看该作者 | 小 中 大 安装完成之后,把光标移到任务管理器上,会显示WinMail Mail Server is running。这说明邮件服务器已经在运行,双击可以打开邮件服务器管理工具:如图(2.2.10)图2.2.10 邮件服务器管理器 图2.2.11 登录后能看到各项功能 此贴被百年独孤在2007-10-25 11:15重新编辑 顶端 回复 | 引用 | 举报 分享 举报 百年独孤 蓦然回首作者资料 发送短消息 使用道具UID: 19666级别: 论坛贵宾精华: 8发
12、帖: 3671威望: 2500 电元: 7691 朋友圈: 剑仙天宗在线时间: 862(小时)注册时间: 2007-04-18最后登录: 2010-08-23 4楼 发表于: 2007-10-25 11:05 只看该作者 | 小 中 大 第三章 邮件安全管理与分析3.1Win Mail Server 身份认证 原来安装好的Win mail用WEB浏览器浏览的效果如下图:(3.1.1)图 3.1.1数字签名采用具有法律意义的传统签名的数字形式,它使用的技术是公开密钥加密技术和报文分解函数相结合,提供的安全功能包括有:1. 身份认证2. 认可性3. 数据完整性 CA是Certificate Aut
13、hority的缩写,是认证中心的意思。为了保证客户之间的网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性,就需要对客户的身份真实性进行验证。 安装CA证书服务 使用户无法冒充他人发信,安装流程如下:打开控制面板添加或删除程序添加/删除Windows组件钩上证书服务下一步开始安装图 3.1.2选择企业根图 3.1.3写上CA的公用名称图 3.1.4证书数据库路径图 3.1.5点“是”图 3.1.6放入系统光盘,安装过程中图 3.1.7到此安装完成 此贴被百年独孤在2007-10-25 11:19重新编辑 顶端 回复 | 引用 | 举报 分享 举报 百年独孤 蓦然回首作者资料 发送短消息
14、使用道具UID: 19666级别: 论坛贵宾精华: 8发帖: 3671威望: 2500 电元: 7691 朋友圈: 剑仙天宗在线时间: 862(小时)注册时间: 2007-04-18最后登录: 2010-08-23 5楼 发表于: 2007-10-25 11:05 只看该作者 | 小 中 大 图 3.1.8图 3.1.9要使用E-mail服务器WEB页面通过SSL安全通道来访问,要在IIS是安装服务器证书!选择安装证书后会生成一个txt文件,如图图 3.1.10图 3.1.11在CA服务器上申请一个证书,把刚刚生成的certreq.txt内容写到证书申请上图 3.1.12点提交申请,这时CA服
15、务器上会有一个挂起的证书图 3.1.13点颁发证书,我们就可以在证书首页下载到我们的服务器证书了 图 3.1.14接着到IIS上导入证书,这样以后要访问邮件服务器就必需通过安全通道来访问了如下图:图 3.1.15 此贴被百年独孤在2007-10-25 11:25重新编辑 顶端 回复 | 引用 | 举报 分享 举报 百年独孤 蓦然回首作者资料 发送短消息 使用道具UID: 19666级别: 论坛贵宾精华: 8发帖: 3671威望: 2500 电元: 7691 朋友圈: 剑仙天宗在线时间: 862(小时)注册时间: 2007-04-18最后登录: 2010-08-23 6楼 发表于: 2007-1
16、0-25 11:05 只看该作者 | 小 中 大 登录邮件服务器,试发一下邮件,同时开着超级网管侦测软件图 3.1.16开始发送邮件图 3.1.17会得到像这样的乱码文件!SSL加密能不让第三者侦听到我们所发邮件的内容! 我们也可以用Win Mail 自带的SSL证书,在管理工具可以找到,如图:图 3.1.183.2Win Mail Server传输加密 安全电子邮件技术是指在源和目标计算机之间建立一条逻辑链路连接,其中经过的线路不予考虑,保证了邮件在从发出到接收的整个过程中,内容保密,无法修改,并且不可否认(privacy,integrity,nonrepudiation),其减少了邮件传递
17、过程中环节,保证了电子邮件的安全性。目前,在Internet上,有两套成型的端到端的安全电子邮件标准:PGP和S/MIME。3.2.1 PGPPGP 是Pretty Good Privacy 的简称,是一种长期在学术界和技术圈内得到广泛使用的邮件安全标准。其特点是通过单向散列算法对邮件进行签名,以保证邮件内容无法修改,使用公钥和私钥技术保证邮件内容保密并且不可否认。发信人与收信人的公钥都放在公开的地方,如FTP,WEB站点,而公钥本身地权威性,则可以由第三方、特别是收信人很熟悉或信任的第三方进行签名和认证,没有统一的集中的机构进行公钥和私钥的签发。即在PGP系统中,信任刚是双方之间的直接关系,
18、或是通过第三者、第四者等的间接关系,但任意两方之间全都是对等的,整个信任关系构成网状的结构,这就是所谓的Web of Trust 了。PGP加密发 E-Mail图 3.2.1先用PGP生成自己的密钥对图 3.2.2密钥对已生成图 3.2.3导出公钥 图 3.2.4用收件人的公钥进行数字签名。这样,就可以通过发件箱上的插入数字签名选项来发送邮件了。 此贴被百年独孤在2007-10-25 11:30重新编辑 顶端 回复 | 引用 | 举报 分享 举报 百年独孤 蓦然回首作者资料 发送短消息 使用道具UID: 19666级别: 论坛贵宾精华: 8发帖: 3671威望: 2500 电元: 7691 朋
19、友圈: 剑仙天宗在线时间: 862(小时)注册时间: 2007-04-18最后登录: 2010-08-23 7楼 发表于: 2007-10-25 11:05 只看该作者 | 小 中 大 3.2.2 S/MIMES/MIME是Secure MultiPart Inter Mail Extension地简称。它是PEM(Privacy Enhanced Mail)和 MIME(Internet邮件地附件标准)发展来的。和PGP一样,S/MIME也利用单向散列算法和私钥与公钥的加密体系。与PGP不同主要有两点:1,它的认证机制依赖层次结构的证书和认证机构,所以下一级的组织和个人的证书由上一级的组织负
20、责认证,而最上一级的组织(根证书)之间是相互认证的,整个信任关系基本是树形状的,这就是Tree of Trust。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。S/MIME的证书格式也采用X.509,但与一般浏览器网上购物使用的SSL证书还有一定差异,支持的厂商相对少一些。在国外,Derision免费向个人提供S/MIME电子邮件证书;在国内也有公司提供支持该标准的产品。而在客户端这,Netscape Messenger和Microsoft Outlook都是支持S/MIME在Win Mail中起用S/MIME这样也可以通过S/MIME发邮件!3.3垃圾邮件过滤 设置 SMTP 过
21、滤限制防止无限制转发。所谓无限制转发,就是任何人都可以使用您的服务器发送邮件。邮件系统安装完成后,一定要检查是否已经启用了发信认证功能,以防止别人借用您的机器来转发邮件。在“SMTP 设置”-“基本参数”中设置。发件人和认证用户必须一致:发件人和认证用户必须是同一邮箱帐号。可以有效防止系统内没有权限外发的用户借用有权限外发的帐号来发邮件。图 3.3.1发件人/收件人过滤图 3.3.21) SMTP 高级过滤图 3.3.32) 邮件过滤过滤规则过滤。用户可以根据实际收到的邮件情况,来决定对某些邮件进行过滤。可以通过分析邮件中发件人,收件人,抄送,主题,Received,邮件头,邮件内容是否满足设
22、定的规则。 用户可以通过 Web Mail 来增加,删除及修改自己的过滤规则。在用户Web Mail 的“配置箱”-“邮件过滤”中设置。图 3.3.4SpamAssassin 过滤。SpamAssassin 使用匹配规则来标识可能是垃圾邮件的邮件,采用了一种概率统计的、基于分数的方法来对消息分类,SpamAssassin 还使用了称为自动筛选(auto-white listing)的统计技术,来了解您收到邮件的特征,并使用它来调整垃圾邮件的分数。点击启用垃圾邮件过滤功能,邮件系统将会启用 Spam Assassin 来检查接收到的邮件,如果被判断为垃圾邮件的邮件会自动将其转存“垃圾邮件”邮图
23、3.3.5 垃圾邮件隔离 垃圾邮件隔离为被标识为垃圾邮件的邮件和不应传递到组织内用户邮箱的邮件提供临时存储位置。垃圾邮件隔离功能在内容筛选处理期间是可用的。被标识为垃圾邮件的邮件在未送达报告 (NDR) 中反转,并在组织内传递到垃圾邮件隔离邮箱。管理员可以管理传递到垃圾邮件隔离邮箱的邮件,也可以采取适当的操作,例如,删除邮件,或在反垃圾邮件筛选中允许标记为误报的邮件路由到他们的预期收件人。例如Exchange 2007 环境启用两层反垃圾邮件隔离功能。第一,管理员可以访问位于外围网络的反垃圾邮件隔离邮箱。通过使用 Outlook,管理员可以访问垃圾邮件隔离邮箱来搜索邮件、将邮件发送到预期收件人
24、或拒绝并删除邮件。具有管理员定义为边界线的 SCL 分级的邮件可以被发送到 Outlook 中用户的垃圾邮件文件夹。将边界线邮件转换为纯文本以便获得额外保护,然后再将其发送到用户的垃圾邮件文件夹。收件人筛选 使用 Win Mail 服务,现在可以启用收件人筛选代理来执行收件人查询,从而可以阻止发送到不存在的用户或仅内部通讯组列表的邮件。另外,在 Win Mail Server 中,可以在每个入站接收连接器上配置缓送间隔。发件人 ID 发件人 ID 通过检查发件人 IP 地址并将该 IP 地址与发件人公共域名系统 (DNS) 服务器中的发件人 ID 记录进行比较,验证是否每个电子邮件都来自邮件声
25、称来自的 Internet 域。发件人的公共 DNS 服务器上的发件人 ID 记录是发送方策略框架 (SPF) 记录。SPF 定义 IP 地址,该IP 地址被授权可为 SPF 记录驻留的域发送邮件。接收系统查询 SPF 记录并返回Pass状态时,接收系统有不会被合法发件人欺骗的更高保证。可以指定发件人 ID 代理如何处理临时错误,例如,执行 SPF 查询时出现的 DNS 故障。发件人信誉 发件人信誉使用专利 Microsoft 技术来计算未知发件人的可信度。发件人信誉从简单邮件传输协议 (SMTP) 会话、邮件内容、发件人 ID 验证和一般发件人行为收集分析数据,并创建发件人特征的历史记录。发
26、件人信誉使用该知识来确定是否应该将发件人临时添加到阻止发件人列表中。IP 信誉服务 由Win Mail 向客户提供的 IP 阻止列表。除了其他实时阻止列表服务,管理员可以选择实现并使用 IP 信誉服务。 此贴被百年独孤在2007-10-25 11:33重新编辑 顶端 回复 | 引用 | 举报 分享 举报 百年独孤 蓦然回首作者资料 发送短消息 使用道具UID: 19666级别: 论坛贵宾精华: 8发帖: 3671威望: 2500 电元: 7691 朋友圈: 剑仙天宗在线时间: 862(小时)注册时间: 2007-04-18最后登录: 2010-08-23 8楼 发表于: 2007-10-25
27、11:05 只看该作者 | 小 中 大 3.4邮件病毒过滤 Win Mail 能与操作系统上装的杀毒软件(支持几乎所有的杀毒引擎)进行整合,扫描来往邮件,有效的隔离和清除带毒邮件。也可以“防病毒设置”-“防病毒引擎”中设置使用何种方式来检测试病毒邮件。图3.4.1在使用命令行程序的下面,可以选中操作系统里安装的杀毒软件的程序。图3.4.2图3.4.3利用ISA防火墙进行过滤,安全套接层 (SSL) 桥接支持图3.4.4为了进行经过身份验证和加密的客户端访问,ISA Server 通过使用 SSL 到 SSL 的桥接提供了端到端的安全和应用层筛选。这意味着,在加密数据到达 Win Mail 服务
28、器之前将对该数据进行检查。ISA Server 防火墙将解密 SSL 流,然后执行状态检查,之后重新加密数据,并将它转发到已发布的 Web 服务器。状态检查是工作于网络层的防火墙体系结构。不像静态数据包筛选(它基于数据包头中的信息对数据包进行检查),状态检查将跟踪穿过所有防火墙接口的每个连接,并确保它们是有效的。3.5安全审计3.5.1 日志的审计 日志的审计目的是要收集日志,通过SNMP、SYSLOG、OPSEC或者其他的日志接口从各种网络设备、服务器、用户电脑、数据库、应用系统和网络安全设备中收集日志,进行统一管理、分析和报警。 图 3.5.1.13.5.2 主机的审计 主机的审计通过在服
29、务器、用户电脑或其他审计对象中安装客户端的方式来进行审计,可达到审计安全漏洞、审计合法和非法或入侵操作、监控上网行为和内容以及向外拷贝文件行为、监控用户非工作行为等目的。根据该定义,事实上主机审计已经包括了主机日志审计、主机漏洞扫描产品、主机防火墙和主机IDS/IPS的安全审计功能、主机上网和上机行为监控等类型的产品。3.5.3 网络的审计网络的审计通过旁路和串接的方式实现对网络数据包的捕获,而且进行协议分析和还原,可达到审计服务器、用户电脑、数据库、应用系统的审计安全漏洞、合法和非法或入侵操作、监控上网行为和内容、监控用户非工作行为等目的。根据该定义,事实上网络审计已经包括了网络漏洞扫描产品
30、、防火墙和IDS/IPS中的安全审计功能、互联网行为监控等类型的产品。针对典型网络环境下的各个审计对象的安全审计需求,结合以上的安全审计解决方案,我们可以得出以下审计对象和解决方案表。表审计对象和解决方案表解决方案审计对象 日志审计 主机审计 网络审计网络设备 1 E-mail服务器 1 1 1用户电脑 1 1 1数据库 1 1 1我们可以看到这三种审计方案之间的关系:日志审计的目的是日志收集和分析,它要以其他审计对象生成的日志为基础。而主机审计和网络审计这两种解决方案就是生成日志的最重要的技术方法。主机审计和网络审计的方案各有优缺点,我们要集合三种审计的优缺点,对E-mail服务器进行每天的
31、维护与检测,这样才能做到按部就班,一旦出现问题就能很快查出原因并解决! 此贴被百年独孤在2007-10-25 11:38重新编辑 顶端 回复 | 引用 | 举报 分享 举报 百年独孤 蓦然回首作者资料 发送短消息 使用道具UID: 19666级别: 论坛贵宾精华: 8发帖: 3671威望: 2500 电元: 7691 朋友圈: 剑仙天宗在线时间: 862(小时)注册时间: 2007-04-18最后登录: 2010-08-23 9楼 发表于: 2007-10-25 11:05 只看该作者 | 小 中 大 第四章 个人心得这些日子通过到网上搜索资料,整理资料。做实验,我已经深深的体会到邮件服务器的
32、安全在日常生活中是多少的重要,它是大,中企业里不可缺少的重要因素,要学好和做出邮件服务器的安全不是件容易的事,要经过深入的研究,实践,他不但是邮件的安全,还有网络的安全,服务器的安全也是它必不可少的支柱。第五章 结语邮件服务器的安全管理方案在现在网络上已经形成了一种必不可少的因素,大多数企业和其它机构的主要通讯都是通过E-mail来完成,E-mail的方便性同时也带来了它的安全性,就因为他是通过SMTP在网络发送,虽然有OSI七层系统的封装,可是网络的开放性往往会产生很多漏洞。黑客们就是利用这些漏洞来进行攻击,盗取,破坏,假冒的,所以我们要通过安全的手段来把邮件服务器的安全搞好,让E-mail发件者能有个好有网络mail环境,能防止企业带来不必要的损失。参考文献1李思齐书名:服务器配置全攻略 清华大学出版社2雷咏梅,赵霖书名:计算机网络信息安全保密技术清华大学出版社3Winmail公司网址: Magic Winmail Server
