1 電子郵件系統(tǒng)存在的安全隱患

    由于早期技術(shù)水平落后，主機(jī)之間很少直接對(duì)話。SMTP就規(guī)定了當(dāng)郵件在不同網(wǎng)絡(luò)間傳送時(shí)，必須借助毫不相干的第三方服務(wù)器。我們把一個(gè)MTA將郵件傳遞到下一個(gè)MTA的行為稱為郵件轉(zhuǎn)發(fā)(RELAY)。如圖1所示。

圖1 郵件轉(zhuǎn)發(fā)示意圖

    如果出現(xiàn)網(wǎng)絡(luò)上所有的用戶都可以借助這臺(tái)RELAY SMTP服務(wù)器轉(zhuǎn)發(fā)郵件的情況，則稱之為Open RELAY(開(kāi)放性中繼)或Third Party RE—LAY(第三方中繼)。由于Internet上使用端口掃描工具的人很多，導(dǎo)致RELAY SMTP服務(wù)器必定會(huì)在短時(shí)間內(nèi)被察覺(jué)，并且被利用來(lái)發(fā)送一些不法廣告、垃圾郵件等，繼而導(dǎo)致的主要問(wèn)題有：

    *由于網(wǎng)絡(luò)帶寬被垃圾郵件占用，因此該郵件服務(wù)器所在網(wǎng)絡(luò)的連接速度減慢；

    *大量發(fā)送郵件可能耗盡該郵件服務(wù)器資源，容易產(chǎn)生不明原因的關(guān)機(jī)之類的問(wèn)題；

    * 該郵件服務(wù)器將會(huì)被Internet定義為黑名單，從此無(wú)法收發(fā)正常的郵件；

    *該郵件服務(wù)器所在的IP將會(huì)被上層ISP封鎖，直到解決Open RELAY的問(wèn)題為止；

    *如果該郵件服務(wù)器被用來(lái)發(fā)送黑客郵件，則將會(huì)被追蹤為最終站。

    此外，作為一個(gè)網(wǎng)絡(luò)服務(wù)器，電子郵件系統(tǒng)存在著配置和誤操作上的安全威脅和隱患，如沒(méi)有合理配置服務(wù)器的相關(guān)配置文件中的重要選項(xiàng)等，極有可能造成潛在的安全隱患。另外，郵件系統(tǒng)版本的及時(shí)更新與否也影響到其安全。

2 多重機(jī)制應(yīng)對(duì)郵件系統(tǒng)安全問(wèn)題

    1)限制轉(zhuǎn)發(fā)和主機(jī)過(guò)濾

    垃圾郵件問(wèn)題是當(dāng)今最讓網(wǎng)絡(luò)用戶頭疼的頑疾之一。許多不請(qǐng)自來(lái)的垃圾郵件不但占據(jù)網(wǎng)絡(luò)帶寬，也極大地消耗了郵件服務(wù)器的存儲(chǔ)資源，給用戶帶來(lái)極大的不便。Open RELAY接引起郵件系統(tǒng)的濫用，甚至成為垃圾郵件的溫床，它是郵件系統(tǒng)中的“定時(shí)炸彈’。目前多數(shù)Linux發(fā)行版都將SMTP服務(wù)器的Open RELAY功能關(guān)閉，默認(rèn)啟動(dòng)為僅監(jiān)聽(tīng)lo口，極大地減少了本地服務(wù)器轉(zhuǎn)遞垃圾郵件的可能性。Linux中通過(guò)訪問(wèn)數(shù)據(jù)庫(kù)／etc／mail／access．db來(lái)設(shè)置RELAY。數(shù)據(jù)庫(kù)中不但定義了可以訪問(wèn)本地郵件服務(wù)器的主機(jī)或者網(wǎng)絡(luò)，也定義了其訪問(wèn)類型(可能的選項(xiàng)包括OK、REJECT、RELAY或者通過(guò)Sendmail的出錯(cuò)處理程序檢測(cè)出的、一個(gè)給定的簡(jiǎn)單郵件錯(cuò)誤信息)。如果希望某些合法主機(jī)或網(wǎng)絡(luò)能利用此SMTP服務(wù)器的RELAY功能來(lái)幫忙轉(zhuǎn)發(fā)郵件，則必須修改服務(wù)器上的訪問(wèn)數(shù)據(jù)庫(kù)。

    2)配置SMTP用戶認(rèn)證

    由于(尤其是同一網(wǎng)段內(nèi)的)用戶不斷增多，如果僅依靠規(guī)模不斷增大的Access數(shù)據(jù)庫(kù)，則很難有效管理SMTP服務(wù)器的使用，甚至出錯(cuò)。這樣既不能保障合法用戶正常地使用郵件服務(wù)器的Open RELAY一些不法的用戶提供了可乘之機(jī)。

    所以有必要配合Sendmail服務(wù)器一起使對(duì)SMTP用戶用身份認(rèn)證程序庫(kù)。RHEL 5使用CyrusSASL(Cyrus Simple Authentication and SecurityLayer)身份認(rèn)證程序庫(kù)對(duì)用戶進(jìn)行身份認(rèn)證。

3 一個(gè)支持多域的安全電子郵件系統(tǒng)案例

    某公司網(wǎng)采用兩個(gè)網(wǎng)段(對(duì)應(yīng)兩個(gè)域：keyan1．stiei．edu．en和keyan2．stiei．edu．cn)來(lái)管理內(nèi)部員工，其絡(luò)拓?fù)淙鐖D2所示。已知公司擬使用一臺(tái)IP地址為192．168．11．1的Linux主機(jī)實(shí)現(xiàn)郵件服務(wù)，為簡(jiǎn)化實(shí)驗(yàn)拓?fù)�，該主機(jī)同時(shí)提供域名解析服務(wù)和路由服務(wù)，其FQDN 擬定為mail．keyan1．stiei．edu．cn和mail．keyan2．stiei．edu．cn。

圖2 某科研機(jī)構(gòu)網(wǎng)絡(luò)拓?fù)?/P>

    公司員工數(shù)量多，其業(yè)務(wù)特點(diǎn)決定了流動(dòng)辦公的經(jīng)常性。公司希望設(shè)計(jì)一個(gè)安全的電子郵件系統(tǒng)，具體能做到：①員工可以自由收發(fā)內(nèi)部郵件，并且可以通過(guò)郵件服務(wù)器往外網(wǎng)發(fā)信；② 禁止接待室的主機(jī)192．168．12．100使用Sendmail服務(wù)器；③有效拒絕垃圾郵件。

    1)關(guān)鍵因素分析

    這是一個(gè)典型的安全電子郵件系統(tǒng)配置案例。擬解決的關(guān)鍵問(wèn)題有：多域間的郵件傳送、主機(jī)過(guò)濾、垃圾郵件過(guò)濾等。由于處理垃圾郵件會(huì)增加服務(wù)器負(fù)荷，占用其硬件資源，造成正常響應(yīng)的延遲，并且會(huì)導(dǎo)致嚴(yán)重的安全隱患，因此，從安全和效率兩方面考慮，都必須使用access數(shù)據(jù)庫(kù)限制轉(zhuǎn)發(fā)來(lái)拒絕垃圾郵件。另外，由于員工辦公地點(diǎn)不固定，并且郵件需要在內(nèi)外網(wǎng)之間轉(zhuǎn)發(fā)，因此還需要結(jié)合郵件的認(rèn)證機(jī)制，通過(guò)驗(yàn)證郵件用戶的賬戶和密碼，就能有效拒絕非法用戶使用郵件服務(wù)器的中繼功本報(bào)共。

    2)解決方案

    (1)搭建虛擬網(wǎng)絡(luò)環(huán)境，在一臺(tái)多宿主的Linux主機(jī)上開(kāi)啟內(nèi)核的路由功能：

    # echo“1”＞／proc／sys／net／ipv4／ip—forward

    (2)在BIND服務(wù)器上注冊(cè)郵件服務(wù)有關(guān)的域名。在DNS主配置文件“／etc／named．conf”中至少定義的兩個(gè)正向解析區(qū)域，為規(guī)范化配置，建議再添加相應(yīng)的兩個(gè)反向解析區(qū)域，如圖3所示。每個(gè)區(qū)域?qū)��?yīng)一個(gè)解析文件。圖4列出了區(qū)域keyan1．stiei．edu．CD的正向解析文件內(nèi)容，區(qū)域keyan2．stiei．edu．cn的正向文件類似。

    在所有要使用郵件服務(wù)的主機(jī)上指定提供域名解析的DNS服務(wù)器的IP地址，并設(shè)置默認(rèn)的域名后綴。此外，還需要在“／etc／mail／local—hostnames”中添加所支持的域名及主機(jī)名。

圖3 定義新的區(qū)域

    (3)配置具有認(rèn)證功能的SMTP服務(wù)器。

    在Sendmail的腳本Sendmail．mc中修改SMTP偵聽(tīng)范圍為公司內(nèi)部網(wǎng)段或者0．0．0．0，使郵件能正常發(fā)送到其它主機(jī)。此外還需要設(shè)置本地郵箱的域名，將如下一行括號(hào)內(nèi)的內(nèi)容修改成自己的域：

    LOCAL— DOMAIN (‘keyan1．stiei．edu．cn，key—an2．stiei．edu．cn’)dnl

    而最為關(guān)鍵的是要設(shè)置SMTP用戶安全認(rèn)證功能。首先確保sasl庫(kù)(軟件包c(diǎn)yrus—sas1)已經(jīng)安裝，然后編輯sendmail．mc文件，取消如下三行的注釋；

    dnl TRUSTl-AUTH—MECH(EXTERNAL DI—GES MD5 CRAM —MD5 LOGIN PLAIN)dnl

    ／／TRUST—AUTH—MECH 的作用是使sendmail不管access文件中如何設(shè)置都能RE—LAY那些通過(guò)LOGIN、PLAIN或DIGEST—MD5方式驗(yàn)證的郵件。

    dnl define(‘confAUTH —MECHANISMS’，‘EXTERNAL GSSAPI DIGEST—MD5 CRAM —MD5 L0GIN PLAIN’)dnl／／‘confAUTH—MECHANISMS’的作用是確定系統(tǒng)的認(rèn)證方式。

    dnl DAEMON— OPTIONS(‘Port=submis=sion，Name=MSA，M=Ea’)dnl

    ／／‘Port— submission，Name=MSA，M=Ea’的作用是開(kāi)啟認(rèn)證，并以子進(jìn)程運(yùn)行MSA實(shí)現(xiàn)郵件的賬戶和密碼的驗(yàn)證。

    最后利用m4工具生成主配置文件Sendmail．cf。分別啟動(dòng)Sendmail服務(wù)和Saslauthd服務(wù)，然后執(zhí)行命令“Sendmail-d0．1一by root|grep SASL”測(cè)試sasl。確認(rèn)以下結(jié)果中包含SASL：

    NETUNIX NEWDB NIS PIPELININGSASLv2 SCANF S0CKETM AP STARTTLS

    也可以使用ehlo命令驗(yàn)證Sendmail的SMTP認(rèn)證功能

    (4)設(shè)置訪問(wèn)控制和轉(zhuǎn)發(fā)限制

    根據(jù)案例對(duì)限制SMTP中繼的要求，在文件“／etc／mail／aceess”末尾添加如下三行內(nèi)容：

    192．168．11 RELAY

    192．168．12 RELAY

    Connect：

    192．168．12．100 REJECT

    3)應(yīng)用測(cè)試

    (1)首先測(cè)試同一網(wǎng)段192．168．12．0／24(域keyan2．stiei．edu．cn)內(nèi)的用戶相互收發(fā)郵件的情況。圖6是foxmail中usera向userb發(fā)送郵件時(shí)給出的拒絕訪問(wèn)的錯(cuò)誤提示，其原因在于我們?cè)赟MTP的轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中設(shè)置了禁止主機(jī)192．168．12．100使用Sendmail服務(wù)器，從而導(dǎo)致郵件發(fā)送失敗。若取消主機(jī)過(guò)濾或改變?cè)撝鳈C(jī)的地址，則能投遞成功，如所示：

圖4 SMTP拒絕訪問(wèn)

    (2)接下來(lái)測(cè)試跨域且群發(fā)郵件的情況。以域keyanl內(nèi)用戶user1向域keyan2內(nèi)群組team2發(fā)件為例，team2中的所有用戶usera、userb、userc將同時(shí)收到該郵件。

圖5 userb接受郵件成功

圖6 team2中的用戶接受郵件成功

4 結(jié)束語(yǔ)

    郵件服務(wù)作為整個(gè)互聯(lián)網(wǎng)業(yè)務(wù)中最基本、最重要的組成部分之一，其應(yīng)用頻率接近甚至超過(guò)萬(wàn)維網(wǎng)服務(wù)。然而，電子郵件的廉價(jià)性以及一些郵件服務(wù)器的開(kāi)放性，使得郵件服務(wù)正面臨著嚴(yán)重的垃圾郵件、病毒感染以及服務(wù)器濫用等嚴(yán)重的安全問(wèn)題。本文以一個(gè)完整的企業(yè)郵件系統(tǒng)為案例，研究了針對(duì)這些安全問(wèn)題的關(guān)鍵技術(shù)，描述了一個(gè)綜合的解決方案并通過(guò)了應(yīng)用測(cè)試，具有一定的實(shí)用參考價(jià)值。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：多重安全機(jī)制在電子郵件系統(tǒng)中的應(yīng)用

本文網(wǎng)址：http://www.guhuozai8.cn/html/support/1112152471.html